propuesta para trabajo de grado - …pegasus.javeriana.edu.co/~cis0910sd03/propuesta.pdf · de esta...

Pontificia Universidad Javeriana Propuesta para Trabajo de Grado – Proyecto de Investigación

Propuesta Página 1

PROPUESTA PARA TRABAJO DE GRADO TÍTULO

Guía metodología para identificar y validar la aplicación de técnicas anti-forenses en equipos con sistema operativo Windows XP Service Pack 3.

MODALIDAD

Proyecto de investigación formativa

OBJETIVO GENERAL

Desarrollar una guía metodología para identificar y evidenciar la aplicación de técnicasanti-forenses en el análisis de información en un computador con sistema de archivos NTFS bajo el sistema operativo Windows XP SP3.

ESTUDIANTE(S)

Armando Botero Vila Documento Celular Teléfono fijo Correo Javeriano cc. 1020722018 314-491-2902 7598492 [email protected]

Iván Felipe Camero Padilla Documento Celular Teléfono fijo Correo Javeriano cc. 1019002938 316-831-5396 6138749 [email protected]

DIRECTOR

Ing. Jeimy Cano Martinez Documento Celular Teléfono

fijo Correo Javeriano; Correo 2 Empresa donde trabaja y

cargo cc. 79557736 3208320 ext

5338 [email protected]

[email protected]

Coordinador de Seguridad de la Información – ECOPETROL S.A

ASESORES

Ing. Documento Celular Teléfono fijo Correo Javeriano; Correo2 Empresa donde trabaja y

cargo cc. 1234678 322-xxx-

xxx 3208320 ext 5338

[email protected]; [email protected]

Pontificia Universidad Javeriana; Profesor de Tiempo Completo Depar-tamento de Sistemas


Propuesta Página 2

VoBo. Coordinador de Trabajos de Grado: ________________________

Código: TG-20071-xxx

Contenido

1 OPORTUNIDAD O PROBLEMÁTICA .......................................................................... 3

1.1 DESCRIPCIÓN DEL CONTEXTO ................................................................................ 3 1.2 FORMULACIÓN ...................................................................................................... 6

2 DESCRIPCIÓN DEL PROYECTO ................................................................................ 8

2.1 OBJETIVO GENERAL .............................................................................................. 8

2.2 OBJETIVOS ESPECÍFICOS ........................................................................................ 8

3 MARCO TEÓRICO / ESTADO DEL ARTE................................................................... 9

3.1 FUNDAMENTOS ..................................................................................................... 9 3.1.1 Criminalística ........................................................................................................ 9 3.1.2 Informática Forense ............................................................................................. 13 3.1.3 Definición de Técnicas Anti-forenses .................................................................... 16 3.1.4 Clasificación de Métodos Anti-forenses ................................................................ 16 3.1.5 Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses

(MoDeRaTa) ................................................................................................................ 18 3.1.6 Fundamentos del NTFS ........................................................................................ 19

4 PROCESO ........................................................................................................... 22

4.1 METODOLOGÍA .........................................¡ERROR! MARCADOR NO DEFINIDO. 4.2 ACTIVIDADES ............................................................................................... 22

4.3 ENTREGABLES O RESULTADOS ESPERADOS.................................................... 25 4.4 PRESUPUESTO ............................................................................................... 26

4.5 CRONOGRAMA .............................................................................................. 28

5 REFERENCIAS Y BIBLIOGRAFÍA ......................................................................... 29

5.1 REFERENCIAS ............................................................................................... 29 5.2 BIBLIOGRAFÍA PROPUESTA PARA EL DESARROLLO DEL TRABAJO DE GRADO ... 31

6 ANEXOS ............................................................................................................. 31


Propuesta Página 3

1 Oportunidad o Problemática

1.1 Descripción del contexto

En la actualidad, se cuenta con una tecnología de la información avanzada y con un nivel de maduración cada vez mayor, introducida a fondo en la vida de las organiza-ciones y personas, lo que ha generado que la información se haya convertido en un bien de vital importancia, el cual debe ser protegido de amenazas que pueden da-ñar, robar, modificar, y aprovecharse de este para múltiples acciones mal intencio-nadas o ilícitas.

La constante evolución de los sistemas computacionales ha traído consigo un incre-mento en las vulnerabilidades, las cuales son aprovechadas al máximo por los ata-cantes o intrusos. Una muestra de las distintas formas de explotar estas vulnerabili-dades se puede encontrar en la siguiente figura, que evidencia cómo los atacantes desarrollan y refinan cada vez más sus técnicas, para sacar provecho de los proble-mas inherentes de las nuevas tecnologías [1].

Figura 1 Clasificación ataques [1]


Propuesta Página 4

Cómo muestra la figura, a medida que los conocimientos de los atacantes aumen-tan, se extiende proporcionalmente el nivel de sofisticación de los ataques. Esto re-vela que las organizaciones y los directores de los departamentos de seguridad, hoy en día no se están enfrentado a personas inexpertas e ingenuas que solo quieren jugar; se están enfrentando a mentes “inquietas” que siempre van más allá de lo que cualquier manual de computación les pueda aportar , de igual forma, estas personas tienen algo que la industria de seguridad informática no tiene: suficiente tiempo y esfuerzo para encontrar alternativas creativas para vulnerar los sistemas [2].

De acuerdo al escenario anterior, donde las mentes inquietas poseen distintas moti-vaciones y teniendo en cuenta que la información es un bien sumamente importan-te en las organizaciones, cualquier ataque a este podría ser considerado un delito ante las autoridades.

Así que para poder judicializar y presentar los distintos casos a las autoridades judi-ciales, surge de la criminalística una nueva disciplina que utiliza un conjunto de herramientas, estrategias y acciones para descubrir en medios informáticos, la evi-dencia digital que respalde y compruebe cualquier acusación frente a la investiga-ción de un delito informático [2].

Esta disciplina se conoce como Informática Forense, la cual según el FBI se define como la ciencia de adquirir, preservar, obtener y presentar datos que han sido pro-cesados electrónicamente y guardados en un medio computacional [3]. Donde los principales objetivos de esta son [4]:

1. La compensación de los daños causados por los criminales o intrusos.

2. La persecución y procesamiento judicial de los criminales.

3. La creación y aplicación de medidas para prevenir casos similares.

Detallando el segundo objetivo de la informática forense, “La persecución y proce-

samiento judicial de los criminales”, esté tiene cómo eje central la evidencia digital, para la investigación y una eventual judicialización de los implicados en el caso de estudio.


Propuesta Página 5

En este sentido la evidencia digital se define como cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como elemento material probatorio en un proceso legal [2].

