Sei sulla pagina 1di 34

Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

PROPUESTA PARA TRABAJO DE GRADO


TTULO
Gua metodologa para identificar y validar la aplicacin de tcnicas anti-forenses en
equipos con sistema operativo Windows XP Service Pack 3.

MODALIDAD
Proyecto de investigacin formativa

OBJETIVO GENERAL
Desarrollar una gua metodologa para identificar y evidenciar la aplicacin de tcnicas
anti-forenses en el anlisis de informacin en un computador con sistema de archivos
NTFS bajo el sistema operativo Windows XP SP3.

ESTUDIANTE(S)
Armando Botero Vila
Documento Celular Telfono fijo Correo Javeriano
cc. 1020722018 314-491-2902 7598492 armando.botero@javeriana.edu.co

Ivn Felipe Camero Padilla


Documento Celular Telfono fijo Correo Javeriano
cc. 1019002938 316-831-5396 6138749 icamero@javeriana.edu.co

DIRECTOR
Ing. Jeimy Cano Martinez
Documento Celular Telfono Correo Javeriano; Correo 2 Empresa donde trabaja y
fijo cargo
cc. 79557736 3208320 ext jjcano@yahoo.com Coordinador de Seguridad
5338 de la Informacin
j.cano@javeriana.edu.co
ECOPETROL S.A

ASESORES
Ing.
Documento Celular Telfono fijo Correo Javeriano; Correo2 Empresa donde trabaja y
cargo
cc. 1234678 322-xxx- 3208320 ext gchavarr@javeriana.edu.co; Pontificia Universidad
xxx 5338 gchavarr@alternativo.com Javeriana; Profesor de
Tiempo Completo Depar-
tamento de Sistemas

Propuesta Pgina 1
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

VoBo. Coordinador de Trabajos de Grado: ________________________


Cdigo: TG-20071-xxx

Contenido

1 OPORTUNIDAD O PROBLEMTICA .......................................................................... 3


1.1 DESCRIPCIN DEL CONTEXTO ................................................................................ 3
1.2 FORMULACIN...................................................................................................... 6

2 DESCRIPCIN DEL PROYECTO ................................................................................ 8


2.1 OBJETIVO GENERAL .............................................................................................. 8
2.2 OBJETIVOS ESPECFICOS ........................................................................................ 8

3 MARCO TERICO / ESTADO DEL ARTE................................................................... 9


3.1 FUNDAMENTOS ..................................................................................................... 9
3.1.1 Criminalstica ........................................................................................................ 9
3.1.2 Informtica Forense ............................................................................................. 13
3.1.3 Definicin de Tcnicas Anti-forenses.................................................................... 16
3.1.4 Clasificacin de Mtodos Anti-forenses ................................................................ 16
3.1.5 Modelo Conceptual de Deteccin y Rastreo de Tcnicas Anti-Forenses
(MoDeRaTa) ................................................................................................................ 18
3.1.6 Fundamentos del NTFS ........................................................................................ 19

4 PROCESO ........................................................................................................... 22
4.1 METODOLOGA .........................................ERROR! MARCADOR NO DEFINIDO.
4.2 ACTIVIDADES ............................................................................................... 22
4.3 ENTREGABLES O RESULTADOS ESPERADOS.................................................... 25
4.4 PRESUPUESTO ............................................................................................... 26
4.5 CRONOGRAMA .............................................................................................. 28

5 REFERENCIAS Y BIBLIOGRAFA......................................................................... 29
5.1 REFERENCIAS ............................................................................................... 29
5.2 BIBLIOGRAFA PROPUESTA PARA EL DESARROLLO DEL TRABAJO DE GRADO ... 31

6 ANEXOS ............................................................................................................. 31

Propuesta Pgina 2
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

1 Oportunidad o Problemtica

1.1 Descripcin del contexto


En la actualidad, se cuenta con una tecnologa de la informacin avanzada y con un
nivel de maduracin cada vez mayor, introducida a fondo en la vida de las organiza-
ciones y personas, lo que ha generado que la informacin se haya convertido en un
bien de vital importancia, el cual debe ser protegido de amenazas que pueden da-
ar, robar, modificar, y aprovecharse de este para mltiples acciones mal intencio-
nadas o ilcitas.

La constante evolucin de los sistemas computacionales ha trado consigo un incre-


mento en las vulnerabilidades, las cuales son aprovechadas al mximo por los ata-
cantes o intrusos. Una muestra de las distintas formas de explotar estas vulnerabili-
dades se puede encontrar en la siguiente figura, que evidencia cmo los atacantes
desarrollan y refinan cada vez ms sus tcnicas, para sacar provecho de los proble-
mas inherentes de las nuevas tecnologas [1].

Figura 1 Clasificacin ataques [1]

Propuesta Pgina 3
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

Cmo muestra la figura, a medida que los conocimientos de los atacantes aumen-
tan, se extiende proporcionalmente el nivel de sofisticacin de los ataques. Esto re-
vela que las organizaciones y los directores de los departamentos de seguridad, hoy
en da no se estn enfrentado a personas inexpertas e ingenuas que solo quieren
jugar; se estn enfrentando a mentes inquietas que siempre van ms all de lo que
cualquier manual de computacin les pueda aportar , de igual forma, estas personas
tienen algo que la industria de seguridad informtica no tiene: suficiente tiempo y
esfuerzo para encontrar alternativas creativas para vulnerar los sistemas [2].

De acuerdo al escenario anterior, donde las mentes inquietas poseen distintas moti-
vaciones y teniendo en cuenta que la informacin es un bien sumamente importan-
te en las organizaciones, cualquier ataque a este podra ser considerado un delito
ante las autoridades.

As que para poder judicializar y presentar los distintos casos a las autoridades judi-
ciales, surge de la criminalstica una nueva disciplina que utiliza un conjunto de
herramientas, estrategias y acciones para descubrir en medios informticos, la evi-
dencia digital que respalde y compruebe cualquier acusacin frente a la investiga-
cin de un delito informtico [2].

Esta disciplina se conoce como Informtica Forense, la cual segn el FBI se define
como la ciencia de adquirir, preservar, obtener y presentar datos que han sido pro-
cesados electrnicamente y guardados en un medio computacional [3]. Donde los
principales objetivos de esta son [4]:

1. La compensacin de los daos causados por los criminales o intrusos.


2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.

Detallando el segundo objetivo de la informtica forense, La persecucin y proce-


samiento judicial de los criminales, est tiene cmo eje central la evidencia digital,
para la investigacin y una eventual judicializacin de los implicados en el caso de
estudio.

Propuesta Pgina 4
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

En este sentido la evidencia digital se define como cualquier registro generado por o
almacenado en un sistema computacional que puede ser utilizado como elemento
material probatorio en un proceso legal [2].

De esta manera, la evidencia digital puede ser dividida en tres categoras las cuales
son [5]:

a) Registros almacenados en el equipo de tecnologa informtica; por ejemplo


correo electrnicos, archivos de aplicaciones de ofimtica, imgenes, etc.
b) Registros generados por los equipos de tecnologa informtica; por ejemplo
registros de auditora, registros de transacciones, registros de eventos, etc.
c) Registros que parcialmente han sido generados y almacenados en los equi-
pos de tecnologa informtica; por ejemplo hojas de clculo financieras, con-
sultas especializadas en bases de datos, vistas parciales de datos, etc.

