tesis.ipn.mxtesis.ipn.mx/jspui/bitstream/123456789/8300/1/INFORENSE.pdf · Inform Pág “IN ática...
133
Inform Pág “IN mática Forense gina | 1 SEC NFORMÁT T e sobre Servic IN INGEN CIÓN DE ES TICA FOR MEN T E ESPE P R ING. V ASESOR: cios de Red. NSTITUTO ESCUELA NIERÍA ME UNIDAD STUDIOS D RENSE EN NSAJERÍA E S QUE PA ECIALISTA TECNOLO R E VICTOR DR. RUBÉN POLITECNI A SUPERIO CÁNICA Y D CULHUA DE POSGRAD N SERVIC A INSTAN S I ARA OBTEN A EN SEGU OGÍAS DE S ADRIAN N VÁZQUE Ing. Victor ICO NACIO OR DE ELÉCTRICA CAN DO E INVES CIOS DE R NTÁNEA” N NER EL GRA URIDAD IN LA INFOR E HERNA EZ MEDINA MÉ r Adrian Hern ONAL A STIGACIÓN RED HTTP ” A ADO DE: NFORMÁTI RMACIÓN N T ANDEZ A. ÉXICO, D.F. OC nández Jimén N P, SMTP y ICA Y T A: JIMENEZ CTUBRE DE 20 ez. y 009
Transcript of tesis.ipn.mxtesis.ipn.mx/jspui/bitstream/123456789/8300/1/INFORENSE.pdf · Inform Pág “IN ática...
Inform
Pág
“IN
mática Forense
gina | 1
SEC
NFORMÁT
T
e sobre Servic
IN
INGEN
CIÓN DE ES
TICA FORMEN
T E
ESPE
P R ING. V ASESOR:
cios de Red.
NSTITUTO
ESCUELANIERÍA ME
UNIDAD
STUDIOS D
RENSE ENNSAJERÍA
E S
QUE PA
ECIALISTATECNOLO
R E
VICTOR
DR. RUBÉN
POLITECNI
A SUPERIOCÁNICA Y
D CULHUA
DE POSGRAD
N SERVICA INSTAN
S I
ARA OBTEN
A EN SEGUOGÍAS DE
S
ADRIAN
N VÁZQUE
Ing. Victor
ICO NACIO
OR DE ELÉCTRICA
CAN
DO E INVES
CIOS DE RNTÁNEA”
N
NER EL GRA
URIDAD IN LA INFOR
E
HERNA
EZ MEDINA
MÉ
r Adrian Hern
ONAL
A
STIGACIÓN
RED HTTP”
A
ADO DE:
NFORMÁTIRMACIÓN
N T
ANDEZ
A.
ÉXICO, D.F. OC
nández Jimén
N
P, SMTP y
ICA Y
T A:
JIMENEZ
CTUBRE DE 20
ez.
y
009
Inform
Pág
mática Forense
gina | 2
e sobre Serviccios de Red. Ing. Victorr Adrian Hernnández Jiménez.
Inform
Pág
mática Forense
gina | 3
e sobre Serviccios de Red. Ing. Victorr Adrian Hernnández Jiménez.
Inform
Pág
Resu
El uso
distrib
individ
interes
simple
propós
para r
Servic
antes
estos s
recom
funcio
pueda
se ilus
de un
la IOC
mática Forense
gina | 4
men.
o de Interne
buir todo tip
duo u orga
sadas en a
emente para
sito específi
ecolectar ev
cio Web, Ser
mostrar brev
servicios. En
mendadas inte
onamiento de
ser utilizado
stra el uso de
disco duro,
CE para la ad
e sobre Servic
et se ha incr
po de infor
anización, lo
aprovechar
hacer uso i
ico. Este trab
videncia digi
rvicio de Co
vemente el
n el context
ernacionalm
e cada una d
o como una
e las herram
considerand
dquisición de
cios de Red.
