Análisis forense clase 7
Enviado por edns • 21 de Enero de 2018 • Resúmenes • 444 Palabras (2 Páginas) • 91 Visitas
RESUMEN DE CLASE 7 DE ANALISIS FORENCE
El hash es un componente que verifica ante la autoridad o el cliente que está contratando que el dato o indicio no haya cambiado en ningún momento del tiempo no importa quien, cuando, como o donde se haya interactuado con él.
Nota: Dos archivos que tienen el mismo hash no tienen el mismo contenido.
Hay metadatos de las aplicaciones, de los programas, del mismo sistema operativo, del kernel que utilizan el mismo sistema operativo o la aplicación para una función en lo particular de la compilación del programa para lo que haya sido diseñado.
El Metadato general es el que describe a los datos y generalmente el metadato se ve en el archivo final que ya ha sido procesado por n numeros de aplicaciones como en documento en Word o el documento en txt.
Los metadatos ocultos pueden ser la forma en que el programa se divide, por ejemplo la sección de texto, la de los datos, en donde se pu4ede encontrar información del stack, la sección más baja, incluso los espacios de la memoria en que puede llegar a tener permisos de lectura escritura, ejecución, como múltiples componente s adicionales que lo describen, y que el programa en particular sabe cómo utilizarlos y procesarlos a partir de no como fue creado, sino de los metadatos asociados al mismo.
Nota: Los metadatos que tiene un elemento puede ser muy diferentes a los de otro.
Metadato perdido pueden ser los metadatos que se sobre escriben en un metadato destino, también pueden ser los metadatos que alguna vez estaban ocultos y que la permutación no supo qué hacer con ellos y los puso como un elemento visible lo que ocasiona que quedan visibles y podrían ser metadatos privados que ya están a la vista.
Nota: Las cadenas pueden llegar a ser un resultado final equivalente idéntico pero los contenidos son diferentes.
Hash en materia de criptoanálisis se define como una representación criptográfica de los datos, pero criptográfica no significa que ya aplico un proceso de cifrado.
Hash lo que hace es asegurar que no se ha modificado un archivo en una transmisión, hace ilegible la contraseña o firma digitalmente un documento, generando una cadena alfanumérica.
Una forma en Linux que no viene de manera nativa en kali para leer la meta data de casi cualquier archivo es el exiftool
Si se puede realizar una recuperación de archivo cuando solo esta borrado, pero no se puede recuperar un archivo cuando se tiene un formato a bajo nivel
Cuando la eliminación o vaciado es a bajo nivel ya no se puede recuperar.
[pic 1]
Si se eliminan los datos de la tabla FAT se pueden recuperar.
...