De esta manera, la evidencia digital puede ser dividida en tres categorías las cuales son [5]:

a) Registros almacenados en el equipo de tecnología informática; por ejemplo correo electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.

b) Registros generados por los equipos de tecnología informática; por ejemplo registros de auditoría, registros de transacciones, registros de eventos, etc.

c) Registros que parcialmente han sido generados y almacenados en los equi-pos de tecnología informática; por ejemplo hojas de cálculo financieras, con-sultas especializadas en bases de datos, vistas parciales de datos, etc.

Además de la anterior clasificación, la evidencia digital posee unas características especiales que adicionalmente de diferenciarla de la evidencia física, la convierten en un constante reto para los investigadores de informática forense. Estas carac-terísticas son las siguientes [2]:

� Es volátil

� Es anónima

� Es duplicable

� Es alterable y modificable

� Es eliminable

Si partimos del hecho que los intrusos basan sus ataques en conocimientos avanza-dos en informática forense, en las propiedades de la evidencia digital y apoyándose de la frase planteada por Simple Nomad 2006 “Si controlamos los bits y bytes, y

además conocemos como funcionan las herramientas Forenses, podemos controlar

la dirección de la investigación forense”, podríamos decir que la unión de estas tres últimas premisas, definen a grandes rasgos “las técnicas anti-forenses”.


Propuesta Página 6

1.2 Formulación

Actualmente, la informática forense cuenta con protocolos que formalmente descri-ben cómo se debe llevar a cabo una investigación, con el único fin de entregar resul-tados concretos que muestren el quién, cómo, dónde, cuándo, para qué, con qué y por qué de un hecho. Estos protocolos son definidos por las unidades especializadas en delitos informáticos de cada país, basándose en modelos y buenas prácticas, en-tre otras las que el IOCE propone [6] o las que el departamento de justicia de los Estados Unidos plantea en su “Guide for First Responders” [7]. Sin embargo, en es-tos protocolos, no se contempla la aplicación de alguna técnica anti-forense que se definen como “cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense” [2], en la ejecución del ata-que.

La mayoría de los ataques estudiados por la informática forense se observan a nivel de empresas, en donde en gran parte de ellas se utiliza el sistema operativo Win-dows XP que hoy por hoy es la versión más estable y segura de Windows [8]. Aun-que por otro lado, el auge de Windows XP trajo consigo un amplio estudio de la pla-taforma; estudio que concluyó en aspectos positivos para Microsoft y negativos para sus usuarios. Los negativos, al permitirle a atacantes evaluar cuáles son sus vulnera-bilidades y atacarlo por ahí, y las positivas al permitirle a Microsoft realizar procesos de reingeniería a su sistema operativo al analizar las deficiencias encontradas por los atacantes, esto llevó al lanzamiento de diferentes service packs en los cuales se iba mejorando la estabilidad y seguridad del sistema operativo, de esta manera se llegó hasta la tercera versión de estos, siendo ésta la más refinada de todas. Durante éste proceso se encontraron varias falencias en la seguridad de Windows XP que termi-naron por convertirse en oportunidades de ataques para los criminales digitales.

Al adquirir conocimientos sobre las vulnerabilidades de Windows, un criminal puede aplicar diferentes métodos y técnicas para mimetizar, manipular, deshabilitar o des-truir [9] evidencia digital con el objetivo de agravar o desviar una investigación. Es por esto que existe la necesidad de incorporar a los manuales que guían las investi-gaciones de informática forense, un protocolo que identifique la aplicación de técni-cas anti-forenses en un crimen digital.


Propuesta Página 7

Es por lo anterior esta investigación busca dar una respuesta al siguiente interrogan-te: ¿Cómo identificar y validar la presencia de una técnica anti-forense en el análisis

de información en un computador que contenga un sistema de archivos NTFS bajo el

sistema operativo Windows XP SP3 encontrado en una escena del crimen?


Propuesta Página 8

2 Descripción del Proyecto

2.1 Objetivo general

Desarrollar una guía metodología para identificar y evidenciar la aplicación de técnicas anti-forenses en el análisis de información en un computador que contenga un sistema de archi-vos NTFS bajo el sistema operativo Windows XP SP3 encontrado en una escena del crimen.

2.2 Objetivos específicos

1. Estudiar y analizar el estado del arte de la criminalística, la criminalística en medios informáticos y las técnicas anti-forenses existentes, enfocando estas últimas al sis-tema operativo Windows XP SP3 y en el funcionamiento del sistema de archivos NTFS.

2. Realizar el diseño de la guía metodológica enfocada a la identificación y validación del uso de técnicas anti-forenses en el análisis de la información en computadores con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encon-trado en una escena de crimen.

3. Probar y ajustar el diseño de la guía metodológica basándose en los niveles del Mo-delo conceptual de Detección y Rastreo de Técnicas Anti-forenses (MoDeRaTA) en un sistema de archivos NFTS en un sistema operativo Windows XP SP3.


Propuesta Página 9

3 Marco Teórico / Estado del Arte

3.1 Fundamentos

3.1.1 Criminalística

La criminalística se puede definir como una ciencia que estudia los indicios dejados en el lugar del delito, con el propósito de descubrir la identidad del criminal y las circunstancias que ocurrieron en el hecho [10]. Esta se compone de diferentes disciplinas científicas que juntas cumplen el único propósito de hacer la transición entre una posible prueba o autor criminal, a una evidencia concreta o un sospechoso.

De este modo, la criminalística se vale de procedimientos y protocolos para realizar las dis-tintas investigaciones, los cuales en términos generales se dividen en dos partes:

Primero, se recolecta la evidencia digital donde se realiza el aseguramiento de la escena del crimen, para estudiar cuales son los elementos que pueden llegar a convertirse en pruebas o indicios de un hecho.

Segundo, se hace el debido análisis de las evidencias recolectadas y se presentan las prue-bas y conclusiones de la investigación a los encargados de dar las sentencias sobre el caso de estudio.

El lugar de los hechos es considerado dentro de la criminalística como la principal fuente generadora de evidencias. Por esta razón es importante el cuidado y el profesionalismo que debe tener un perito investigador con la escena del crimen y aun más, con el seguimiento de los protocolos establecidos por la ley para el aseguramiento de dicha escena.

Existen 5 características generales que deben ser tenidas en cuenta por los peritos investi-gadores en una escena del crimen, que son las siguientes [10]:

1) El hecho es considerado no reciente y, por lo tanto, es necesario llegar lo más pron-

to posible a el lugar donde acontecieron los hechos para evitar pérdidas o alteracio-

nes de la evidencia física.

2) Elaborar los croquis y tomar fotografías de la escena del crimen para garantizar el

mantenimiento de cómo se encontraba la escena cuando ocurrieron los hechos a lo

largo de toda la investigación.

3) Evitar posibles contaminaciones y pérdidas, después de una rigurosa inspección ju-

dicial.