Adems de la anterior clasificacin, la evidencia digital posee unas caractersticas


especiales que adicionalmente de diferenciarla de la evidencia fsica, la convierten
en un constante reto para los investigadores de informtica forense. Estas carac-
tersticas son las siguientes [2]:

 Es voltil
 Es annima
 Es duplicable
 Es alterable y modificable
 Es eliminable

Si partimos del hecho que los intrusos basan sus ataques en conocimientos avanza-
dos en informtica forense, en las propiedades de la evidencia digital y apoyndose
de la frase planteada por Simple Nomad 2006 Si controlamos los bits y bytes, y
adems conocemos como funcionan las herramientas Forenses, podemos controlar
la direccin de la investigacin forense, podramos decir que la unin de estas tres
ltimas premisas, definen a grandes rasgos las tcnicas anti-forenses.

Propuesta Pgina 5
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

1.2 Formulacin

Actualmente, la informtica forense cuenta con protocolos que formalmente descri-


ben cmo se debe llevar a cabo una investigacin, con el nico fin de entregar resul-
tados concretos que muestren el quin, cmo, dnde, cundo, para qu, con qu y
por qu de un hecho. Estos protocolos son definidos por las unidades especializadas
en delitos informticos de cada pas, basndose en modelos y buenas prcticas, en-
tre otras las que el IOCE propone [6] o las que el departamento de justicia de los
Estados Unidos plantea en su Guide for First Responders [7]. Sin embargo, en es-
tos protocolos, no se contempla la aplicacin de alguna tcnica anti-forense que se
definen como cualquier intento exitoso efectuado por un individuo o proceso que
impacte de manera negativa la identificacin, la disponibilidad, la confiabilidad y la
relevancia de la evidencia digital en un proceso forense [2], en la ejecucin del ata-
que.

La mayora de los ataques estudiados por la informtica forense se observan a nivel


de empresas, en donde en gran parte de ellas se utiliza el sistema operativo Win-
dows XP que hoy por hoy es la versin ms estable y segura de Windows [8]. Aun-
que por otro lado, el auge de Windows XP trajo consigo un amplio estudio de la pla-
taforma; estudio que concluy en aspectos positivos para Microsoft y negativos para
sus usuarios. Los negativos, al permitirle a atacantes evaluar cules son sus vulnera-
bilidades y atacarlo por ah, y las positivas al permitirle a Microsoft realizar procesos
de reingeniera a su sistema operativo al analizar las deficiencias encontradas por los
atacantes, esto llev al lanzamiento de diferentes service packs en los cuales se iba
mejorando la estabilidad y seguridad del sistema operativo, de esta manera se lleg
hasta la tercera versin de estos, siendo sta la ms refinada de todas. Durante ste
proceso se encontraron varias falencias en la seguridad de Windows XP que termi-
naron por convertirse en oportunidades de ataques para los criminales digitales.

Al adquirir conocimientos sobre las vulnerabilidades de Windows, un criminal puede


aplicar diferentes mtodos y tcnicas para mimetizar, manipular, deshabilitar o des-
truir [9] evidencia digital con el objetivo de agravar o desviar una investigacin. Es
por esto que existe la necesidad de incorporar a los manuales que guan las investi-
gaciones de informtica forense, un protocolo que identifique la aplicacin de tcni-
cas anti-forenses en un crimen digital.

Propuesta Pgina 6
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

Es por lo anterior esta investigacin busca dar una respuesta al siguiente interrogan-
te: Cmo identificar y validar la presencia de una tcnica anti-forense en el anlisis
de informacin en un computador que contenga un sistema de archivos NTFS bajo el
sistema operativo Windows XP SP3 encontrado en una escena del crimen?

Propuesta Pgina 7
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

2 Descripcin del Proyecto

2.1 Objetivo general


Desarrollar una gua metodologa para identificar y evidenciar la aplicacin de tcnicas anti-
forenses en el anlisis de informacin en un computador que contenga un sistema de archi-
vos NTFS bajo el sistema operativo Windows XP SP3 encontrado en una escena del crimen.

2.2 Objetivos especficos

1. Estudiar y analizar el estado del arte de la criminalstica, la criminalstica en medios


informticos y las tcnicas anti-forenses existentes, enfocando estas ltimas al sis-
tema operativo Windows XP SP3 y en el funcionamiento del sistema de archivos
NTFS.
2. Realizar el diseo de la gua metodolgica enfocada a la identificacin y validacin
del uso de tcnicas anti-forenses en el anlisis de la informacin en computadores
con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encon-
trado en una escena de crimen.
3. Probar y ajustar el diseo de la gua metodolgica basndose en los niveles del Mo-
delo conceptual de Deteccin y Rastreo de Tcnicas Anti-forenses (MoDeRaTA) en
un sistema de archivos NFTS en un sistema operativo Windows XP SP3.

Propuesta Pgina 8
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

3 Marco Terico / Estado del Arte

3.1 Fundamentos

3.1.1 Criminalstica

La criminalstica se puede definir como una ciencia que estudia los indicios dejados en el
lugar del delito, con el propsito de descubrir la identidad del criminal y las circunstancias
que ocurrieron en el hecho [10]. Esta se compone de diferentes disciplinas cientficas que
juntas cumplen el nico propsito de hacer la transicin entre una posible prueba o autor
criminal, a una evidencia concreta o un sospechoso.
De este modo, la criminalstica se vale de procedimientos y protocolos para realizar las dis-
tintas investigaciones, los cuales en trminos generales se dividen en dos partes:
Primero, se recolecta la evidencia digital donde se realiza el aseguramiento de la escena del
crimen, para estudiar cuales son los elementos que pueden llegar a convertirse en pruebas
o indicios de un hecho.
Segundo, se hace el debido anlisis de las evidencias recolectadas y se presentan las prue-
bas y conclusiones de la investigacin a los encargados de dar las sentencias sobre el caso
de estudio.
El lugar de los hechos es considerado dentro de la criminalstica como la principal fuente
generadora de evidencias. Por esta razn es importante el cuidado y el profesionalismo que
debe tener un perito investigador con la escena del crimen y aun ms, con el seguimiento de
los protocolos establecidos por la ley para el aseguramiento de dicha escena.
Existen 5 caractersticas generales que deben ser tenidas en cuenta por los peritos investi-
gadores en una escena del crimen, que son las siguientes [10]:
1) El hecho es considerado no reciente y, por lo tanto, es necesario llegar lo ms pron-
to posible a el lugar donde acontecieron los hechos para evitar prdidas o alteracio-
nes de la evidencia fsica.
2) Elaborar los croquis y tomar fotografas de la escena del crimen para garantizar el
mantenimiento de cmo se encontraba la escena cuando ocurrieron los hechos a lo
largo de toda la investigacin.
3) Evitar posibles contaminaciones y prdidas, despus de una rigurosa inspeccin ju-
dicial.
4) Tener cuidado con la fragilidad de la evidencias fsicas encontradas en la escena del
crimen para no perderlas o alterarlas por mal manejo de los investigadores.

Propuesta Pgina 9
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

5) El valor de la prueba indiciaria es relativo cuando hay un manejo inadecuado de los


elementos encontrados en el lugar de los hechos.