rementado e
rmación y a
o que gene
todas las v
nadecuado d
bajo se cent
ital en tres s
orreo Electró
funcionamie
to de lo que
mente, se trat
de las herra
guía rápida
mientas aplicá
do para ello
e evidencia d
en los último
automatizar
ra un escen
ventajas de
de equipos d
tra en mostr
servicios de
ónico y Serv
ento de los
indican las
a de describ
amientas pro
de consulta
ándolas a un
las guías in
digital en el
Ing. Victor
os años y e
las activida
nario ideal
e Internet p
de cómputo
rar un catálo
red en un e
icio de Men
protocolos u
mejores prá
bir de la man
opuestas en e
a para un ana
n caso prácti
nternacionale
contexto de
r Adrian Hern
es un medio
ades diarias
para que h
para comet
que están d
ogo de herra
equipo de có
nsajería Insta
utilizados en
ácticas de an
nera más sim
este trabajo,
alista forens
ico sobre la i
es definidas
un análisis
nández Jimén
perfecto pa
s de cualqui
haya person
ter delitos,
estinados a
amientas útil
ómputo típic
antánea, no s
n cada uno
nálisis foren
mple posible
, de modo q
se. Finalmen
imagen virtu
por el NIST
forense.
ez.
ara
ier
nas
o
un
les
co:
sin
de
nse
el
que
nte,
ual
T y
Inform
Pág
Abstr
Interne
publis
organi
of Inte
purpos
digital
service
used
recom
this do
forens
practic
define
forens
mática Forense
gina | 5
ract.
et usage has
h all types
izations, it is
ernet to com
se. The focu
l evidence a
e and Instan
for these s
mmended inte
ocument as s
sic analyst.
cal case on a
ed by the NI
sic analysis.
e sobre Servic
s increased o
of informat
s a perfect s
mmit crimes
us of this th
about three
nt Messaging
services. In
ernationally.
simply as po
Finally, the
a virtual disk
ST and the I
cios de Red.
over the cour
tion and to
stage to invo
s or to use
esis is to sh
network ser
g. At first, i
n the conte
The aim is
ossible, so th
e use of the
k image, tak
IOCE for th
rse of the la
automatize
olve persons
a computer
how a catalo
rvices on or
it is shown t
ext of the
s to describe
is document
ese tools is
king into acc
he acquisition
Ing. Victor
ast few years
everyday a
s who are int
for activitie
og of tools th
rdinary com
the function
best forens
the operatio
t can be used
exemplified
count the bes
n of digital
r Adrian Hern
s and it is a p
activities ab
terested to t
es other tha
hat can be u
mputers: web
ning of the t
sic examina
on of the pro
d as a quick r
d by applyi
st internation
evidence in
nández Jimén
perfect way
bout people
take advanta
an the origin
used to colle
b service, m
three protoco
ation practi
oposed tools
reference fo
ing them in
nal practice
the context
ez.
to
or
age
nal
ect
ols
ice
in
r a
n a
as
of
Inform
Pág
Orga
Esta te
proble
objetiv
a la in
tales c
protoc
aprove
con u
recole
red al
propue
de la I
legal.
fue po
Los ca
un trab
práctic
finalid
esta te
mática Forense
gina | 6
anización d
esina está co
ema que mot
vos específic
nformática fo
como SMTP
colo que ut
echarse. El c
una breve d
cción de inf
l cual puede
estas en esta
IOCE que se
Por último,
osible cumpli
apítulos son
bajo de este
co, tratando
dad de explic
esina.
e sobre Servic
de la tesin
ompuesta de
tiva a la real
cos, se descr
forense. El c
P, HTTP y M
tilizan y s
capítulo 3
descripción d
formación. C
en ser aplic
a tesina a un
e siguen en
en el capítul
ir con el obj
escritos en
e tipo, hasta
de proporc
car claramen
cios de Red.
na.
cinco capítu
lización de e
ribe el estado
capítulo 2 d
Mensajería i
se analizan
muestra las
de su funci
Cada herram
cadas. El ca
caso práctic
un proceso
lo 5 se prese
etivo plantea
ese orden, y
a la aplicació
ionar la info
nte el funcio
ulos; el capít
esta tesina, a
o del arte y s
describe el fu
instantánea,
n las fuente
herramienta
ionamiento
mienta está c
apítulo 4 se
co, especific
forense y se
entan brevem
ado al inicio
ya que se exp
ón real de la
formación de
onamiento de
Ing. Victor
tulo 1 comie
acompañada
se proporcio
uncionamien
se describe
es de evide
as disponibl
y las opcio
clasificada d
e enfoca en
ando las rec
e concluye c
mente las con
o de esta tesin
plica al lecto
as herramien
e menor a m
e todas las h
r Adrian Hern
enza con la d
del objetivo
ona una brev
nto de los se
e también b
encia digita
les para obte
ones que of
dependiendo
n aplicar las
comendacion
con un infor
nclusiones y
na.
or desde el p
ntas propues
mayor comp
herramientas
nández Jimén
descripción d
o general y l
ve introducci
ervicios de r
brevemente
al que pued
ener evidenc
frecen para
el servicio
s herramient
nes del NIST
rme de calid
y se describe
porqué realiz
stas a un ca
plejidad con
propuestas
ez.
del
los
ión
red
el
den
cia
la
de
tas
T y
dad
e si
zar
aso
la
en
Inform
Pág
Agra
A Dio
Jiméne
apoyo
Bonfil
darme
mática Forense
gina | 7
adecimient
os por permit
ez por su ap
, al Doctor
l por su ap
e la oportunid
e sobre Servic
tos.
tirme vivir h
poyo incondi
Rubén Vázq
poyo en circ
dad de form
cios de Red.
hasta este mo
icional y sus
quez Medin
cunstancias
arme en sus
omento, a m
s consejos, a
na por su as
difíciles y
aulas como
Ing. Victor
mis Padres Is
a mi herman
sesoría y re
al Instituto
profesionist
r Adrian Hern
aías Hernán
na Janet Her
comendacio
Politécnico
ta.
nández Jimén
dez y Gracie
rnández por
ones, a Vane
Nacional p
ez.
ela
su
esa
por
Inform
Pág
ÍndiceResumen
Organiza
Agradec
Capítulo
Capítulo
Capítulo
mática Forense
gina | 8
e n. .................
ación de la te
cimientos. .....
o 1. Marco
1.1. Resu
1.2. Defin
1.3. Obje
1.3.1. Ob
1.3.2. Ob
1.4. Justi
1.5. Estad
1.6. Intro
o 2. Funcion
2.1. Resu
2.2. Desc
2.2.1. Pa
2.2.2. Fu
2.2.3. Ca
2.3. Desc
2.3.1. Pa
2.3.2. Fu
2.3.3. Ca
2.4. Men
2.4.1. Pa
2.4.2. Pa
2.4.3. Fu
o 3. Herram
3.1. Resu
3.2. Herr
3.2.1. M
3.2.2. W
e sobre Servic
.....................
esina. .............
.....................
de referencia
umen .............
nición del pro
etivos. ...........
bjetivo genera
bjetivos espec
ficación. .......
do del arte. ...
oducción a la I
namiento y fu
umen. ............
cripción de SM
anorama gene
uentes de evid
abeceras de S
cripción HTTP
anorama gene
uentes de evid
abeceras de H
sajería Instan
anorama gene
anorama gene
uentes de evid
mientas dispon
umen .............
amientas útile
Mail PassVIew
WHOIS. ..........
cios de Red.
.....................
.....................
.....................
. ....................
.....................
oblema. .........
.....................
al ..................
cíficos. ..........
.....................
.....................
Informática F
uentes de evid
.....................
MTP. ............
eral del funcio
dencia. ..........
MTP. ...........
P ...................
eral del funcio
dencia. ..........
HTTP. ............
ntánea. ...........
eral del funcio
eral de MSN M
dencia. ..........
nibles para la
.....................
es para la bús
w. ...................
.....................
......................
......................
......................
......................
......................
......................
......................
......................
......................
......................
......................
Forense. .........
dencia de los
......................
......................
onamiento de
......................
......................
......................
onamiento de
......................
......................
......................
onamiento de
Messenger. ...
......................
búsqueda de
......................
squeda de evi
......................
......................
Ing. Victor
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
Servicios de
.....................
.....................
SMTP. ........
.....................
.....................
.....................
HTTP. .........
.....................
.....................
.....................
la mensajería
.....................
.....................
evidencia. ...
.....................
dencia en cor
.....................
.....................
r Adrian Hern
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
Red. .............
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
a instantánea.
.....................
.....................
.....................
.....................
rreo. ..............
.....................
.....................
nández Jimén
.....................
.....................
.....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
. ...................
....................
....................
....................
....................
....................
....................
....................
ez.
.. 4
.. 6
.. 7
11
11
11
11
11
12
12
14
19
21
21
21
21
23
24
28
28
28
30
45
45
46
47
48
48
49
49
51
Inform
Pág
Capítulo
Capítulo
Anexo A
mática Forense
gina | 9
3.2.3. Ns
3.2.4. Tr
3.3. Herr
3.3.1. IE
3.3.2. M
3.3.3. Ga
3.3.4. IE
3.3.5. M
3.3.6. IE
3.3.7. M
3.3.8. IE
3.3.9. Pa
3.3.10. Fa
3.3.11. M
3.3.12. Pa
3.3.13. Do
3.4. Herr
3.4.1. Vi
3.4.2. He
3.4.3. Lo
3.4.4. M
o 4. Aplicac
4.1 Resu
4.2 Ante
4.3 Desc
4.4 Infor
4.5 Apor
o 5. Conclu
5.1. Resu
5.2. Conc
5.3. Trab
A. Referencia
e sobre Servic
slookup. .......
raceroute. ......
amientas útile
ECookiesView
MozillaCookies
alleta. ...........
EHistoryView
MozillaHistory
ECacheView.
MozillaCacheV
EPassView. ...
asswordFox. .
avoritesView
MyLastSearch.
asco. .............
ork ................
amientas útile
isor de suceso
erramientas d
og de convers
MessenPass .....
ción a un caso
umen .............
ecedentes ......
cripción del ca
rme Forense d
rtaciones. ......
usiones y traba
umen. ............
clusiones ......
ajo a futuro ..
s. ..................
cios de Red.
.....................
.....................
es para la bús
w v1.73 .........
sView. ..........
.....................
w. ...................
yView ............
.....................
View. .............
.....................
.....................
.....................
.....................
.....................
.....................
es para la bús
os. .................
de búsqueda (R
saciones. .......
.....................
o práctico ......
.....................
.....................
aso práctico ..
de calidad leg
.....................
ajo a futuro. ..
.....................
.....................
.....................
.....................
......................
......................
squeda de evi
......................
......................
......................
......................
......................
......................
......................
......................
......................
......................
......................
......................
......................
squeda de evi
......................
Retriever) .....
......................
......................
......................
......................
......................
......................
gal .................
......................
......................
......................
......................
......................
......................
Ing. Victor
.....................
.....................
dencia en web
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
dencia en me
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
r Adrian Hern
.....................
.....................
b...................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
ensajería insta
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
nández Jimén
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
....................
antánea. ........
....................
....................
....................
....................
....................
....................
....................
....................
....................
.................. 1
.................. 1
.................. 1
.................. 1
.................. 1
.................. 1
ez.
54
55
56
56
58
59
60
61
63
65
66
68
70
71
74
75
76
76
76
79
80
82
82
82
83
83
118
121
121
121
122
124
Inform
Pág
Anexo B
Anexo C
Anexo D
Anexo E
mática Forense
gina | 10
B. Virtualiza
C. Glosario. ..
D. Índice de F
E. Índice de ta
e sobre Servic
ación de una i
.....................
Figuras. .........
ablas. ............
cios de Red.
imagen. .........
.....................
.....................
.....................
......................
......................
......................
......................
Ing. Victor
.....................
.....................
.....................
.....................
r Adrian Hern
.....................
.....................
.....................
.....................
nández Jimén
.................. 1
.................. 1
.................. 1
.................. 1
ez.
128
130
131
133
Inform
Pág
Capí
1.
En est
tesina,
describ
aborda
guías
breve
1.2
Hoy e
mensa
que of
direcc
distrib
autor o
tiene l
eviden
1.3
Utiliza
especi
digital
mensa
eviden
mática Forense
gina | 11
ítulo 1.
1. Resume
te capítulo s
, acompañad
be el estado
an el tema d
de mejores
introducción
2. Definici
en día se c
ajería instant
frece la Inte
iones, cuent
bución de m
o la privacid
la necesidad
ncia de los se
3. Objetiv
1.3.1. Ob
ando las guí
ializadas de
l relacionad
ajería instant
ncia desde el
e sobre Servic
Marc
en
e aborda la
da del obje
o del arte, e
de informát
prácticas al
n a la inform
ión del pr
ometen muc
tánea y en m
ernet, para o
tas de banco
material con
dad, dichos
de contar co
ervicios de r
vos.
jetivo gener
ías de mejo
análisis for
da con los
tánea, realiza
l punto de vi
cios de Red.
o de refe
descripción
etivo genera
l cual conti
ica forense
l recolectar
mática forens
oblema.
chos delitos
muchas ocas
obtener info
o, agendas
contenido i
delitos debe
on una guía
red involucra
ral
res práctica
ense a un e
servicios de
ando prueba
ista de un an
erencia.
del problem
l y los obje
ene una des
y algunos d
evidencia d
se.
s que involu
iones el ser
rmación con
personales,
napropiado,
en ser invest
que conteng
ados.
as dadas inte
quipo de có
e red tales
as e identific
nalista forens
Ing. Victor
ma que motiv
etivos espec
scripción de
documentos
igital. Por ú
ucran el us
rvicio Web a
nfidencial e
y en mucho
haciendo a
tigados, por
ga las herram
ernacionalme
ómputo típic
s como We
ando cuales
se.
r Adrian Hern
va a la reali
cíficos de e
algunos do
que son ut
último se pro
so del corre
aprovechand
importante,
os casos la
a un lado lo
lo que el an
mientas útile
ente, aplicar
co, para obte
eb, correo
facilitan la r
nández Jimén
ización de es
esta tesina.
ocumentos q
tilizados com
oporciona u
eo electrónic
do las ventaj
, como lo s
publicación
os derechos
nalista foren
es para obten
r herramient
ener evidenc
electrónico
recolección
ez.
sta
Se
que
mo
una
co,
jas
on
n y
de
nse
ner
tas
cia
y
de
Inform
Pág
1)
2)
3)
4)
5)
1.4
El uso
tan so
navega
electró
los usu
de ma
mática Forense
gina | 12
1.3.2. Ob
Plantear el
pretende a
trabajos re
Describir
mensajería
digital, qu
típico.
Describir
servicios d
SMTP, par
Aplicar tod
su uso y, d
en estos se
Mencionar
que son de
acciones q
esta tesina
plantea en
4. Justific
o de Internet
olo en Méxi
aron en Inte
ónico y com
uarios hace u
ayo del 2006
e sobre Servic
jetivos espe
l problema q
alcanzar, la
alizados que
el funciona
a instantánea
e pueden se
algunas her
de red, agrup
ra HTTP y p
das las herra
documentand
ervicios de re
r algunas act
e utilidad pa
ue deben de
a, también se
esta tesina.
ación.
t a nivel mun
ico el INEG
ernet, de ca
municaciones
uso de la Int
6 el INEGI p
cios de Red.
ecíficos.
que alienta a
justificación
e involucran
amiento gen
a, así como
er explotadas
rramientas ú
pándolas en 3
para mensaje
amientas des
do completa
ed.
tividades qu
ara un analis
realizarse e
e relata brev
ndial ha cre
GI informa a
ada diez usu
s, tres para c
ternet para r
presenta la g
a la realizac
n del mism
este tema de
neral de lo
una breve
s en estos s
útiles para
3 partes segú
ería instantán
scritas en est
amente toda
ue no están d
sta forense,
en caso de re
vemente si f
ecido de ma
al año 2005
uarios, cuatr
cuestiones e
realizar oper
gráfica del cr
Ing. Victor
ción de esta
mo y mostra
e tesina.
os servicios
mención de
ervicios par
la recolecc
ún el servicio
nea.
ta tesina a un
la evidencia
dentro del al
con la final
ealizar trabaj
fue posible c
anera expone
5 que casi 1
ro lo utiliza
ducativas, y
raciones ban
recimiento e
r Adrian Hern
tesina, el o
ar una descr
de red SM
e las fuentes
ra un equip
ción de evid
o: herramien
n caso prácti
a que es pos
lcance de es
lidad de deja
o a futuro re
cumplir el o
encial en los
16.5 millone
an para acce
y solo el 1.6
carias y fina
exponencial
nández Jimén
bjetivo que
ripción de l
MTP, HTTP
s de evidenc
po de cómpu
dencia en l
ntas útiles pa
ico, mostran
sible recolect
sta tesina, pe
ar en claro l
elacionado c
objetivo que
s últimos año
es de person
eder al corr
por ciento
ancieras. Al
en el núme
ez.
se
los
y
cia
uto
los
ara
ndo
tar
ero
las
on
se
os,
nas
reo
de
17
ero
Inform
Pág
de hog
como
El crec
que ha
web, e
estos
posibl
trabajo
útiles p
servici
cualqu
Si se l
y se lo
recole
fueron
analiza
estable
algún
compr
mática Forense
gina | 13
gares mexic
se observa e
cimiento exp
ace suponer
el servicio d
servicios de
e culpable.
os como est
para la búsq
ios de red,
uier analista
logran visual
ogran relacio
ctar, es posi
n utilizados
ar y deduc
ecer una co
delito come
rometido par
e sobre Servic
canos que cu
en la Figura
Figura 1. P
ponencial de
que se ven
de correo ele
e red puede
Este tipo d
e en el que
queda, recole
asegurando
forense.
lizar las oper
onar evento
ble describir
en un equip
cir actividad
nclusión sól
etido o que p
ra cometer a
cios de Red.
uentan con
1 [1].