4) Tener cuidado con la fragilidad de la evidencias físicas encontradas en la escena del

crimen para no perderlas o alterarlas por mal manejo de los investigadores.


Propuesta Página 10

5) El valor de la prueba indiciaria es relativo cuando hay un manejo inadecuado de los

elementos encontrados en el lugar de los hechos.

Los lugares de los hechos se pueden clasificar según el ambiente en que se encuentran ubi-cados, por esta razón se generan distintos tipos de escenas del crimen, que son las siguien-tes: [10]

� Abiertos: Los cuales se caracterizan por no tener límites precisos y, por lo general,

pueden consistir en un parque, la vía pública, un potrero, la playa, el campo, etc.

� Cerrados: Se diferencian de los abiertos porque están circunscritos por límites preci-

sos como el interior de una oficina, edificio, un hotel, un supermercado, etc.

� Semi-abiertos o mixtos: Como su nombre lo indica, son aquellos lugares que tienes

características propias de los lugares abiertos y a la vez cerrados, como un parque

de diversiones, una residencia, un club, etc.

En Colombia existe un procedimiento y un protocolo que se debe seguir para asegurar una escena del crimen, esta se describe en el “Manual de procedimientos del sistema de cadena

de custodia” proporcionado por la fiscalía general de nación, donde en primera instancia define el aseguramiento de la escena como : “Actividad que se adelanta para garantizar el

aseguramiento o protección del lugar de los hechos con ocasión de una posible conducta

punible, a fin de evitar la pérdida o alteración de los elementos materia de prueba o eviden-

cia física.”[11]; lo cual se consigue con la aplicación del siguiente procedimiento: [11]

1. Realizar una observación preliminar del lugar de los hechos y los EMP (Elementos Materiales Probatorios) o la Evidencia Física, especialmente aquellos que se encuen-tran a mayor distancia del cuerpo de occiso cuando se trate de inspección a cadáver. El responsable de estos es Policía de Vigilancia y/o Policía Judicial.

2. Determina el área a ser aislada y acordona utilizando doble barrera física (cuerdas, cintas, barricadas, policías adicionales, vehículos, voluntarios, entre otros) la cual permite a los funcionarios adelantar la diligencia ubicándose dentro del perímetro del primer y segundo acordonamiento, dejando el primer acordonamiento para ais-lar el lugar de los hechos. El responsable de estos es Policía de Vigilancia y/o Policía Judicial.

3. Realiza el acordonamiento teniendo en cuenta las características del lugar de los hechos. Si el lugar es abierto se toma como referencia el cuerpo de la victima si se trata de una inspección a cadáver y acordona hasta el EMP o EF más alejado de éste. De igual manera procede en otro tipo de conducta, teniéndose en cuenta el área fo-cal más afectada. Si el lugar es cerrado, se realiza el acordonamiento desde el punto de acceso al in-mueble o inmuebles involucrados en el hecho (puede llegar hasta varias cuadras al-rededor del mismo). Es indispensable tener en cuenta las puertas, ventanas y vías probables de escape. El responsable de estos es Policía de Vigilancia y/o Policía Judi-cial.



4. Reporta a la central de comunicaciones las actividades realizadas. El responsable de estos es Policía de Vigilancia y/o Policía Judicial.

5. Cuando se encuentren personas lesionadas en el lugar de los hechos establece co-municación con ellas a fin de identificarlas y obtener información acerca de lo ocu-rrido y que sea de interés para la investigación. Previo al desplazamiento o movimiento de los lesionados, se procede a marcar la ubicación y posición original de la persona.

Si se trata de una persona fallecida, se evita su manipulación, la de sus documentos y pertenencias; si en el lugar se encuentran testigos o familiares, se individualizan a través de la información que ellos aporten. El responsable de estos es Policía de Vi-gilancia y/o Policía Judicial.

6. Si se encuentran testigos, sospechosos o familiares del occiso o del hecho, se evita que estos se retiren, se procede a separarlos y a aislarlos, impidiendo la comunica-ción entre ellos. Adicionalmente, se toman los datos generales de identificación (nombre, cédula de ciudadanía, parentesco con la víctima, lugar de residencia, entre otros datos). Esta información se consigna en el formato de actuación del primer respondiente. El res-ponsable de estos es Policía de Vigilancia y/o Policía Judicial.

7. Si en el lugar de los hechos se encuentra el presunto agresor y es ubicado, se efect-úa la requisa de acuerdo al procedimiento establecido para esta actividad y se sepa-ra de los posibles cómplices. En caso de que el agresor porte un arma, se incauta teniendo en cuenta lo siguiente: • Realizar solo la manipulación estrictamente necesaria, utilizando guantes dese-chables de látex. • Si el arma tiene residuos de fluidos biológicos se coloca preferiblemente en bolsa de papel que no esté pre impreso.

• El arma embalada, rotulada y con registro de cadena de custodia, se coloca a dis-posición de la autoridad judicial junto con la información obtenida. (si se trata de policía de vigilancia deja constancia en el formato de actuación del primer respon-diente). El responsable de estos es Policía de Vigilancia y/o Policía Judicial.

8. Registra la información obtenida en sus actividades durante la atención al hecho en el formato de actuación del primer respondiente. En caso de observarse que el cuerpo ha sido manipulado o movido del lugar, se deja constancia en el anterior formato. Entrega el lugar de los hechos a la autoridad competente o al servidor encargado de la diligencia, aportando el formato de actuación del primer respondiente. El respon-sable de estos es Policía de Vigilancia y/o Policía Judicial.



En este mismo documento se definen un par de diagramas de flujo que describen de una manera más fácil el aseguramiento de la escena del crimen. Dichos diagramas se describen en las siguientes figuras:

Figura 2 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11]

Figura 3 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11]



Es necesario tener, mantener y asegurar cuidadosamente la escena del crimen para evitar perder, omitir o modificar cualquier Elemento Material Probatorio (EMP), que en los mo-mentos de un juicio son las llaves principales para el esclarecimiento de los hechos. Los EMP forman parte de la escena del crimen; estos son elementos u objetos (sólidos, líquidos o gases) [10], y que según la definición del “Manual de procedimientos del sistema

de cadena de custodia” se define como: Los elementos físicos que se recaudan por un inves-tigador como consecuencia de un acto delictivo, los cuales pueden servir en la etapa del juicio para demostrar que la teoría del caso que se expone ante el juez es cierta y verificable. Asimismo, son elementos relacionados con una conducta punible que sirven para determi-nar la verdad en una actuación penal. Estos elementos se pueden clasificar en: [10]

- Según su naturaleza, pueden ser orgánicos e inorgánicos. - Según su tamaño, pueden ser macroscópicos y microscópicos o elementos traza. - Si han sido dejados en el lugar de los hechos primarios, pueden ser positivos o nega-

tivos. - Si pueden ser transportados al laboratorio, pueden ser concretos y/o descriptivos. - Según su capacidad individualizadora, pueden tener características individuales y de

clases. Según sus características específicas, pueden ser fijos y móviles.

