Técnicas de búsqueda en ciberforense

Los exámenes forenses informáticos utilizan datos generados por computadora como su fuente vital. El objetivo de cualquier examen forense informático dado es encontrar hechos y, a través de estos hechos, intentan recrear la verdad de un evento. Estas técnicas de búsqueda automatizada se utilizan para averiguar si un determinado tipo de objeto, como herramientas de piratería o imágenes de un tipo específico, están presentes en la información recopilada.

Hay dos tipos de Técnicas de Búsqueda Automatizada: Navegación Manual y Navegación Automatizada.

Figura – Tipos de técnicas de búsqueda automatizada en ciberforense

¿Qué es la navegación manual?
Forensic Analyst examina la información que se ha recopilado y selecciona los objetos del tipo preferido en la exploración manual. La herramienta utilizada para esta navegación es de tipo Watcher. Toma el objeto de datos, por ejemplo, un archivo, decodifica ese archivo y devuelve el resultado en un formato legible por humanos. La navegación manual es lenta y lleva mucho tiempo, ya que hay una gran cantidad de datos que se deben recopilar en muchas investigaciones.

¿Qué son las búsquedas automáticas?
La palabra Automatizado proviene de la palabra griega automatos, que significa “actuar por uno mismo”. Algo que está automatizado puede hacer lo que debe hacer sin tener una persona que ayude a ejecutarlo. Un procedimiento de búsqueda automatizado brinda acceso directo a archivos automatizados de otra parte donde la respuesta al procedimiento de búsqueda está completamente automatizada.

Los tipos de Búsquedas automatizadas son: Búsqueda de Palabras Clave, Búsqueda de Expresiones Regulares, Búsqueda de Coincidencia Aproximada, Búsquedas Personalizadas, Búsqueda de Modificaciones.

  1. Búsqueda de palabras clave:
    la búsqueda de palabras clave forense cibernética es una función que se utiliza para encontrar evidencia de una gran cantidad de datos electrónicos. Durante la investigación del delito cibernético, la búsqueda forense de correo electrónico se realiza en función de las palabras clave que ingresa en la herramienta informática forense. La búsqueda por palabra clave consiste en palabras clave específicas. Es una técnica fácil muy utilizada que agiliza la navegación manual. La lista de objetos de datos encontrados es el resultado de la búsqueda por palabra clave. Sin embargo, hay dos problemas con la búsqueda de palabras clave: falso positivo y falso negativo.
    • (i). Falso positivo:
      las búsquedas de palabras clave dan el tipo aproximado requerido de objetos de datos. Debido a esta salida de esto podría haber falsos positivos. Los falsos positivos significan objetos que no pertenecen a ningún tipo en particular aunque contengan palabras clave específicas. Un analista forense tiene que examinar manualmente los objetos de datos de búsqueda de palabras clave para descartar falsos positivos.
    • (ii). Falso Negativo:
      Falsos Negativos significa que hay objetos de un tipo determinado pero que no se encuentran en la búsqueda. Si la utilidad de búsqueda no puede interpretar correctamente los objetos de datos, el resultado es un falso negativo. El cifrado, la compresión o la falta de capacidad de la utilidad de búsqueda para interpretar nuevos datos pueden ser motivos para que esto suceda.
  2. Búsqueda de expresiones
    regulares: la expresión regular (Regex) es una forma poderosa que se usa para buscar cualquier cosa en archivos basados ​​​​en texto para datos con un patrón identificable. Esta búsqueda proporciona un lenguaje más expresable para describir el objeto de interés que las palabras clave. Esta es una extensión de la búsqueda por palabra clave. También se utilizan para especificar búsquedas de direcciones de correo electrónico y archivos de tipo preciso. Para realizar búsquedas de expresiones regulares se utiliza Encase Tool. No todos los tipos de datos pueden describirse suficientemente usando expresiones regulares. La búsqueda de expresiones regulares también da como resultado falsos positivos y falsos negativos.
  3. Búsqueda de coincidencia aproximada:
    una expansión de la búsqueda de expresiones regulares es la búsqueda de coincidencia aproximada. Utiliza el algoritmo de coincidencia. El algoritmo de búsqueda de coincidencia aproximada permite la falta de coincidencia de caracteres al buscar una palabra clave. Detecta palabras mal escritas que dan errores de coincidencia y genera muchos falsos positivos. El agrep se utiliza para coincidencias aproximadas.
  4. Búsquedas personalizadas:
    esta herramienta utiliza un procedimiento heurístico para encontrar los nombres completos de las personas en la información o los datos recopilados. Estos programas están escritos para búsquedas más complejas como la herramienta FILTER_1 de new Technologies Inc. porque las expresiones regulares tienen una expresividad limitada. Esto también sufre de falsos positivos y falsos negativos.
  5. Búsqueda de modificaciones:
    se utiliza para objetos de datos que se han modificado desde un instante específico en el pasado. Las modificaciones de objetos de datos que no son frecuentes como utilidades del sistema operativo. Estas utilidades se detectan comparando su hash actual con su hash esperado. Se construye una biblioteca de hashes esperados antes de la búsqueda.

Publicación traducida automáticamente

Artículo escrito por siddhi2420 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *