Análisis Forense Informático-Fuentes de Evidencia
Análisis Forense Informático-Fuentes de Evidencia
¿Cuál de los dispositivos o componentes de un computador contendrá evidencias tipo archivos? Los dispositivos de almacenamiento, como discos duros, unidades de estado sólido (SSD), unidades USB, tarjetas de memoria y cualquier otro medio de almacenamiento, contendrán evidencias tipo archivos. Estos dispositivos son donde se almacenan los datos, programas, documentos y cualquier otro tipo de información digital que puede ser relevante para una investigación forense.
¿Qué tipo de evidencias puede contener el sistema operativo? El sistema operativo puede contener una amplia variedad de evidencias, que incluyen, pero no se limitan a:
Archivos del sistema, como registros de eventos, registros de configuración, archivos de registro y archivos de sistema.
Metadatos de archivos, que proporcionan información sobre la creación, modificación y acceso a los archivos.
Registros de actividad del usuario, como registros de inicio de sesión, historiales de comandos, historiales de navegación web y archivos de cookies.
Configuraciones del sistema, que pueden revelar la configuración del hardware y del software, así como las preferencias del usuario.
Archivos temporales y cachés que podrían contener datos sensibles o evidencia de actividad reciente.
- ¿Se podrán encontrar evidencias en la memoria principal? Sí, es posible encontrar evidencias en la memoria principal (RAM) de un sistema informático. Aunque la memoria RAM es volátil y pierde su contenido cuando se apaga el sistema, durante la ejecución del sistema operativo y las aplicaciones, la memoria RAM almacena datos temporales y procesos en ejecución. Estos datos pueden incluir contraseñas en texto claro, fragmentos de archivos abiertos, información sobre procesos en ejecución, conexiones de red activas y otra información relevante para una investigación forense digital. Es importante tener en cuenta que la información en la memoria RAM es transitoria y puede perderse rápidamente, por lo que la adquisición de la memoria RAM debe realizarse lo más rápido posible para preservar la evidencia.
Comentarios
Publicar un comentario