3.1.2 Informática Forense

La informática forense es una disciplina que surge como rama de la criminalística, con el fin de proporcionar una respuesta al constante surgimiento de vulnerabilidades en sistemas informáticos, en el aprovechamiento de fallas bien sea humanas, procedimentales o tec-nológicas sobre infraestructuras de computación, la cual proporciona un escenario ventajo-so y productivo para la generación de tendencias relacionadas acciones mal intencionadas o ilícitas [12]. Esta disciplina se basa fundamentalmente en los principios generales de cualquier investiga-ción forense en criminalística, los cuales son [13]:

� Considerar el sistema completo. � Registrar la información a pesar de las fallas o ataques que se generen. � Considerar los efectos de los eventos, no sólo las acciones que la causaron. � Considerar el contexto, para asistir en la interpretación y entendimiento de

los eventos. � Presentar los eventos de manera que pueden ser analizados y entendidos

por un analista forense.



Partiendo de dichos principios, la informática forense establece un nuevo conjunto de herramientas, estrategias y acciones en medios informáticos, logrando así recolectar la sufi-ciente evidencia digital que sustente y verifique todas las afirmaciones realizadas sobre el caso bajo estudio [2]. El FBI proporciona una definición más detallada como se menciona en la sección 1.1 de este documento.

Viendo la informática forense desde un punto de vista más operativo y técnico se puede definir como el uso de herramientas software y protocolos para buscar eficientemente los contenidos de almacenamientos magnéticos y otros dispositivos e identificar evidencia rele-vante en archivos, fragmentos de éstos o documentos borrados, que permitan elaborar hipótesis coherentes y validas relacionadas con el caso de estudio [13].

Partiendo de del segundo objetivo de la informática forense, el cual es la persecución y pro-cesamiento judicial de los criminales, hace imperante que esta disciplina cuente con un rigu-roso protocolo de investigación que sustente cualquier afirmación relacionada con el caso de estudio, por lo cual se genera inicialmente los siguientes requerimientos para ejecutar una investigación [13]:

� Se deben utilizar medios forenses estériles. � Mantener la integridad del medio original. � Cadena de custodia: Etiquetar, controlar y transmitir adecuadamente las copias de

datos, impresiones y resultados de la investigación. � Presentación y sustentación de los resultados. � Validación y verificación de los procedimientos aplicados.

El tener una lista de requerimientos tan exigente y de alta prioridad, obliga que la informáti-ca forense se valga de un procedimiento muy bien definido, donde indique que hacer, en qué momento y quiénes son sus responsables, para que así, se pueda llegar a conclusiones y aseveraciones lo suficientemente argumentativas y comprobables. Por esta razón surgen distintos protocolos y buenas prácticas para la realización de investigaciones forense entre

otras, la el IOCE propone [6] o las que el departamento de justicia de los Estados Uni-dos plantea en su “Guide for First Responders” [7].

Estas buenas prácticas y protocolos se basan fundamentalmente en la anatomía de una investigación forense, la cual se observa en la figura 2, donde se describe el flujo y procedi-mientos generales que abarcan una investigación.



Figura 4 Anatomía de una Investigación Forense (traducción) [14]

Como se puede observar la principal protagonista en el proceso de una investigación foren-se es la evidencia digital, que conforma la más importante entrada para el flujo de dicho proceso y la que asegura la sustentación de afirmaciones y conclusiones al momento de presentar resultados a las entidades judiciales, encargadas de dar veredictos sobre los casos de estudio.

Por esta razón se hace necesario que los investigadores de informática forense conozcan a profundidad las características de la evidencia digital, así como cuales son las distintas for-mas de generación de esta y los posibles lugares donde se puede encontrar.



3.1.3 Definición de Técnicas Anti-forenses

Las herramientas o técnicas anti–forenses se definen según (Harris, 2006) como “cualquier

intento de comprometer la disponibilidad de la evidencia para un proceso forense.”[9] Del mismo modo si se profundiza un poco más en éste concepto y se desarrolla en términos más técnicos se genera la siguiente definición: “Cualquier intento exitoso efectuado por un indi-viduo o proceso que impacte de manera negativa la identificación, la disponibilidad, la con-fiabilidad y la relevancia de la evidencia digital en un proceso forense” [1]

Estas técnicas proporcionan a los atacantes una ventaja inusual sobre los investigadores en cómputo forense, ya que al hacerse efectivas sobre la evidencia digital, pueden comprome-ter fácilmente la confianza y claridad de la misma en un proceso.

Así mismo, sugiere a los investigadores observar con un mayor detalle las evidencias digita-les encontradas en una escena del crimen, lo que exige replantear los protocolos para inves-tigaciones pasadas y futuras.

3.1.4 Clasificación de Métodos Anti-forenses

A medida que se explora y se investiga más sobre las técnicas anti-forenses se han generado varias clasificaciones y del mismo modo se han definido varios métodos. Para efectos de este trabajo se tomará la clasificación planteada por (Harris 2006) a saber [9]:

� Destrucción de la evidencia. � Ocultar la evidencia. � Eliminación de las fuentes de la evidencia. � Falsificación de la evidencia.

La sofisticación y complejidad de cada uno de estos métodos demuestra que los personajes interesados en su creación y ejecución -llamados normalmente intrusos- realizan muchas más cosas y acciones que lo que indican los manuales de los proveedores de software o hardware. [2]

A continuación se establece una aproximación a cada método propuesto por Harris de las herramientas anti-forenses:



� Destrucción de la evidencia:

El principal objetivo de esta técnica es evitar que la evidencia sea encontrada por los investigadores y en caso de que estos la encuentren, disminuir sustancialmente el uso que se le puede dar a dicha evidencia en la investigación formal. Este método no busca que la evidencia sea inaccesible si no que sea irrecuperable. [15]

Esto implica que se deben destruir, desmantelar o en su defecto modificar todas las pruebas útiles para una investigación [9]. Así como en la vida real cuando ocurre un crimen y el criminal quiere destruir todo rastro o evidencia se vale de una serie de herramientas que le facilitan este objetivo.

Existen dos niveles de destrucción de la evidencia [15]:

� Nivel Físico: A través de campos magnéticos. � Nivel Lógico: Busca reinicializar el medio, cambiar la composición de los datos,

sobrescribir los datos o eliminar la referencia a los datos.

