miércoles, 30 de marzo de 2011

Recuperacion de archivos con Encase -Tool forensics.


Les comparto un PoC, de como recuperar archivos de un dispositivo de almacenamiento como lo pueden ser un disco duro, un pen drive, etc. Utilizo herramientas forenses como lo es Encase para realizar la recuperacion, destaco que tiene imagenes que pueden ser un tanto fuertes, ya que para este demo utilice algunos archivos de un caso real, por lo cual les pido que si eres sencible, te abstengas a verlo.

Esto es parte de lo que se ve en el taller de Introduccion ala informatica forense.

Acerca de EnCase® Forensic:

EnCase Forensic es el estándar de la industria en tecnología de investigación forense informática. Con una interfaz gráfica del usuario (GUI) intuitiva, análisis superior, soporte mejorado de correo electrónico/Internet y motor potente de scripting, EnCase proporciona a los investigadores una herramienta única, capaz de realizar investigaciones complejas y a gran escala de principio a fin. Funcionarios encargados del cumplimiento de la ley, investigadores gubernamentales/corporativos y consultores en todo el mundo se benefician de la potencia de EnCase Forensic en una manera que supera ampliamente a cualquier otra solución forense.

  • Adquiera datos en una manera sólida desde el punto de vista forense, con software que posee un registro sin igual en los tribunales de justicia de todo el mundo.
  • Investigue y analice plataformas múltiples (Windows, Linux, AIX, OS X, Solaris y más) con una sola herramienta.
  • Ahorre días, si no semanas, en tiempo de análisis al automatizar tareas complejas y rutinarias con módulos EnScript® pre creados, como el análisis de registros de eventos y casos inicializados.
  • Encuentre información a pesar de los esfuerzos de ocultarla, encubrirla o eliminarla.
  • Maneje fácilmente grandes volúmenes de evidencia informática al visualizar todos los archivos relevantes, incluidos los archivos "eliminados", los espacios muertos de los archivos y los espacios no designados.
  • Transfiera archivos de evidencia directamente a los representantes legales o encargados del cumplimiento de la ley, según sea necesario.
  • Las opciones de revisión permiten que las personas que no son investigadores, como los abogados, revisen la evidencia con facilidad.
  • Las opciones de generación de informes permiten la preparación rápida de informes.



1 comentario:

antua dijo...

el problema es cuando el dipositivo esta dañado no por que lo intente ynisiquiere sale la unidad y lo hice en varias maquinas saludos