david perez isaca 14nov07 analisis forense v04
TRANSCRIPT
![Page 1: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/1.jpg)
14.11.2007 1
![Page 2: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/2.jpg)
14.11.2007 2
ANÁLISIS FORENSE
David Pérez Conde
Instructor Certificado de The SANS Institute y Consultor Independiente
![Page 3: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/3.jpg)
14.11.2007 3
• Nombre: David Pérez Conde
• Títulación:
– Ing. Sup. Telecomunicaciones, UPV
– GSE (SANS, http://www.giac.org/certifications/gse.php)
• Cargos:
– Consultor de seguridad (indep.)
– Instructor de The SANS Institute (www.sans.org)
• Blog: http://blog.radajo.com
• Mail: david.perez.conde @ gmail.com
Autor
![Page 4: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/4.jpg)
14.11.2007 4
• Introducción
• Tipos
• Ejemplos
Contenidos
![Page 5: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/5.jpg)
14.11.2007 5
Introducción
Fuentes: www.csi.telecinco.es, www.rsi.telecinco.es
![Page 6: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/6.jpg)
14.11.2007 6
• Sistemas:
– copia de disco duro
– copia de memoria (RAM)
• Red:
– captura de tráfico
• Otros:
– teléfono móvil
– agenda electrónica
– tarjeta/unidad de memoria extraíble
Tipos de A. Forense
![Page 7: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/7.jpg)
14.11.2007 7
• Evidencia:
– Fichero copia de un disco duro (Win XP): demo01.hda.dd (10 GB)
• Pistas:
– El antivirus se quejaba de “edlm2.exe”
(Trojan.Tabela.F - Symantec) a partir del 12jun06
• Conclusiones:
– Malware inicial: ldr64.dll (W32.Beagle.DV - Symantec)
– Fecha infección: 06/12/06 11:48:55AM
– Vía de infección: EXE adjunto en correo web
Ej.1: Disco duro
![Page 8: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/8.jpg)
![Page 9: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/9.jpg)
![Page 10: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/10.jpg)
14.11.2007 10
• Evidencia: fichero de captura de tráfico de red
– file_deletion_full_trace.cap (815 KB)
• Pistas:
– Fichero desaparecido: file4.txt
• Conclusiones:
– Método: borrado SMB
– Fecha: 23mar07 09:45:55
– Quién: [email protected]
– Desde: 10.10.10.11, CLIENTXP1
Ej.2: Captura de red
![Page 11: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/11.jpg)
![Page 12: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/12.jpg)
14.11.2007 12
• http://blog.radajo.com
• http://www.sans.org
• http://www.giac.org
Referencias
![Page 13: David Perez ISACA 14nov07 Analisis Forense v04](https://reader036.vdocument.in/reader036/viewer/2022081702/62e72ee7e59b3810451e1e37/html5/thumbnails/13.jpg)
14.11.2007 13
¡Gracias!