Porcentaje de ho
el uso de la I
n involucrado
ctrónico y e
n ser fuente
de incidentes
se pretende
ección y aná
o que el pro
raciones que
s con la ma
r su comport
po de cómp
des que fu
lida y conci
permita cono
lgún delito.
un equipo d
ogares con equip
Internet ha p
os ciertos se
el servicio de
e de eviden
s dan lugar
aplicar las
álisis de evid
oceso de aná
e realizó un
ayor cantidad
tamiento par
puto típico.
ueron realiz
isa que apu
ocer si el equ
Ing. Victor
de cómputo
po de cómputo
provocado m
ervicios de r
e mensajería
ncia digital q
a que sea
herramienta
dencia que pu
álisis forens
individuo cu
d de evidenc
ra cada uno d
De esta ma
zadas o pue
unte hacia u
uipo de cóm
r Adrian Hern
y con acce
2001‐2005
mayor número
red tales com
a instantánea
que permita
necesario qu
as existentes
ueda estar al
se puede ser
uando accedi
cia digital qu
de los servic
anera, es po
eden realiza
un posible c
mputo que es
nández Jimén
eso a Intern
o de delitos,
mo el servic
a. Por lo tan
a señalar a
ue se realic
s, necesarias
lojada en est
r repetible p
ió a la Intern
ue sea posib
cios de red q
osible tambi
arse logran
culpable sob
s analizado f
ez.
net,
lo
cio
to,
un
cen
s y
tos
por
net
ble
que
ién
ndo
bre
fue
Inform
Pág
El ana
el cre
crecim
cantid
funcio
búsque
ayudar
obteni
confia
1.5
En est
desarr
protoc
consid
Comm
protoc
docum
preser
forens
Los pr
relació
esta te
electró
(Multi
Messa
asocia
Web.
explor
mensa
mática Forense
gina | 14
alista forense
ecimiento qu
miento expon
dad de herra
onamiento, s
eda de evid
ría a que l
iendo los m
abilidad y ma
5. Estado
te apartado
rollo de esta
colos de co
derados en e
ents / petici
colo que es u
mentos intern
rvación, man
se.
rotocolos de
ón directa co
esina. Se des
ónico como
ipurpose Int
age Access P
ados con el p
Además, se
radores o W
ajería instant
e sobre Servic
e debe tratar
ue está teni
nencial en la
amientas q
sería de gra
dencia en lo
las activida
mismos resu
ayor rapidez
del arte.
se abordan
a tesina. El
omunicacion
esta tesina y
ón de comen
utilizado por
nacionales m
nejo y anális
e red que se
on el funcion
scriben breve
lo son los
ternet Mail
Protocol), se
protocolo H
incluye una
Web browsers
tánea que se
cios de Red.
r de recolect
iendo el uso
a carga de tra
que pueden
an utilidad
os servicios
ades puedan
ultados sobre
z a los result
dos aspecto
l primero ti
nes asociad
y una breve
ntarios para
r tales servic
más relevan
sis de eviden
e describen
namiento de
emente y se
protocolos
Extensions)
e agrega una
TTP (Hyper
a breve men
s más popul
analizará en
tar la mayor
o de la Int
abajo del an
ser utilizad
para un an
de red sob
n ser repetib
e el mismo
tados que se
os muy imp
iene que ve
os con los
e mención d
Internet) [2
cios. El segu
ntes que han
ncia digital d
en este apar
e los servicio
muestran lo
SMTP (Sim
), POP (Po
a descripción
rText Transf
nción de los
ares. Se da
n esta tesina,
Ing. Victor
cantidad de
ternet hace
nalista. Por lo
das para est
alista forens
bre un equi
bles por cu
o equipo, ap
e desean obte
portantes qu
er con la de
s servicios
de los docum
2] que se ve
undo aspecto
n abordado
desde el pun
rtado son co
os de red qu
os RFC asoci
mple Mail T
ost Office P
n y se mues
fer Protocol)
servidores
una breve d
el cliente M
r Adrian Hern
e evidencia p
suponer qu
o que una gu
ta acción
se, ya que
ipo de cómp
ualquier ana
portando de
ener.