Existe una variedad de herramientas para la destrucción de evidencia de las cuales se pueden valer los intrusos para realizar este método anti-forense. Un ejemplo de herramientas son: Wipe, Shred, PGP secuere delete, Evidence Eliminator y Sswap. [15]

� Ocultar la Evidencia:

Este método tiene como principal objetivo hacer inaccesible la evidencia para el in-vestigador. No busca manipular, destruir o modificar la evidencia sino hacerla lo menos visible para el investigador. [9]

Esta técnica puede llegar a ser muy eficiente de ser bien ejecutada pero conlleva muchos riesgos para el atacante o intruso, puesto que, al no modificar la evidencia de ser encontrada puede ser válida en una investigación formal y por lo tanto servir para la incriminación e identificación del autor de dicho ataque.

Este método puede valerse de las limitaciones del software forense y del investiga-dor atacando sus puntos ciegos o no usuales de búsqueda de alguna anomalía. [9]



Una de las herramientas utilizadas por los atacantes es la esteganografía la cual ver-sa sobre técnicas que permiten la ocultación de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. [16] En el mercado se pueden encontrar muchos instrumentos fáciles de usar, de bajo costo que pueden ayudar a realizar esta técnica anti-forense, como por ejemplo Setego-Archive [17].

� Eliminación de la fuentes de la evidencia:

Este método tiene como principal objetivo neutralizar la fuente de la evidencia, por lo que no es necesario destruir las pruebas puesto que no han llegado a ser creadas. Por ejemplo, en el mundo real cuando un criminal utiliza guantes de goma para uti-lizar un arma lo que está haciendo es neutralizando y evitando dejar huellas dactila-res en el arma. Así mismo en el mundo digital esta neutralización de las fuentes de la evidencia aplica. [9]

Una de las acciones que los atacantes pueden llevar a cabo para realizar este méto-do anti-forense es la desactivación de los log de auditoría del sistema que esté ata-cando.

� Falsificación de la evidencia:

Esta método busca engañar y crear falsas pruebas para los investigadores forenses logrando así cubrir a el verdadero autor, incriminando a terceros y por consiguiente desviar la investigación con lo cual sería imposible resolverla de manera correcta.

El ejercicio de este método se vale en una edición selectiva de las pruebas creando evidencias incorrectas y falsas que corrompen y dañan la validez de dichas pruebas en una investigación forense formal, por lo cual no podrán ser tomadas en cuenta como evidencias. [9]

3.1.5 Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses (Mo-DeRaTa)

Este modelo presenta una propuesta que busca la clasificación e identificación de las técni-cas anti-forenses en términos de esfuerzo o sofisticación requeridos por el atacante para



ejecutar cualquier técnica, en la determinación de elementos susceptibles a estos ataques y en la identificación de dichas técnicas. [1]

El modelo se describe en la figura 5 la cual contiene los niveles de detección y rastreo, nive-les de análisis y técnicas utilizadas; donde cada categorización en los distintos niveles tiene las siguientes consideraciones:

� Niveles de análisis: Definen los elementos susceptibles donde se pueden materializar las técnicas anti-forenses tales como memoria, proceso, sistema de archivos, aplicación y gestión de la (in)seguridad. [1]

� Nivel de detección y rastreo: Establece los rangos y grados en los cuales es posible de-tectar y rastrear la materialización de técnicas anti-forenses e incluye el nivel de esfuer-zo (sofisticación) requerido por el atacante para materializar la técnica anti-forense. [1]

� Técnicas anti-forenses: Indica las distintas técnicas (destruir, mimetizar, manipular y deshabilitar la cuales fueron definidas al inicio del documento) que pueden materializar-se en los distintos niveles de análisis. [1]

Figura 5 MODERATA [1]

3.1.6 Fundamentos del NTFS

Revisando la historia del sistema de archivos NTFS, encontramos que es un sistema de ar-chivos diseñado e implementado por Microsoft, el cual surge como una necesidad para so-lucionar las falencias de seguridad, desempeño y confiabilidad que el sistema de archivos FAT poseía [18]. Dichos atributos se optimizan en NFTS al manejar la mayoría de los datos como archivos, de esta manera se hace más sencillo el control de la partición, ya que se tiene un bloque de información de control almacenado en archivos con metadata desde el momento en que la partición es creada, lo que le permite al sistema operativo identificar y localizar cualquier archivo de manera más eficiente [19].



La estructura que maneja un volumen de este sistema de archivos se ilustra en la siguiente imagen.

Figura 6 Estructura del NTFS [20]

� Cabe resaltar que no todos los datos son archivos dentro de la partición. Por ejem-plo, el Partition Boot Sector (PBS) no los maneja, ya que dicho fragmento en la es-tructura es el encargado de hacer las operaciones del sistema de archivos.

Para realizar las operaciones del sistema, el PBS se divide en dos sectores; el BIOS Parameter Block (BPB) y el Volume Boot Code (VBC). El BPB es el encargado de des-cribir el formato que tiene la partición y la estructura de datos de metadata y archi-vos que maneja la capa física del volumen. Así mismo, posee el Boot Code, el cual se encarga de comunicarle al sistema operativo cuales son los recursos con los que la máquina cuenta [21]. Sabiendo las características físicas del computador, el VBC carga el sistema operativo con el código que es único para cada uno.

� La Master File Table (MFT) actúa como una base de datos relacional en la cual las fi-las son archivos de historiales y las columnas con archivos de atributos. Todos los archivos de una partición NTFS deben tener por lo menos una ocurrencia dentro de la MFT [21]. Los primeros dieciséis registros de tabla son usados para describirse. A partir del diecisieteavo registro comienzan todos los registros de la partición. El ta-maño de los registros se asocia con el tamaño del cluster del volumen, sin embargo, tienen un mínimo de 1024 bytes y un máximo de 4096 bytes, así, si un registro tiene 512 bytes, el tamaño que se le asigna es de 1024 [21]. El ejemplo más claro de este tipo de atributo es el nombre del archivo o su Time Stamp. La clasificación de los re-gistros se da por la información que tienen y los tamaños dados, en este contexto se hacen llamar atributos, que pueden ser residentes y no residentes. Anteriormente, se cito un ejemplo de lo que pasa cuando el tamaño de un registro es menor que el mínimo establecido; ese tipo de registros y los que son menores o iguales al máximo establecido, se consideran residentes ya que se pueden almacenar en una sola ta-bla. Por otro lado, si un atributo llega a ser mayor de valor máximo estipulado, los clusters restantes se almacenar en una tabla adicional; este tipo se hace llamar atri-butos no residentes.

Cada registro posee una lista de atributos que se caracteriza no sólo como residen-tes o no, sino también por su tipo. Los tipos que concretamente atañen la investiga-ción del artículo son:



• Standard Information Attribute (SIA): contiene información sobre modo de acceso, timestamps (estampillas de tiempo) y cuenta de acoplamiento

• File Name (FN): posee información sobre nombre del archivo, un atributo repetible para los nombres corto y largo de un archivo.