Los lugares de los hechos se pueden clasificar segn el ambiente en que se encuentran ubi-
cados, por esta razn se generan distintos tipos de escenas del crimen, que son las siguien-
tes: [10]
 Abiertos: Los cuales se caracterizan por no tener lmites precisos y, por lo general,
pueden consistir en un parque, la va pblica, un potrero, la playa, el campo, etc.
 Cerrados: Se diferencian de los abiertos porque estn circunscritos por lmites preci-
sos como el interior de una oficina, edificio, un hotel, un supermercado, etc.
 Semi-abiertos o mixtos: Como su nombre lo indica, son aquellos lugares que tienes
caractersticas propias de los lugares abiertos y a la vez cerrados, como un parque
de diversiones, una residencia, un club, etc.

En Colombia existe un procedimiento y un protocolo que se debe seguir para asegurar una
escena del crimen, esta se describe en el Manual de procedimientos del sistema de cadena
de custodia proporcionado por la fiscala general de nacin, donde en primera instancia
define el aseguramiento de la escena como : Actividad que se adelanta para garantizar el
aseguramiento o proteccin del lugar de los hechos con ocasin de una posible conducta
punible, a fin de evitar la prdida o alteracin de los elementos materia de prueba o eviden-
cia fsica.[11]; lo cual se consigue con la aplicacin del siguiente procedimiento: [11]

1. Realizar una observacin preliminar del lugar de los hechos y los EMP (Elementos
Materiales Probatorios) o la Evidencia Fsica, especialmente aquellos que se encuen-
tran a mayor distancia del cuerpo de occiso cuando se trate de inspeccin a cadver.
El responsable de estos es Polica de Vigilancia y/o Polica Judicial.
2. Determina el rea a ser aislada y acordona utilizando doble barrera fsica (cuerdas,
cintas, barricadas, policas adicionales, vehculos, voluntarios, entre otros) la cual
permite a los funcionarios adelantar la diligencia ubicndose dentro del permetro
del primer y segundo acordonamiento, dejando el primer acordonamiento para ais-
lar el lugar de los hechos. El responsable de estos es Polica de Vigilancia y/o Polica
Judicial.
3. Realiza el acordonamiento teniendo en cuenta las caractersticas del lugar de los
hechos. Si el lugar es abierto se toma como referencia el cuerpo de la victima si se
trata de una inspeccin a cadver y acordona hasta el EMP o EF ms alejado de ste.
De igual manera procede en otro tipo de conducta, tenindose en cuenta el rea fo-
cal ms afectada.
Si el lugar es cerrado, se realiza el acordonamiento desde el punto de acceso al in-
mueble o inmuebles involucrados en el hecho (puede llegar hasta varias cuadras al-
rededor del mismo). Es indispensable tener en cuenta las puertas, ventanas y vas
probables de escape. El responsable de estos es Polica de Vigilancia y/o Polica Judi-
cial.

Propuesta Pgina 10
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

4. Reporta a la central de comunicaciones las actividades realizadas. El responsable de


estos es Polica de Vigilancia y/o Polica Judicial.

5. Cuando se encuentren personas lesionadas en el lugar de los hechos establece co-


municacin con ellas a fin de identificarlas y obtener informacin acerca de lo ocu-
rrido y que sea de inters para la investigacin.
Previo al desplazamiento o movimiento de los lesionados, se procede a marcar la
ubicacin y posicin original de la persona.
Si se trata de una persona fallecida, se evita su manipulacin, la de sus documentos
y pertenencias; si en el lugar se encuentran testigos o familiares, se individualizan a
travs de la informacin que ellos aporten. El responsable de estos es Polica de Vi-
gilancia y/o Polica Judicial.

6. Si se encuentran testigos, sospechosos o familiares del occiso o del hecho, se evita


que estos se retiren, se procede a separarlos y a aislarlos, impidiendo la comunica-
cin entre ellos.
Adicionalmente, se toman los datos generales de identificacin (nombre, cdula de
ciudadana, parentesco con la vctima, lugar de residencia, entre otros datos). Esta
informacin se consigna en el formato de actuacin del primer respondiente. El res-
ponsable de estos es Polica de Vigilancia y/o Polica Judicial.

7. Si en el lugar de los hechos se encuentra el presunto agresor y es ubicado, se efect-


a la requisa de acuerdo al procedimiento establecido para esta actividad y se sepa-
ra de los posibles cmplices.
En caso de que el agresor porte un arma, se incauta teniendo en cuenta lo siguiente:
Realizar solo la manipulacin estrictamente necesaria, utilizando guantes dese-
chables de ltex.
Si el arma tiene residuos de fluidos biolgicos se coloca preferiblemente en bolsa
de papel que no est pre impreso.
El arma embalada, rotulada y con registro de cadena de custodia, se coloca a dis-
posicin de la autoridad judicial junto con la informacin obtenida. (si se trata de
polica de vigilancia deja constancia en el formato de actuacin del primer respon-
diente). El responsable de estos es Polica de Vigilancia y/o Polica Judicial.
8. Registra la informacin obtenida en sus actividades durante la atencin al hecho en
el formato de actuacin del primer respondiente. En caso de observarse que el
cuerpo ha sido manipulado o movido del lugar, se deja constancia en el anterior
formato.
Entrega el lugar de los hechos a la autoridad competente o al servidor encargado de
la diligencia, aportando el formato de actuacin del primer respondiente. El respon-
sable de estos es Polica de Vigilancia y/o Polica Judicial.

Propuesta Pgina 11
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

En este mismo documento se definen un par de diagramas de flujo que describen de una
manera ms fcil el aseguramiento de la escena del crimen. Dichos diagramas se describen
en las siguientes figuras:

Figura 2 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11]

Figura 3 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11]

Propuesta Pgina 12
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

Es necesario tener, mantener y asegurar cuidadosamente la escena del crimen para evitar
perder, omitir o modificar cualquier Elemento Material Probatorio (EMP), que en los mo-
mentos de un juicio son las llaves principales para el esclarecimiento de los hechos.

Los EMP forman parte de la escena del crimen; estos son elementos u objetos (slidos,
lquidos o gases) [10], y que segn la definicin del Manual de procedimientos del sistema
de cadena de custodia se define como: Los elementos fsicos que se recaudan por un inves-
tigador como consecuencia de un acto delictivo, los cuales pueden servir en la etapa del
juicio para demostrar que la teora del caso que se expone ante el juez es cierta y verificable.
Asimismo, son elementos relacionados con una conducta punible que sirven para determi-
nar la verdad en una actuacin penal.

Estos elementos se pueden clasificar en: [10]

- Segn su naturaleza, pueden ser orgnicos e inorgnicos.


- Segn su tamao, pueden ser macroscpicos y microscpicos o elementos traza.
- Si han sido dejados en el lugar de los hechos primarios, pueden ser positivos o nega-
tivos.
- Si pueden ser transportados al laboratorio, pueden ser concretos y/o descriptivos.
- Segn su capacidad individualizadora, pueden tener caractersticas individuales y de
clases.
Segn sus caractersticas especficas, pueden ser fijos y mviles.

3.1.2 Informtica Forense

La informtica forense es una disciplina que surge como rama de la criminalstica, con el fin
de proporcionar una respuesta al constante surgimiento de vulnerabilidades en sistemas
informticos, en el aprovechamiento de fallas bien sea humanas, procedimentales o tec-
nolgicas sobre infraestructuras de computacin, la cual proporciona un escenario ventajo-
so y productivo para la generacin de tendencias relacionadas acciones mal intencionadas o
ilcitas [12].

Esta disciplina se basa fundamentalmente en los principios generales de cualquier investiga-


cin forense en criminalstica, los cuales son [13]:

 Considerar el sistema completo.


 Registrar la informacin a pesar de las fallas o ataques que se generen.
 Considerar los efectos de los eventos, no slo las acciones que la causaron.
 Considerar el contexto, para asistir en la interpretacin y entendimiento de
los eventos.
 Presentar los eventos de manera que pueden ser analizados y entendidos
por un analista forense.

Propuesta Pgina 13
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

Partiendo de dichos principios, la informtica forense establece un nuevo conjunto de


herramientas, estrategias y acciones en medios informticos, logrando as recolectar la sufi-
ciente evidencia digital que sustente y verifique todas las afirmaciones realizadas sobre el
caso bajo estudio [2]. El FBI proporciona una definicin ms detallada como se menciona en
la seccin 1.1 de este documento.
Viendo la informtica forense desde un punto de vista ms operativo y tcnico se puede
definir como el uso de herramientas software y protocolos para buscar eficientemente los
contenidos de almacenamientos magnticos y otros dispositivos e identificar evidencia rele-
vante en archivos, fragmentos de stos o documentos borrados, que permitan elaborar
hiptesis coherentes y validas relacionadas con el caso de estudio [13].
Partiendo de del segundo objetivo de la informtica forense, el cual es la persecucin y pro-
cesamiento judicial de los criminales, hace imperante que esta disciplina cuente con un rigu-
roso protocolo de investigacin que sustente cualquier afirmacin relacionada con el caso
de estudio, por lo cual se genera inicialmente los siguientes requerimientos para ejecutar
una investigacin [13]:
 Se deben utilizar medios forenses estriles.
 Mantener la integridad del medio original.
 Cadena de custodia: Etiquetar, controlar y transmitir adecuadamente las copias de
datos, impresiones y resultados de la investigacin.
 Presentacin y sustentacin de los resultados.
 Validacin y verificacin de los procedimientos aplicados.

El tener una lista de requerimientos tan exigente y de alta prioridad, obliga que la informti-
ca forense se valga de un procedimiento muy bien definido, donde indique que hacer, en
qu momento y quines son sus responsables, para que as, se pueda llegar a conclusiones y
aseveraciones lo suficientemente argumentativas y comprobables. Por esta razn surgen
distintos protocolos y buenas prcticas para la realizacin de investigaciones forense entre
otras, la el IOCE propone [6] o las que el departamento de justicia de los Estados Uni-
dos plantea en su Guide for First Responders [7].
Estas buenas prcticas y protocolos se basan fundamentalmente en la anatoma de una
investigacin forense, la cual se observa en la figura 2, donde se describe el flujo y procedi-
mientos generales que abarcan una investigacin.

Propuesta Pgina 14
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

Figura 4 Anatoma de una Investigacin Forense (traduccin) [14]


Como se puede observar la principal protagonista en el proceso de una investigacin foren-
se es la evidencia digital, que conforma la ms importante entrada para el flujo de dicho
proceso y la que asegura la sustentacin de afirmaciones y conclusiones al momento de
presentar resultados a las entidades judiciales, encargadas de dar veredictos sobre los casos
de estudio.
Por esta razn se hace necesario que los investigadores de informtica forense conozcan a
profundidad las caractersticas de la evidencia digital, as como cuales son las distintas for-
mas de generacin de esta y los posibles lugares donde se puede encontrar.

Propuesta Pgina 15
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

3.1.3 Definicin de Tcnicas Anti-forenses

Las herramientas o tcnicas antiforenses se definen segn (Harris, 2006) como cualquier
intento de comprometer la disponibilidad de la evidencia para un proceso forense.[9] Del
mismo modo si se profundiza un poco ms en ste concepto y se desarrolla en trminos ms
tcnicos se genera la siguiente definicin: Cualquier intento exitoso efectuado por un indi-
viduo o proceso que impacte de manera negativa la identificacin, la disponibilidad, la con-
fiabilidad y la relevancia de la evidencia digital en un proceso forense [1]

Estas tcnicas proporcionan a los atacantes una ventaja inusual sobre los investigadores en
cmputo forense, ya que al hacerse efectivas sobre la evidencia digital, pueden comprome-
ter fcilmente la confianza y claridad de la misma en un proceso.

As mismo, sugiere a los investigadores observar con un mayor detalle las evidencias digita-
les encontradas en una escena del crimen, lo que exige replantear los protocolos para inves-
tigaciones pasadas y futuras.

3.1.4 Clasificacin de Mtodos Anti-forenses

A medida que se explora y se investiga ms sobre las tcnicas anti-forenses se han generado
varias clasificaciones y del mismo modo se han definido varios mtodos. Para efectos de
este trabajo se tomar la clasificacin planteada por (Harris 2006) a saber [9]:

 Destruccin de la evidencia.
 Ocultar la evidencia.
 Eliminacin de las fuentes de la evidencia.
 Falsificacin de la evidencia.

La sofisticacin y complejidad de cada uno de estos mtodos demuestra que los personajes
interesados en su creacin y ejecucin -llamados normalmente intrusos- realizan muchas
ms cosas y acciones que lo que indican los manuales de los proveedores de software o
hardware. [2]

A continuacin se establece una aproximacin a cada mtodo propuesto por Harris de las
herramientas anti-forenses:

Propuesta Pgina 16
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

 Destruccin de la evidencia:

El principal objetivo de esta tcnica es evitar que la evidencia sea encontrada por los
investigadores y en caso de que estos la encuentren, disminuir sustancialmente el
uso que se le puede dar a dicha evidencia en la investigacin formal. Este mtodo
no busca que la evidencia sea inaccesible si no que sea irrecuperable. [15]

Esto implica que se deben destruir, desmantelar o en su defecto modificar todas las
pruebas tiles para una investigacin [9]. As como en la vida real cuando ocurre un
crimen y el criminal quiere destruir todo rastro o evidencia se vale de una serie de
herramientas que le facilitan este objetivo.

Existen dos niveles de destruccin de la evidencia [15]:


 Nivel Fsico: A travs de campos magnticos.
 Nivel Lgico: Busca reinicializar el medio, cambiar la composicin de los datos,
sobrescribir los datos o eliminar la referencia a los datos.

Existe una variedad de herramientas para la destruccin de evidencia de las cuales


se pueden valer los intrusos para realizar este mtodo anti-forense. Un ejemplo de
herramientas son: Wipe, Shred, PGP secuere delete, Evidence Eliminator y Sswap.
[15]

 Ocultar la Evidencia:

Este mtodo tiene como principal objetivo hacer inaccesible la evidencia para el in-
vestigador. No busca manipular, destruir o modificar la evidencia sino hacerla lo
menos visible para el investigador. [9]

Esta tcnica puede llegar a ser muy eficiente de ser bien ejecutada pero conlleva
muchos riesgos para el atacante o intruso, puesto que, al no modificar la evidencia
de ser encontrada puede ser vlida en una investigacin formal y por lo tanto servir
para la incriminacin e identificacin del autor de dicho ataque.

Este mtodo puede valerse de las limitaciones del software forense y del investiga-
dor atacando sus puntos ciegos o no usuales de bsqueda de alguna anomala. [9]

Propuesta Pgina 17
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

Una de las herramientas utilizadas por los atacantes es la esteganografa la cual ver-
sa sobre tcnicas que permiten la ocultacin de mensajes u objetos, dentro de
otros, llamados portadores, de modo que no se perciba su existencia. [16] En el
mercado se pueden encontrar muchos instrumentos fciles de usar, de bajo costo
que pueden ayudar a realizar esta tcnica anti-forense, como por ejemplo Setego-
Archive [17].

 Eliminacin de la fuentes de la evidencia:

Este mtodo tiene como principal objetivo neutralizar la fuente de la evidencia, por
lo que no es necesario destruir las pruebas puesto que no han llegado a ser creadas.
Por ejemplo, en el mundo real cuando un criminal utiliza guantes de goma para uti-
lizar un arma lo que est haciendo es neutralizando y evitando dejar huellas dactila-
res en el arma. As mismo en el mundo digital esta neutralizacin de las fuentes de
la evidencia aplica. [9]

Una de las acciones que los atacantes pueden llevar a cabo para realizar este mto-
do anti-forense es la desactivacin de los log de auditora del sistema que est ata-
cando.

 Falsificacin de la evidencia:

Esta mtodo busca engaar y crear falsas pruebas para los investigadores forenses
logrando as cubrir a el verdadero autor, incriminando a terceros y por consiguiente
desviar la investigacin con lo cual sera imposible resolverla de manera correcta.

El ejercicio de este mtodo se vale en una edicin selectiva de las pruebas creando
evidencias incorrectas y falsas que corrompen y daan la validez de dichas pruebas
en una investigacin forense formal, por lo cual no podrn ser tomadas en cuenta
como evidencias. [9]

3.1.5 Modelo Conceptual de Deteccin y Rastreo de Tcnicas Anti-Forenses (Mo-


DeRaTa)

Este modelo presenta una propuesta que busca la clasificacin e identificacin de las tcni-
cas anti-forenses en trminos de esfuerzo o sofisticacin requeridos por el atacante para

Propuesta Pgina 18
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

ejecutar cualquier tcnica, en la determinacin de elementos susceptibles a estos ataques y


en la identificacin de dichas tcnicas. [1]

El modelo se describe en la figura 5 la cual contiene los niveles de deteccin y rastreo, nive-
les de anlisis y tcnicas utilizadas; donde cada categorizacin en los distintos niveles tiene
las siguientes consideraciones:
 Niveles de anlisis: Definen los elementos susceptibles donde se pueden materializar las
tcnicas anti-forenses tales como memoria, proceso, sistema de archivos, aplicacin y
gestin de la (in)seguridad. [1]
 Nivel de deteccin y rastreo: Establece los rangos y grados en los cuales es posible de-
tectar y rastrear la materializacin de tcnicas anti-forenses e incluye el nivel de esfuer-
zo (sofisticacin) requerido por el atacante para materializar la tcnica anti-forense. [1]
 Tcnicas anti-forenses: Indica las distintas tcnicas (destruir, mimetizar, manipular y
deshabilitar la cuales fueron definidas al inicio del documento) que pueden materializar-
se en los distintos niveles de anlisis. [1]

Figura 5 MODERATA [1]

3.1.6 Fundamentos del NTFS

Revisando la historia del sistema de archivos NTFS, encontramos que es un sistema de ar-
chivos diseado e implementado por Microsoft, el cual surge como una necesidad para so-
lucionar las falencias de seguridad, desempeo y confiabilidad que el sistema de archivos
FAT posea [18]. Dichos atributos se optimizan en NFTS al manejar la mayora de los datos
como archivos, de esta manera se hace ms sencillo el control de la particin, ya que se
tiene un bloque de informacin de control almacenado en archivos con metadata desde el
momento en que la particin es creada, lo que le permite al sistema operativo identificar y
localizar cualquier archivo de manera ms eficiente [19].

Propuesta Pgina 19
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

La estructura que maneja un volumen de este sistema de archivos se ilustra en la siguiente


imagen.

Figura 6 Estructura del NTFS [20]


 Cabe resaltar que no todos los datos son archivos dentro de la particin. Por ejem-
plo, el Partition Boot Sector (PBS) no los maneja, ya que dicho fragmento en la es-
tructura es el encargado de hacer las operaciones del sistema de archivos.
Para realizar las operaciones del sistema, el PBS se divide en dos sectores; el BIOS
Parameter Block (BPB) y el Volume Boot Code (VBC). El BPB es el encargado de des-
cribir el formato que tiene la particin y la estructura de datos de metadata y archi-
vos que maneja la capa fsica del volumen. As mismo, posee el Boot Code, el cual se
encarga de comunicarle al sistema operativo cuales son los recursos con los que la
mquina cuenta [21]. Sabiendo las caractersticas fsicas del computador, el VBC
carga el sistema operativo con el cdigo que es nico para cada uno.

 La Master File Table (MFT) acta como una base de datos relacional en la cual las fi-
las son archivos de historiales y las columnas con archivos de atributos. Todos los
archivos de una particin NTFS deben tener por lo menos una ocurrencia dentro de
la MFT [21]. Los primeros diecisis registros de tabla son usados para describirse. A
partir del diecisieteavo registro comienzan todos los registros de la particin. El ta-
mao de los registros se asocia con el tamao del cluster del volumen, sin embargo,
tienen un mnimo de 1024 bytes y un mximo de 4096 bytes, as, si un registro tiene
512 bytes, el tamao que se le asigna es de 1024 [21]. El ejemplo ms claro de este
tipo de atributo es el nombre del archivo o su Time Stamp. La clasificacin de los re-
gistros se da por la informacin que tienen y los tamaos dados, en este contexto se
hacen llamar atributos, que pueden ser residentes y no residentes. Anteriormente,
se cito un ejemplo de lo que pasa cuando el tamao de un registro es menor que el
mnimo establecido; ese tipo de registros y los que son menores o iguales al mximo
establecido, se consideran residentes ya que se pueden almacenar en una sola ta-
bla. Por otro lado, si un atributo llega a ser mayor de valor mximo estipulado, los
clusters restantes se almacenar en una tabla adicional; este tipo se hace llamar atri-
butos no residentes.
Cada registro posee una lista de atributos que se caracteriza no slo como residen-
tes o no, sino tambin por su tipo. Los tipos que concretamente ataen la investiga-
cin del artculo son:

Propuesta Pgina 20
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

Standard Information Attribute (SIA): contiene informacin sobre modo de


acceso, timestamps (estampillas de tiempo) y cuenta de acoplamiento
File Name (FN): posee informacin sobre nombre del archivo, un atributo
repetible para los nombres corto y largo de un archivo.
Una lista detallada de todos los tipos se puede encontrar en [21].
 Los System Files o archivos de sistema son los archivos formales en los que se alma-
cena informacin en forma de metadatos [22]. Se encuentran dentro de la MFT y
guardan datos que la MFT no.
 El File Area contiene una copia de la MFT para efectos de recuperacin de los datos
en caso de problemas con la copia original [21].

Propuesta Pgina 21
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

4 Proceso

4.1Metodologa

En esta seccin se mostrar cmo mediante una serie de fases de investigacin se


cumplirn los objetivos especficos, junto con un grupo de actividades bsicas que se
asocian a cada fase

Objetivo 1: Estudiar y analizar el estado del arte de la criminalstica, la criminalstica digi-


tal y las tcnicas anti-forenses existentes, enfocando estas ltimas al sistema operativo
Windows XP SP3 y al funcionamiento de su sistema de archivos, NTFS.

1. Fase 1: Revisar la literatura del contexto: se busca identificar fuentes bibliogrficas que
encierren en su totalidad la criminalstica, informtica forense, tcnicas anti-forenses y fun-
cionamiento del NTFS.

2. Fase 2: Anlisis de literatura y construccin de fichas bibliogrficas, segn el formato


solicitado por el director.

Objetivo 2: Realizar el diseo de la gua metodolgica enfocada a la identificacin


y validacin del uso de tcnicas anti-forenses en el anlisis de informacin en com-
putadores con sistema operativo con sistemas de archivos NTFS bajo un sistema
operativo Windows XP SP3 encontrado en una escena de crimen. .

1. Fase 3: Estudiar y desglosar el Modelo Conceptual de Deteccin y Rastreo de


Tcnicas Anti-Forenses.

2. Fase 4: Disear y construir la gua metodolgica para identificar y validar la apli-


cacin de tcnicas anti-forenses en Windows XP SP3.

Objetivo 3: Probar el diseo de la gua metodolgica basndose en los niveles del Modelo
Conceptual de Deteccin y Rastreo de Tcnicas Anti-Forenses (MoDeRaTA) en un sistema
de archivos NTFS en un sistema operativo Windows XP SP3.

1. Fase 5: Determinar 3 tipos de tcnicas anti-forenses para realizar las pruebas.


2. Fase 6: Realizar las pruebas de concepto y atmicas.
3. Fase 7: Realizar el ajuste en la gua con las pruebas realizadas.
4. Fase 8: Usando la gua metodolgica, analizar los ataques realizados.
5. Fase 9: Analizar los resultados obtenidos al usar la gua para determinar su utilidad.

Propuesta Pgina 22
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

4.2Actividades

OBJETIVOS ACTIVIDADES FUENTES DE RESULTADOS


ESPECFICOS INFORMACIN (ENTREGABLES)

1. Estudiar y ana- 1. Realizar una investiga- 1. IEEE (Instituto de 1. Documento


lizar el estado del cin sobre el contexto de Ingenieros Elctricos y de estado del
arte de la crimi- la criminalstica, tcnicas Electrnicos). arte de la crimi-
nalstica, la crimi- de evasin, protocolos de nalstica e in-
nalstica digital y aseguramiento de la esce- 2. NIST (Instituto Na- formtica foren-
las tcnicas anti- na del crimen y la valora- cional de Estndares y se.
forenses existen- cin de elementos mate- Tecnologa).
tes, enfocando riales probatorios. 2. Documento
estas ltimas al 3. Pginas web de cri- de estado del
sistema operativo 2. Analizar el Manual ni- minalstica. arte de la crimi-
Windows XP SP3 co de Criminalstica pro- nalstica en Co-
y al funciona- porcionado libremente 4. Pginas web de lombia.
miento de su por la Fiscala General de informtica forense.
sistema de archi- la Nacin, para determi- 3. Descripcin
vos NTFS. nar el funcionamiento de 5. Manual nico de la detallada de los
la investigacin criminals- Criminalstica. modelos exis-
tica en Colombia. tentes para
6. Documentos y art- informtica
3. Efectuar una explora- culos de la base de forense.
cin sobre los modelos datos de la Pontificia
existentes de informtica Universidad Javeriana 4. Documento
forense y explicar su fun- del estado del
cionamiento en un cuadro 7. Artculos y trabajos arte de la in-
comparativo. de grado de Criptored formtica anti-
y IJDE (International forense.
4. Encontrar vnculos en- Journal of Digital Evi-
tre la informtica forense dence). 5. Cuadro de
y la anti-forense partiendo herramientas
de la investigacin reali- 9. Documentos en anti-forenses
zada con el objetivo ante- donde se ilustran las con los sectores
rior. diferentes aplicaciones que ataca y su
de la informtica anti- modo de fun-
5. Realizar una investiga- forense. cionamiento.
cin profunda de las
tcnicas anti-forenses. 10. Libros que mues- 6. Documento
tran la evolucin de los de anlisis del

Propuesta Pgina 23
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

6. Efectuar una revisin ataques anti-forenses funcionamiento


sobre las herramientas y su relacin con la de NTFS en
que actualmente se usan informtica forense, Windows XP.
para la aplicacin de las Advances in Digital
tcnicas anti-forenses. Forensics II y Forensics
en Windows Forensic
7. Analizar los sectores en Analysis.
donde las tcnicas anti-
forenses pueden ser apli- 11. Documentos sobre
cadas dentro de un com- el funcionamiento de
putador. NTFS.

8. Realizar una investiga- 12. Pgina web oficial


cin bsica sobre las vul- de NTFS.
nerabilidades en seguri-
dad de Windows XP SP3.

9. Efectuar una investiga-


cin sobre el funciona-
miento del sistema de
archivos NTFS y encontrar
falencias con las vulnera-
bilidades encontradas en
el enciso anterior.

2. Realizar el di- 1. Investigar y desglosar el 1. Manual nico de la 1. Documento


seo de la gua Modelo Conceptual de Criminalstica. de anlisis deta-
metodolgica Deteccin y Rastreo de llado de MoDe-
enfocada a la Tcnicas Anti-Forenses 2. Documentos que RaTA, especifi-
identificacin y (MoDeRaTA), enfocndo- ilustren el funciona- cando los ata-
validacin del uso se en los ataques a siste- miento y los compo- ques a los sis-
de tcnicas anti- mas de archivos. nentes de MoDeRaTA. temas de archi-
forenses en el vos.
anlisis de la in- 3. Documentos entre-
formacin en 2. Generar un procedi- gados en el objetivo 2. Gua meto-
computadores miento a seguir cuando se anterior. dolgica para
con sistemas de encuentra o sospecha que identificar y
archivos NTFS una tcnica anti-forense validar la aplica-
bajo un sistema ha sido aplicada en una cin de tcnicas
operativo Win- escena del crimen. anti-forenses en
dows XP SP3 en- equipos con
contrado en una sistema operati-
escena de crimen. vo Windows XP
Service Pack 3.

Propuesta Pgina 24
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

3. Probar el dise- 1. Determinar tres tipos 1. Manual nico de la 1. Documento


o de la gua me- de tcnicas anti-forenses Criminalstica. que detalle paso
todolgica para realizar las pruebas a a paso como fue
basndose en los la gua. 2. Gua metodolgica la realizacin de
niveles del Mode- desarrollada en el ob- los ataques
lo conceptual de 2. Realizar los ataques y jetivo anterior. realizados.
Deteccin y Ras- aplicar la gua sobre un
treo de Tcnicas computador con Windows 2. Computado-
Anti-forenses XP SP3. res de prueba
(MoDeRaTA) en con los ataques
un sistema de 3. Llevar a cabo una inves- anti-forenses
archivos NFTS en tigacin forense aplicando realizados.
un sistema opera- la gua metodolgica.
tivo Windows XP 3. Documento
SP3. de conclusiones
4. Generar un documento de la utilidad de
con el anlisis y conclusio- la gua y del
nes de los ataques reali- proceso realiza-
zados que ilustre la utili- do.
dad de la gua.

4.3Entregables o Resultados Esperados

SEMESTRE OBJETIVO ESPECFICO PRODUCTOS ESPERADOS

Objetivo 1 Propuesta del Trabajo de


Grado.
Artculo Tcnicas Anti-
Forenses en Informtica:
Ingeniera Reversa aplicada a
TimeStomp para el CIBSI
(Congreso Iberoamericano
de Seguridad Informtica).

Propuesta Pgina 25
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

I Documento de estado del


arte de de la criminalstica,
la criminalista digital y las
tcnicas anti-forenses exis-
tentes, enfocando estas
ltimas al sistema operativo
Windows XP SP3 y al funcio-
namiento del sistema de
archivos NTFS.
Objetivo 2 Gua metodolgica para
identificar y validar la aplica-
cin de tcnicas anti-
forenses en computadores
con Windows XP SP3.
Objetivo 3 Resultados y conclusiones de
las pruebas de escritorio y
II atmicas.
Conclusiones acerca de la
utilidad de la gua tomando
como base los resultados de
las pruebas realizadas.
Memoria

4.4Presupuesto

CONCEPTO FUENTE DE UNIDAD CANTIDAD COSTO TOTAL


DEL EGRESO FINANCIACIN POR
UNIDAD

Honorarios Pontificia Un- Horas 288* $65.000 $18720.000


Ingeniero de iversidad Jave-
Sistemas 1 riana
Honorarios Pontificia Un- Horas 288* $65.000 $18720.000
Ingeniero de iversidad Jave-
Sistemas 2 riana
Honorarios Pontificia Un- Horas 64** $130.000 $8320.000
director del iversidad Jave-
proyecto de

Propuesta Pgina 26
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

grado riana
Equipos de Pontificia Un- Horas Ilimitada $0 $0
laboratorio y iversidad Jave-
acceso a in- riana
ternet
Papel Propia Resmas 4 $10.000 $40.000
Tinta Propia Cartuchos 5 $50.000 $250.000
HP deskjet
3820 (Ne-
gro)
Empastar Propia Unidad 4 $10.000 $40.000
documento
de trabajo de
grado
Computador Propia Unidad 1 $325,000 $325,000
personal In-
geniero 1
Computador Propia Unidad 1 $250,000 $250,000
personal In-
geniero 2
Microsoft Pontificia Un- Unidad 1 $450.000 $450.000
Office iversidad Jave-
riana
Varios Propia $400.000
(Transporte,
alimentacin,
papelera, luz,
agua, telfo-
nos, celula-
res)
Total $47515,000

* Teniendo en cuenta que en este proyecto se trabajar durante dos semestres por solicitud
del director, en el primer semestre se elabora el trabajo de una materia de dos crditos (6
horas semanales tanto presenciales como no presenciales) y el segundo la carga de cuatro
crditos de la materia de Trabajo de Grado (12 horas uniendo horas presenciales y horas de
trabajo independiente). Por tanto, tenemos que al multiplicar las 6 horas semanales del

Propuesta Pgina 27
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

primer semestre por las 16 semanas (96 horas), ms las 12 horas semanales del segundo
semestre por 16 semanas (192 horas), para un total de 288 horas por los dos semestres.
** Con 2 horas semanales por reunin durante 2 semestres con 16 semanas cada uno, se
tiene un total de 64 horas.

4.5Cronograma

Propuesta Pgina 28
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

5 Referencias y Bibliografa

Esta seccin presenta las referencias y bibliografa del trabajo de grado

5.1Referencias

[1] Jeimy. J. Cano. (2007). Introduccin a las tcnicas anti forenses: Conceptos e
implicaciones para investigadores. [Online] Disponible:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VII
JNSI_JCano.pdf.
[2] Jeimy. J. Cano. (2007). Introduccin a informtica forense.
http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
[3] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000). Recovering and
Examining Computer Forensic Evidence. [online] Disponible
en:http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm. Consultado
(10/03/09)
[4] Lpez, Oscar; Amaya, Haver; Len Ricardo; Acosta Beatriz. (2002). Informtica
Forense: Generalidades, aspectos tcnicos y herramientas. [online] Disponible en:
http://www.criptored.upm.es/guiateoria/gt_m180b.htm
[5] Standards Australia International (2003) HB 171-2003 Guidelines for the man-
agement of IT Evidence.
[6] IOCE. (2002). Guidelines For Best Practice In The Forensic Examination Of Digital Tech-
nology.
[7] US Department Of Justice. (2001). Electronic Crime Scene Investigation: A Guide
for First Responders. http://www.ncjrs.gov/pdffiles1/nij/219941.pdf

[8] Web Statistics and Trends Disponible en:


http://www.w3schools.com/browsers/browsers_os.asp (Consultado22/05/09)
[9] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define
and control the anti-forensics problem. http:// dfrws.org/2006/proceedings/6-
harris.pdf

Propuesta Pgina 29
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

[10] Vsquez G. Cesar A., Valero C. Horacio, Jimnez M. Francisco, Puentes R. Irma, Camacho
B. Erika, CT Guzmn A. Juan. Tecnologa en criminalstica IV periodo. Bogot D.C. 2006.
ISBN 958.33.8831.

[11] Valencia G. Magnolia, Acosta W. Magda, Jaimes D. Gabriel, Reyes V. Ingrith, Valencia V.
James, Jimnez L. Juan, Bermdez B. Juan, Daz P. Martin, Devia A. Fernando. Manual de
Procedimientos del Sistema de Cadena de Custodia. Bogot D.C. 2004. Fiscala General de
la Nacin. Disponible en
http://www.usergioarboleda.edu.co/derecho_penal/2004MANUAL%20CADENA%20DE%20
CUSTODIA.pdf

[12] Kshetri, N. (2006) The simple economics of cybercrime. IEEE Security & Privacy. Janu-
ary/February. SUNDT, C. (2006) Information security and the law. Information Security
Technical Report. Vol.2 No.9.

[13] Cano Jeimy J.; Computacin Forense: Conceptos Bsicos.

[14] Gavin, M. referenciada en Cano Jeimy J.; Computacin Forense: Conceptos Bsi-
cos.

[15] Andres R. Almanza. (2007). Ciencias Anti-forenses Un nuevo reto para las
organizaciones. [Online] Disponible:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VII
JNSI_AAlmanza.pdf

[16] Info Seguridad: Esteganografia. [Online]. Disponible:


http://www.infoseguridad0.es/Estenografia.htm

[17] Stegoarchive. [Online] Disponible: http://www.stegoarchive.com/

[18] PCGuide. Overview and History of the NTFS. [Online] Disponible:


http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm
[19] Ariza. A., Ruiz. J., Anlisis de Metadatos en archivos Office y Adobe. [Online] Disponi-
ble: http://www.criptored.upm.es/guiateoria/gt_m142g1.htm
[20] PCGuide. NTFS file Atrtibutes. [Online] Disponible:
http://www.pcguide.com/ref/hdd/file/ntfs/files_Attr.htm
[21] PCGuide. NFTS System (Metadata) Files. [Online] Disponible:
http://www.pcguide.com/ref/hdd/file/ntfs/arch_Files.htm
[22] MicrosoftTech. [Online] Disponible: http://technet.microsoft.com/en-
us/library/cc781134.aspx

Propuesta Pgina 30
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

5.2Bibliografa Propuesta para el desarrollo del Trabajo de Grado


[1] ACKOFF R., ADDISON H. (2007) MANAGEMENT F-LAW. HOW ORGANIZATIONS REALLY WORK. TRIARCHY
PRESS.
[2]Metasploit Anti-Forensics Project [online] disponible:
http://www.metasploit.com/research/projects/antiforensics/.
[3] Jeimy. J. Cano. (2007). Inseguridad informtica y computacin anti-forense: Dos conceptos emer-
gentes en seguridad de la informacin. [Online] Disponible:
http://www.virusprot.com/Archivos/Antifore07.pdf
[4] Jeimy. J. Cano. (2007). Introduccin a las tcnicas anti forenses: Conceptos e implicacio-
nes para investigadores. [Online] Disponible:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_JC
ano.pdf.
[5] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define and
control the anti-forensics problem. [Online] Disponible: http:// dfrws.org/2006/proceedings/6-
harris.pdf
[6] Jeimy. J. Cano. (2007). Introduccin a la Informtica Forsen: Una Disciplina tcnico-
legal. [Online] Disponible: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf.
[7] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000). Recovering and Examining
Computer Forensic Evidence. [online] Disponible en:
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm. Consultado (10/03/09)

[8] Lpez, Oscar; Amaya, Haver; Len Ricardo; Acosta Beatriz. (2002). Informtica Forense:
Generalidades, aspectos tcnicos y herramientas. [online] Disponible en:
http://www.criptored.upm.es/guiateoria/gt_m180b.htm
[9] Standards Australia International (2003) HB 171-2003 Guidelines for the management of
IT Evidence.
[10] Jeimy. J. Cano. (2007). Introduccin a las tcnicas anti forenses: Conceptos e implica-
ciones para investigadores. [Online] Disponible:
http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
[11] Andres R. Almanza. (2007). Ciencias Anti-forenses Un nuevo reto para las organiza-
ciones. [Online] Disponible:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_A
Almanza.pdf
[12] Info Seguridad: Esteganografia. [Online]. Disponible:
http://www.infoseguridad0.es/Estenografia.htm
[13] Stegoarchive. [Online] Disponible: http://www.stegoarchive.com/
[14] Metasploit Anti-Forensics Project. [Online] Disponible:
http://www.metasploit.com/data/antiforensics/BlueHat-Metasploit_AntiForensics.ppt

Propuesta Pgina 31
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

[15]MicrosoftTech. [Online] Disponible:


http://blogs.technet.com/ganand/archive/2008/02/19/ntfs-time-stamps-file-created-in-1601-
modified-in-1801-and-accessed-in-2008.aspx
[16] NTFS. NTFS. [Online] Disponible:
http://www.ntfs.com/ntfs-files-types.htm
[17] MicrosoftTech. [Online] Disponible: http://technet.microsoft.com/en-
us/library/cc781134.aspx
[18] Crdoba Jonathan, Laverde Ricardo, Ortiz Diego, Puentes Diana. Anlisis de Datos:
Una propuesta metodolgica y su aplicacin en The Sleuth Kit y EnCase. Disponible en:
[Online] Disponible: http://www.criptored.upm.es/descarga/AnalisisdeDatos-En-Sleu05.zip
[19] PCGuide. Overview and History of the NTFS. [Online] Disponible:
http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm
[20] Ariza. A., Ruiz. J., Anlisis de Metadatos en archivos Office y Adobe. [Online] Disponi-
ble: http://www.criptored.upm.es/guiateoria/gt_m142g1.htm
[21] PCGuide. NTFS file Atrtibutes. [Online] Disponible:
http://www.pcguide.com/ref/hdd/file/ntfs/files_Attr.htm
[22] PCGuide. NFTS System (Metadata) Files. [Online] Disponible:
http://www.pcguide.com/ref/hdd/file/ntfs/arch_Files.htm
[23] Microsoft Corporation. How NTFS works. [Online] Disponible:
http://technet.microsoft.com/en-us/library/cc781134.aspx
[24] Chikofsky. E., Cross. J., Reverse Engineering and Design Recovery: A Taxonomy, IEEE
Software, pp. 13-17, 1990.
[25] Galen Lab. Reverse Engineering. [Online] Disponible: http://calla.ics.uci.edu/reveng/
[26] http://electronicdesign.com/Articles/Index.cfm?AD=1&ArticleID=11966
[27] Mller H., Jahnke J., Smith D., Storey M., Tilley S., Wong K.. Reverse Engineering: A
Roadmap. [Online] Disponi-
ble:http://www.cs.ucl.ac.uk/staff/A.Finkelstein/fose/finalmuller.pdf
[29] What is: The Leading TI encyclopedia and learning Center. [Online] Disponible:
http://whatis.techtarget.com/definition/0,,sid9_gci817089,00.html
[30] Santa Clara University, School of Engineering. NTFS File System. [Online] Disponible:
www.cse.scu.edu/~tschwarz/coen152_05/PPtPre/NTFSFS.ppt
[31] Help with PCs. DLL. [Online] Disponible: http://www.helpwithpcs.com/jargon/dll.htm
[32] Win32 API Obscurity for I/O Blocking and Intrusion Prevention (2005). [Online] Dis-
ponible: http://www.ddj.com/security/184406098
[33] MetaSploit Anti-Forsensics Project. [Online] Disponible:
www.metasploit.com/data/antiforensics/BH2005-Catch_Me_If_You_Can.ppt

Propuesta Pgina 32
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

[34] Timestomp codigo fuente. [Online] Disponible en:


http://trac.metasploit.com/browser/framework3/trunk/external/source/meterpreter/source/exte
nsions/priv/server/timestomp.c?rev=6357
[33] I/O Status Blocks. [online] Disponible en http://msdn.microsoft.com/en-
us/library/ms795786.aspx
[34] LoadLibrary Function. [online] Disponible en http://msdn.microsoft.com/en-
us/library/ms684175(VS.85).aspx
[35] GetProcAddress Function. [online] Disponible en http://msdn.microsoft.com/en-
us/library/ms683212(VS.85).aspx
[36] Windows API. [online] Disponible en http://msdn.microsoft.com/en-
us/library/aa383750.aspx
[37] CreateFile Funtion [online] Disponible en http://msdn.microsoft.com/en-
us/library/aa363858(VS.85).aspx
[38] SetInformationFile [online] Disponible en http://msdn.microsoft.com/en-
us/library/ms804363.aspx

Propuesta Pgina 33
Pontificia Universidad Javeriana Propuesta para Trabajo de Grado Proyecto de Investigacin

6 Anexos

Propuesta Pgina 34

Potrebbero piacerti anche