Análisis Forense informático-Fuentes de Evidencia
Análisis Forense informático-Fuentes de Evidencia
- Dispositivos
o componentes de un computador que pueden contener evidencias tipo
archivos: Los archivos pueden ser almacenados en varios dispositivos o
componentes de un computador. Algunos de estos incluyen:
- Disco
duro: Es el principal dispositivo de almacenamiento en un computador
y puede contener una gran cantidad de archivos y datos.
- Memoria
USB: Estos dispositivos portátiles pueden contener archivos que han
sido transferidos desde el computador.
- Tarjetas
SD: Utilizadas en cámaras y otros dispositivos, estas tarjetas pueden
contener fotos, videos y otros archivos.
- CDs/DVDs: Aunque menos comunes en la actualidad, estos discos pueden contener archivos y programas.
- Tipo
de evidencias que puede contener el sistema operativo: El sistema
operativo puede contener varios tipos de evidencias, incluyendo:
- Archivos
de registro (logs): Estos archivos contienen detalles sobre las
actividades del sistema, como cuándo se inició o cerró sesión, y qué
programas se ejecutaron.
- Archivos
temporales: Estos archivos se crean durante la ejecución normal de
los programas y pueden contener información valiosa.
- Archivos
de configuración: Estos archivos contienen las configuraciones del
sistema y de los programas, y pueden mostrar qué programas se han
instalado o modificado.
- Archivos
de la papelera de reciclaje: Los archivos que se han “eliminado” a
menudo se mueven a la papelera de reciclaje y pueden ser recuperados.
- Evidencias
en la memoria principal: La memoria principal, o RAM, es volátil, lo
que significa que la información se pierde cuando se apaga el computador.
Sin embargo, mientras el computador está encendido, la RAM puede contener
mucha información útil para un investigador, incluyendo:
- Imágenes
de procesos: Estas son copias de los programas que se están
ejecutando actualmente en el computador.
- Datos
de la red: Esto puede incluir detalles sobre las conexiones de red
actuales y pasadas.
- Fragmentos
de archivos: Cuando se abren los archivos, partes de ellos pueden
quedar en la RAM incluso después de que se cierren.
- Información
del sistema: Esto puede incluir detalles sobre el hardware del
computador y el sistema operativo.
Comentarios
Publicar un comentario