La creación de una línea temporal de sucesos, se realiza una vez se ha recopilado la información específica suficiente sobre los ficheros contenidos en las imágenes de disco analizadas. Se deben tener en cuenta:
- Inodos.
- Marcas temporales.
- Rutas de ubicación.
- Tamaño en bytes.
- Tipo de ficheros.
- Usuarios y grupos a los que pertenecen.
- Permisos de acceso.
- Estado de eliminación.
Es el punto de partida y final de un análisis forense. El procedimiento a seguir incluye el ordenamiento por fechas MAC; el análisis debe tener en cuenta que todos los archivos y carpetas tendrán como propiedad inicial la fecha de instalación del Sistema Operativo.
Por tanto, la búsqueda de ficheros y directorios creados, modificados o borrados se centrará en sucesos recientes. También se verificará la instalación de programas posteriores a la del Sistema Operativo que se encuentren rutas poco comunes. A partir de esto, se realizará la búsqueda con respecto a archivos modificados tras la instalación del Sistema Operativo y se averigua la ubicación y tipo de archivos ocultos. Por último, se indagará sobre archivos borrados o fragmentos, restos de logs y registros borrados.
De ahí la importancia de hacer imágenes de discos para acceder a espacio residual y leer zonas que el Sistema Operativo no es capaz de ver.
Como sugerencia se debe ser metódico e ir de lo general a lo particular. Se parte de archivos borrados, se recupera su contenido, se anota su fecha de borrado y se coteja con la actividad del resto de archivos, puede que en esos momentos se estuviera dando primeros pasos del ataque.
Ahora se procede a examinar logs y registros para buscar correlación entre eventos. Se buscarán entradas que no sean normales y compararlas con la actividad de ficheros. También se edita el archivo de contraseñas y se busca la creación de usuarios y cuentas anormales.
Una vez se finaliza toda esta recolección de información, la pericia del investigador le permitirá inferir los acontecimientos y elaborar una línea temporal similar a la presentada a continuación:
0 comentarios:
Publicar un comentario