ue tienen q
escripción g
de red qu
mentos RFC
en involucra
o está relaci
el tema de
nto de vista
onsiderados
ue se abordan
iados al serv
Transfer Pro
Protocol), IM
stran los doc
), utilizado p
Web más p
descripción d
MSN Messen
nández Jimén
posible y da
ue también
uía que liste
y su correc
facilitaría
puto típico,
alista forens
e esta mane
que ver con
general de l
ue han si
C (Request F
ados para ca
ionado con l
adquisició
de un analis
porque tien
n a lo largo
vicio de corr
otocol), MIM
MAP (Intern
cumentos RF
por el servic
opulares y l
del servicio
nger.
ez.
ado
un
la
cto
la
y
se;
era
el
los
ido
For
ada
los
ón,
sta
nen
de
reo
ME
net
FC
cio
los
de
Inform
Pág
El pro
encont
interca
mensa
hace p
El pro
mensa
transm
inform
Multip
enviar
Los p
IMAP
[4].
mática Forense
gina | 15
otocolo SMT
trar la descr
ambio de me
ajes en el RF
posible que s
otocolo MIM
ajes multime
misión de i
mación y qu
propósito pa
r textos con f
rotocolos ut
P. Se ofrece
POP: Post
cliente/serv
Es un cli
transferenc
POP3/SMT
Service Pr
usuarios d
posteriorm
IMAP: Int
industria,
funciones
desde cual
RFC 1730
protocolo
Internet y e
e sobre Servic
TP es utiliz
ripción com
ensajes; se p
FC-822 y en
se admitan d
ME está def
edia. Es un
información
ue es regene
ara Correo e
formato no A
tilizados com
una breve d
t Office Pro
vidor sobre
iente ampli
cia de mensa
TP constituy
ovider / Pro
escargar el c
mente aun cu
ternet Mess
es un proto
de almacena
lquier estaci
y permite a
los usuarios
escriben y b
cios de Red.
ado para en
mpleta acerca
puede encon
n el RFC-11
datos adjunto
finido en la
na ampliaci
multimedia
erada al form
en Internet)
ASCII a trav
múnmente p
descripción
otocol. Este
la Internet,
amente ext
ajes para aqu
ye el servic
oveedor de se
correo mien
uando se enc
aging Acce
ocolo de se
amiento y en
ión de traba
a los usuario
s acceden a
orran los me
nviar mensaj
a de este pro
ntrar una des
154 se encue
os en mensaj
RFC 1521
ón del men
a, que con
mato origina
es actualme
vés de la Inte
por el client
de estos pro
es el más a
cuya versión
tendido en
uellos servid
cio básico
ervicios de I
ntras tienen u
cuentren desc
ss Protocol.
ervicio de c
nvío, permite
ajo. Su últim
os una gestió
al correo sie
ensajes direc
Ing. Victor
jes de corre
otocolo en e
scripción co
entra la desc
es de correo
y se ha de
nsaje de co
nvierte en t
al en el des
ente, el prot
ernet.
te de correo
otocolos en
antiguo prot
n POP3 está
entornos d
dores que ut
de correo d
Internet). Es
una conexió
conectados.
. Ampliame
correo Intern
e acceder a l
ma versión,
ón muy efici
empre que t
ctamente des
r Adrian Hern
eo electrónic
el RFC-821
mpleta del f
cripción del
o electrónico
esarrollado p
orreo electró
texto cualqu
tino. MIME
tocolo más
o electrónico
los 2 párra
tocolo para
á descrita en
de PC y p
tilizan SMTP
de muchos
ste protocolo
ón a la Intern
ente aceptad
net avanzad
los usuarios
IMAP4 se
iente de su c
tengan una
sde el servido
nández Jimén
co. Es posib
(SMTP) pa
formato de l
protocolo q
. [3]
para transmi
ónico para
uier clase
E (Extension
utilizado pa
o son POP
afos siguient
la mensajer
el RFC 122
proporciona
P. El conjun
ISP (Intern
o permite a l
net y revisar
do por toda
do, que apor
a sus buzon
describe en
correo. En es
conexión a
or.
