En este artículo, analizaremos la descripción general de la evidencia basada en host. Y también elaborará sobre la volatilidad de la evidencia, los tipos de adquisición, los procedimientos de recopilación y la adquisición de memoria. Discutámoslo uno por uno.
Evidencia basada en host:
este tipo de evidencia se encuentra en un sistema. Incluye la fecha del sistema, la hora, la aplicación actualmente en estado de ejecución en la máquina.
Preparación para evidencia basada en host:
Ahora bien, como sabemos, la preparación es el paso inicial para lograr buenos resultados. En términos de recopilación de evidencia de respuesta a incidentes, los analistas deben tener las herramientas necesarias para recopilar información. Supongamos que una organización tiene un sistema operativo de Microsoft, por lo que un analista debe tener herramientas que puedan recopilar información de dicho sistema. El analista suele utilizar herramientas como FTKimager. Ahora, antes de discutir los procedimientos de adquisición y recolección de evidencia. Es importante entender la volatilidad de la evidencia.
Volatilidad de la evidencia:
los datos en un sistema pueden ser de dos tipos: datos volátiles y no volátiles. Discutámoslo uno por uno.
- Datos volátiles:
es un tipo de datos que se pierden cuando se apaga el sistema. Los datos volátiles pueden ser datos en CPU, caché ARP, etc.
- Datos no volátiles:
es un tipo de datos que se almacenan en un disco duro. Los datos no volátiles incluyen entradas de la tabla maestra de archivos (MFT), información de registro, etc.
Tipos de adquisición de evidencia:
según el tipo de incidencia y las limitaciones de tiempo y geografía, se produce la adquisición de evidencia. Discutámoslo uno por uno.
- Local:
este tipo de adquisición tiene acceso físico directo al sistema
- Remoto:
la adquisición remota entra en juego cuando el analista de seguridad no está físicamente presente en la ubicación donde reside el sistema. En este tipo de adquisición, los analistas utilizan herramientas y conexiones de red para adquirir datos.
- En línea:
este tipo de evidencia también se denomina recopilación de evidencia de una computadora en vivo o memoria en ejecución, que es RAM.
- Fuera de línea:
este tipo de adquisición de pruebas se realiza desde el disco duro del sistema. Primero, el sistema se apaga, luego se extrae el disco duro y se utilizan herramientas especializadas para adquirir datos. Uno de los inconvenientes que se incluyen en este proceso es la pérdida de memoria volátil; en segundo lugar, es un proceso lento para duplicar un disco duro durante mucho tiempo.
Procedimientos de recolección de evidencia:
estos son los procedimientos necesarios para preservar o manejar evidencia durante la adquisición de la siguiente manera.
- Primero, fotografíe el sistema.
- Si el sistema está encendido, manténgalo en ese estado y si está apagado, manténgalo así porque cuando el sistema está en estado vivo podemos capturar la memoria en ejecución y si está apagado podemos capturar la evidencia del disco duro.
- Fotografíe la serie de modelos de sistemas y detalles para ayudar al proceso de string de custodia.
- Retire el disco duro del sistema y guárdelo en una bolsa antiestática para garantizar que no se altere el disco duro.
Adquisición de memoria:
los equipos forenses digitales tradicionales solían adquirir datos del disco duro, lo que también se denomina análisis forense de caja muerta. Este tipo de adquisición de memoria ayuda en casos como explotación infantil, fraudes monetarios, etc. porque los archivos generalmente se almacenan en un disco duro.
Publicación traducida automáticamente
Artículo escrito por shashank16septd y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA