Análisis Forense Informático-Fuentes de Evidencia

¿Cuál de los dispositivos o componentes de un computador contendrá evidencias tipo archivos?

Para encontrar evidencias en los dispositivos o componentes de un computador se recomienda iniciar la búsqueda en el orden de mayor volatibilidad iniciando desde

Disco duro

Registros y contenidos de la caché.

Contenidos de la memoria RAM

Registro de Windows

Estado de las conexiones de red, tablas de rutas.

Estado de los procesos en ejecución.

Sistema operativo

NtUser.dat

Pagefile.sys (Archivo intercambio de datos)

Hiberfil.sys (Guarda información de la última hibernación realizada en el equipo como textos y documentos) congela un estado del sistema para volverlo a recuperar. 

¿Qué tipo de evidencias puede contener el sistema operativo?

se obtiene información general de la configuración del equipo, los archivos abiertos recientemente por el usuario, los programas instalados o desinstalados. Incluso se puede ver información de los dispositivos USB conectados a los dispositivos y si se produjo copia o ejecución de archivos desde el dispositivo conectado.

 ¿Se podrán encontrar evidencias en la memoria principal?

El accesos a disco nos podemos encontrar con muchísima información, como pueden ser documentos, información relevante al usuario en aspectos de navegación, passwords, logs de aplicaciones, logs de seguimiento. En la memoria RAM se puede encontrar información de procesos en ejecución, Conexiones activas, Direcciones web, Contraseñas, Registros y contenidos de la caché, Estado de las conexiones de red, tablas de rutas, estado de los procesos en ejecución, contenido del sistema de archivos y de los discos duros.