Una lista detallada de todos los tipos se puede encontrar en [21].

� Los System Files o archivos de sistema son los archivos formales en los que se alma-cena información en forma de metadatos [22]. Se encuentran dentro de la MFT y guardan datos que la MFT no.

� El File Area contiene una copia de la MFT para efectos de recuperación de los datos en caso de problemas con la copia original [21].



4 Proceso

4.1Metodología

En esta sección se mostrará cómo mediante una serie de fases de investigación se cumplirán los objetivos específicos, junto con un grupo de actividades básicas que se asocian a cada fase

Objetivo 1: Estudiar y analizar el estado del arte de la criminalística, la criminalística digi-

tal y las técnicas anti-forenses existentes, enfocando estas últimas al sistema operativo

Windows XP SP3 y al funcionamiento de su sistema de archivos, NTFS.

1. Fase 1: Revisar la literatura del contexto: se busca identificar fuentes bibliográficas que encierren en su totalidad la criminalística, informática forense, técnicas anti-forenses y fun-cionamiento del NTFS.

2. Fase 2: Análisis de literatura y construcción de fichas bibliográficas, según el formato solicitado por el director.

Objetivo 2: Realizar el diseño de la guía metodológica enfocada a la identificación

y validación del uso de técnicas anti-forenses en el análisis de información en com-

putadores con sistema operativo con sistemas de archivos NTFS bajo un sistema

operativo Windows XP SP3 encontrado en una escena de crimen. .

1. Fase 3: Estudiar y desglosar el Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses.

2. Fase 4: Diseñar y construir la guía metodológica para identificar y validar la apli-cación de técnicas anti-forenses en Windows XP SP3.

Objetivo 3: Probar el diseño de la guía metodológica basándose en los niveles del Modelo

Conceptual de Detección y Rastreo de Técnicas Anti-Forenses (MoDeRaTA) en un sistema

de archivos NTFS en un sistema operativo Windows XP SP3.

1. Fase 5: Determinar 3 tipos de técnicas anti-forenses para realizar las pruebas. 2. Fase 6: Realizar las pruebas de concepto y atómicas. 3. Fase 7: Realizar el ajuste en la guía con las pruebas realizadas. 4. Fase 8: Usando la guía metodológica, analizar los ataques realizados. 5. Fase 9: Analizar los resultados obtenidos al usar la guía para determinar su utilidad.



4.2Actividades

OBJETIVOS ESPECÍFICOS

ACTIVIDADES FUENTES DE INFORMACIÓN

RESULTADOS (ENTREGABLES)

1. Estudiar y ana-lizar el estado del arte de la crimi-nalística, la crimi-nalística digital y las técnicas anti-forenses existen-tes, enfocando estas últimas al sistema operativo Windows XP SP3 y al funciona-miento de su sistema de archi-vos NTFS.

1. Realizar una investiga-ción sobre el contexto de la criminalística, técnicas de evasión, protocolos de aseguramiento de la esce-na del crimen y la valora-ción de elementos mate-riales probatorios. 2. Analizar el Manual Úni-co de Criminalística pro-porcionado libremente por la Fiscalía General de la Nación, para determi-nar el funcionamiento de la investigación criminalís-tica en Colombia. 3. Efectuar una explora-ción sobre los modelos existentes de informática forense y explicar su fun-cionamiento en un cuadro comparativo. 4. Encontrar vínculos en-tre la informática forense y la anti-forense partiendo de la investigación reali-zada con el objetivo ante-rior. 5. Realizar una investiga-ción profunda de las técnicas anti-forenses.

1. IEEE (Instituto de Ingenieros Eléctricos y Electrónicos). 2. NIST (Instituto Na-cional de Estándares y Tecnología). 3. Páginas web de cri-minalística. 4. Páginas web de informática forense. 5. Manual Único de la Criminalística. 6. Documentos y artí-culos de la base de datos de la Pontificia Universidad Javeriana 7. Artículos y trabajos de grado de Criptored y IJDE (International Journal of Digital Evi-dence). 9. Documentos en donde se ilustran las diferentes aplicaciones de la informática anti-forense. 10. Libros que mues-tran la evolución de los

1. Documento de estado del arte de la crimi-nalística e in-formática foren-se. 2. Documento de estado del arte de la crimi-nalística en Co-lombia. 3. Descripción detallada de los modelos exis-tentes para informática forense. 4. Documento del estado del arte de la in-formática anti-forense. 5. Cuadro de herramientas anti-forenses con los sectores que ataca y su modo de fun-cionamiento. 6. Documento de análisis del



6. Efectuar una revisión sobre las herramientas que actualmente se usan para la aplicación de las técnicas anti-forenses. 7. Analizar los sectores en donde las técnicas anti-forenses pueden ser apli-cadas dentro de un com-putador. 8. Realizar una investiga-ción básica sobre las vul-nerabilidades en seguri-dad de Windows XP SP3. 9. Efectuar una investiga-ción sobre el funciona-miento del sistema de archivos NTFS y encontrar falencias con las vulnera-bilidades encontradas en el enciso anterior.

ataques anti-forenses y su relación con la informática forense, Advances in Digital Forensics II y Forensics en Windows Forensic Analysis. 11. Documentos sobre el funcionamiento de NTFS. 12. Página web oficial de NTFS.

funcionamiento de NTFS en Windows XP.

2. Realizar el di-seño de la guía metodológica enfocada a la identificación y validación del uso de técnicas anti-forenses en el análisis de la in-formación en computadores con sistemas de archivos NTFS bajo un sistema operativo Win-dows XP SP3 en-contrado en una escena de crimen.

1. Investigar y desglosar el Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses (MoDeRaTA), enfocándo-se en los ataques a siste-mas de archivos. 2. Generar un procedi-miento a seguir cuando se encuentra o sospecha que una técnica anti-forense ha sido aplicada en una escena del crimen.

1. Manual Único de la Criminalística. 2. Documentos que ilustren el funciona-miento y los compo-nentes de MoDeRaTA. 3. Documentos entre-gados en el objetivo anterior.

1. Documento de análisis deta-llado de MoDe-RaTA, especifi-cando los ata-ques a los sis-temas de archi-vos. 2. Guía meto-dológica para identificar y validar la aplica-ción de técnicas anti-forenses en equipos con sistema operati-vo Windows XP Service Pack 3.



3. Probar el dise-ño de la guía me-todológica basándose en los niveles del Mode-lo conceptual de Detección y Ras-treo de Técnicas Anti-forenses (MoDeRaTA) en un sistema de archivos NFTS en un sistema opera-tivo Windows XP SP3.

1. Determinar tres tipos de técnicas anti-forenses para realizar las pruebas a la guía. 2. Realizar los ataques y aplicar la guía sobre un computador con Windows XP SP3. 3. Llevar a cabo una inves-tigación forense aplicando la guía metodológica. 4. Generar un documento con el análisis y conclusio-nes de los ataques reali-zados que ilustre la utili-dad de la guía.

1. Manual Único de la Criminalística. 2. Guía metodológica desarrollada en el ob-jetivo anterior.

1. Documento que detalle paso a paso como fue la realización de los ataques realizados. 2. Computado-res de prueba con los ataques anti-forenses realizados. 3. Documento de conclusiones de la utilidad de la guía y del proceso realiza-do.

4.3Entregables o Resultados Esperados

SEMESTRE OBJETIVO ESPECÍFICO PRODUCTOS ESPERADOS

Objetivo 1 Propuesta del Trabajo de Grado.

Artículo “Técnicas Anti-Forenses en Informática: Ingeniería Reversa aplicada a TimeStomp” para el CIBSI (Congreso Iberoamericano de Seguridad Informática).



I Documento de estado del arte de de la criminalística, la criminalista digital y las técnicas anti-forenses exis-tentes, enfocando estas últimas al sistema operativo Windows XP SP3 y al funcio-namiento del sistema de archivos NTFS.

II

Objetivo 2 Guía metodológica para identificar y validar la aplica-ción de técnicas anti-forenses en computadores con Windows XP SP3.

Objetivo 3 Resultados y conclusiones de las pruebas de escritorio y atómicas.

Conclusiones acerca de la utilidad de la guía tomando como base los resultados de las pruebas realizadas.

Memoria

4.4Presupuesto

CONCEPTO DEL EGRESO

FUENTE DE FINANCIACIÓN

UNIDAD CANTIDAD COSTO POR

UNIDAD

TOTAL

Honorarios Ingeniero de Sistemas 1

Pontificia Un-iversidad Jave-riana

Horas 288* $65.000 $18’720.000

Honorarios Ingeniero de Sistemas 2


Horas 288* $65.000 $18’720.000

Honorarios director del proyecto de

Pontificia Un-iversidad Jave-

Horas 64** $130.000 $8’320.000



grado riana

Equipos de laboratorio y acceso a in-ternet


Horas Ilimitada $0 $0

Papel Propia Resmas 4 $10.000 $40.000

Tinta Propia Cartuchos HP deskjet 3820 (Ne-gro)

5 $50.000 $250.000

Empastar documento de trabajo de grado

Propia Unidad 4 $10.000 $40.000

Computador personal In-geniero 1

Propia Unidad 1 $325,000 $325,000

Computador personal In-geniero 2

Propia Unidad 1 $250,000 $250,000

Microsoft Office


Unidad 1 $450.000 $450.000

Varios (Transporte, alimentación, papelería, luz, agua, teléfo-nos, celula-res)

Propia $400.000

Total $47’515,000

* Teniendo en cuenta que en este proyecto se trabajará durante dos semestres por solicitud del director, en el primer semestre se elabora el trabajo de una materia de dos créditos (6 horas semanales tanto presenciales como no presenciales) y el segundo la carga de cuatro créditos de la materia de Trabajo de Grado (12 horas uniendo horas presenciales y horas de trabajo independiente). Por tanto, tenemos que al multiplicar las 6 horas semanales del



primer semestre por las 16 semanas (96 horas), más las 12 horas semanales del segundo semestre por 16 semanas (192 horas), para un total de 288 horas por los dos semestres.

** Con 2 horas semanales por reunión durante 2 semestres con 16 semanas cada uno, se tiene un total de 64 horas.

4.5Cronograma



5 Referencias y Bibliografía

Esta sección presenta las referencias y bibliografía del trabajo de grado

5.1Referencias

[1] Jeimy. J. Cano. (2007). Introducción a las técnicas anti forenses: Conceptos e implicaciones para investigadores. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_JCano.pdf.

[2] Jeimy. J. Cano. (2007). Introducción a informática forense. http://www.acis.org.co/fileadmin/Revista_96/dos.pdf

[3] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000). Recovering and Examining Computer Forensic Evidence. [online] Disponible en:http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm. Consultado (10/03/09)

[4] López, Oscar; Amaya, Haver; León Ricardo; Acosta Beatriz. (2002). Informática Forense: Generalidades, aspectos técnicos y herramientas. [online] Disponible en: http://www.criptored.upm.es/guiateoria/gt_m180b.htm

[5] Standards Australia International (2003) HB 171-2003 Guidelines for the man-agement of IT Evidence.

[6] IOCE. (2002). Guidelines For Best Practice In The Forensic Examination Of Digital Tech-nology.

[7] US Department Of Justice. (2001). Electronic Crime Scene Investigation: A Guide for First Responders. http://www.ncjrs.gov/pdffiles1/nij/219941.pdf

[8] Web Statistics and Trends Disponible en: http://www.w3schools.com/browsers/browsers_os.asp (Consultado22/05/09)

[9] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. http:// dfrws.org/2006/proceedings/6-harris.pdf



[10] Vásquez G. Cesar A., Valero C. Horacio, Jiménez M. Francisco, Puentes R. Irma, Camacho B. Erika, CT Guzmán A. Juan. “Tecnología en criminalística IV periodo”. Bogotá D.C. 2006. ISBN 958.33.8831. [11] Valencia G. Magnolia, Acosta W. Magda, Jaimes D. Gabriel, Reyes V. Ingrith, Valencia V. James, Jiménez L. Juan, Bermúdez B. Juan, Díaz P. Martin, Devia A. Fernando. “Manual de Procedimientos del Sistema de Cadena de Custodia”. Bogotá D.C. 2004. Fiscalía General de la Nación. Disponible en http://www.usergioarboleda.edu.co/derecho_penal/2004MANUAL%20CADENA%20DE%20CUSTODIA.pdf [12] Kshetri, N. (2006) The simple economics of cybercrime. IEEE Security & Privacy. Janu-ary/February. SUNDT, C. (2006) Information security and the law. Information Security Technical Report. Vol.2 No.9.

[13] Cano Jeimy J.; Computación Forense: Conceptos Básicos. [14] Gavin, M. referenciada en Cano Jeimy J.; Computación Forense: Conceptos Bási-cos. [15] Andres R. Almanza. (2007). Ciencias Anti-forenses… Un nuevo reto para las organizaciones. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_AAlmanza.pdf [16] Info Seguridad: Esteganografia. [Online]. Disponible: http://www.infoseguridad0.es/Estenografia.htm

[17] Stegoarchive. [Online] Disponible: http://www.stegoarchive.com/

[18] PCGuide. Overview and History of the NTFS. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm

[19] Ariza. A., Ruiz. J., Análisis de Metadatos en archivos Office y Adobe. [Online] Disponi-ble: http://www.criptored.upm.es/guiateoria/gt_m142g1.htm

[20] PCGuide. NTFS file Atrtibutes. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/files_Attr.htm

[21] PCGuide. NFTS System (Metadata) Files. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/arch_Files.htm

[22] MicrosoftTech. [Online] Disponible: http://technet.microsoft.com/en-us/library/cc781134.aspx



5.2Bibliografía Propuesta para el desarrollo del Trabajo de Grado

[1] ACKOFF R., ADDISON H. (2007) MANAGEMENT F-LAW. HOW ORGANIZATIONS REALLY WORK. TRIARCHY

PRESS. [2]Metasploit Anti-Forensics Project [online] disponible: http://www.metasploit.com/research/projects/antiforensics/. [3] Jeimy. J. Cano. (2007). Inseguridad informática y computación anti-forense: Dos conceptos emer-gentes en seguridad de la información. [Online] Disponible: http://www.virusprot.com/Archivos/Antifore07.pdf [4] Jeimy. J. Cano. (2007). Introducción a las técnicas anti forenses: Conceptos e implicacio-nes para investigadores. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_JCano.pdf.

[5] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. [Online] Disponible: http:// dfrws.org/2006/proceedings/6-harris.pdf

[6] Jeimy. J. Cano. (2007). Introducción a la Informática Forsen: Una Disciplina técnico-legal. [Online] Disponible: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf.

[7] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000). Recovering and Examining Computer Forensic Evidence. [online] Disponible en: http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm. Consultado (10/03/09)

[8] López, Oscar; Amaya, Haver; León Ricardo; Acosta Beatriz. (2002). Informática Forense: Generalidades, aspectos técnicos y herramientas. [online] Disponible en: http://www.criptored.upm.es/guiateoria/gt_m180b.htm

[9] Standards Australia International (2003) HB 171-2003 Guidelines for the management of IT Evidence.

[10] Jeimy. J. Cano. (2007). Introducción a las técnicas anti forenses: Conceptos e implica-ciones para investigadores. [Online] Disponible: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf

[11] Andres R. Almanza. (2007). Ciencias Anti-forenses… Un nuevo reto para las organiza-ciones. [Online] Disponible: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_AAlmanza.pdf

[12] Info Seguridad: Esteganografia. [Online]. Disponible: http://www.infoseguridad0.es/Estenografia.htm

[13] Stegoarchive. [Online] Disponible: http://www.stegoarchive.com/

[14] Metasploit Anti-Forensics Project. [Online] Disponible: http://www.metasploit.com/data/antiforensics/BlueHat-Metasploit_AntiForensics.ppt



[15]MicrosoftTech. [Online] Disponible: http://blogs.technet.com/ganand/archive/2008/02/19/ntfs-time-stamps-file-created-in-1601-

modified-in-1801-and-accessed-in-2008.aspx

[16] NTFS. NTFS. [Online] Disponible:

http://www.ntfs.com/ntfs-files-types.htm

[17] MicrosoftTech. [Online] Disponible: http://technet.microsoft.com/en-us/library/cc781134.aspx

[18] Córdoba Jonathan, Laverde Ricardo, Ortiz Diego, Puentes Diana. Análisis de Datos:

Una propuesta metodológica y su aplicación en The Sleuth Kit y EnCase. Disponible en: [Online] Disponible: http://www.criptored.upm.es/descarga/AnalisisdeDatos-En-Sleu05.zip

[19] PCGuide. Overview and History of the NTFS. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm

[20] Ariza. A., Ruiz. J., Análisis de Metadatos en archivos Office y Adobe. [Online] Disponi-ble: http://www.criptored.upm.es/guiateoria/gt_m142g1.htm

[21] PCGuide. NTFS file Atrtibutes. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/files_Attr.htm

[22] PCGuide. NFTS System (Metadata) Files. [Online] Disponible: http://www.pcguide.com/ref/hdd/file/ntfs/arch_Files.htm

[23] Microsoft Corporation. “How NTFS works”. [Online] Disponible: http://technet.microsoft.com/en-us/library/cc781134.aspx

[24] Chikofsky. E., Cross. J., Reverse Engineering and Design Recovery: A Taxonomy, IEEE Software, pp. 13-17, 1990.

[25] Galen Lab. Reverse Engineering. [Online] Disponible: http://calla.ics.uci.edu/reveng/

[26] http://electronicdesign.com/Articles/Index.cfm?AD=1&ArticleID=11966

[27] Müller H., Jahnke J., Smith D., Storey M., Tilley S., Wong K.. Reverse Engineering: A Roadmap. [Online] Disponi-ble:http://www.cs.ucl.ac.uk/staff/A.Finkelstein/fose/finalmuller.pdf

[29] What is: The Leading TI encyclopedia and learning Center. [Online] Disponible: http://whatis.techtarget.com/definition/0,,sid9_gci817089,00.html

[30] Santa Clara University, School of Engineering. NTFS File System. [Online] Disponible: www.cse.scu.edu/~tschwarz/coen152_05/PPtPre/NTFSFS.ppt

[31] Help with PCs. DLL. [Online] Disponible: http://www.helpwithpcs.com/jargon/dll.htm

[32] Win32 API Obscurity for I/O Blocking and Intrusion Prevention (2005). [Online] Dis-ponible: http://www.ddj.com/security/184406098

[33] MetaSploit Anti-Forsensics Project. [Online] Disponible: www.metasploit.com/data/antiforensics/BH2005-Catch_Me_If_You_Can.ppt



[34] Timestomp codigo fuente. [Online] Disponible en: http://trac.metasploit.com/browser/framework3/trunk/external/source/meterpreter/source/extensions/priv/server/timestomp.c?rev=6357

[33] I/O Status Blocks. [online] Disponible en http://msdn.microsoft.com/en-us/library/ms795786.aspx

[34] LoadLibrary Function. [online] Disponible en http://msdn.microsoft.com/en-us/library/ms684175(VS.85).aspx

[35] GetProcAddress Function. [online] Disponible en http://msdn.microsoft.com/en-us/library/ms683212(VS.85).aspx

[36] Windows API. [online] Disponible en http://msdn.microsoft.com/en-us/library/aa383750.aspx

[37] CreateFile Funtion [online] Disponible en http://msdn.microsoft.com/en-us/library/aa363858(VS.85).aspx

[38] SetInformationFile [online] Disponible en http://msdn.microsoft.com/en-us/library/ms804363.aspx



6 Anexos

propuesta para trabajo de grado - …pegasus.javeriana.edu.co/~cis0910sd03/propuesta.pdf · de esta...

Documents