ez.
ble
ara
los
que
itir
la
de
nes
ara
P e
tes
ría
25.
la
nto
net
los
rlo
la
rta
nes
el
ste
la
Inform
Pág
Para e
2616 e
Apach
Apach
un W
inyecc
brows
en fun
Interne
Para e
MSN
un rep
cliente
(http:/
MSN
Windo
operat
sistem
Micro
como
Ingeni
dificul
donde
recons
actual
La seg
por or
funcio
Finalm
mática Forense
gina | 16
el servicio W
en su totalid
he e IIS (Int
he contiene u
eb Log, el
ción de SQL
er o explora
ncionamient
et Explorer,
el servicio de
Messenger,
porte realizad
e de m
//www.coms
Messenger
ows, en 199
tivo Window
mas operativ
soft anuncio
un borrado
iería de Inte
lta el acceso
almacena e
struir el pro
.
gunda parte
rganizacione
onamiento d
mente se agr
e sobre Servic
Web se usa
dad. Los ser
ernet Inform
un Log foren
cual tiene e
L [6]. Para po
adores Web,
to son muy
Mozilla Fire
e mensajería
por ser uno
do en Febrer
mensajería
score.com)
fue desarro
98 apareció
ws ME este
vos Window
o la publicac
or al IETF
ernet), el bo
a informaci
evidencia au
otocolo para
de este apa
es y particu
de herramien
rega una br
cios de Red.
el protocolo
rvidores más
mation Serve
nse llamado
entradas cod
oder visualiz
los cuales ti
similares e
efox, Netsca
a instantánea
de los servic
ro del 2006 e
instantáne
ollado por M
por primera
cliente de
ws posterior
ción del prot
(Internet E
rrador ha ca
ión sobre el
unque por pa
a tener docu
artado hace r
lares, los cu
ntas útiles y
eve descripc
o llamado H
s conocidos
er) el cual es
mod_log_fo
dificadas qu
zar archivos
ienen alguna
entre si, ent
ape, Opera, e
a, se ha tom
cios más pop
el 61 por cie
ea utiliza
Microsoft, e
a vez como
mensajería
es. El prot
tocolo llama
Engineering
aducado y n
funcionamie
arte de progr
umentada de
referencia a
uales descri
y especializ
ción de los
Ing. Victor
HTTP, el cua
que provee
s funcional
orensic.c [5]
ue a menud
de tipo web
as variantes
tre los más
entre otros. [
mado como p
pulares. Segú
ento, de las p
an MSN
está disponib
descarga gr
viene inclui
ocolo no e
ado MSNP e
Task Force
no es accesi
ento de este p
ramadores p
e manera no
documentos
ben fuentes
zadas para o
pasos que
r Adrian Hern
al está descr
en el servicio
para ambien
, por su part
do suelen se
b están diseñ
en cuanto a
populares
[7]
punto de aná
ún comScor
personas que
Messeng
ble solo par
ratuita y des
ido en las u
es público p
en su versió
e,/ grupo d
ble desde la
protocolo y
particulares h
o oficial ha
s que han si
de evidenc
obtener evid
se siguen p
nández Jimén
rito en el RF
o de Web s
ntes Window
te IIS contie
er ataques
ñados los We
opciones pe
se encuentr
álisis al clien
re Networks
e utilizan alg
ger. Fuen
ra plataform
sde el sistem
utilerías de l
pero en 19
ón 2 y la env
de Trabajo
a Web, lo q
de los lugar
han tratado
asta la versi
ido publicad
cia, técnicas
dencia digit
ara el análi
ez.
FC
on
ws.
ene
de
eb-
ero
ran
nte
en
gún
nte:
mas
ma
los
99
vío
en
que
res
de
ión
dos
s y
tal.
sis
Inform
Pág
forens
de Est
El doc
Equipo
descrip
forens
descrip
análisi
tesina,
protoc
electró
en men
El do
compl
las fue
y las h
El doc
para
dando
Docum
CERT
recole
lo son
propor
ambie
abierto
del se
recupe
fuente
mática Forense
gina | 17
se según el N
tandares y Te
cumento 05
o de Respue
pción de mu
se para un
pción de las
is forense d
, el docume
colo SMTP c
ónico, sin toc
nsajería inst
cumento 91
leto que deb
entes posible
herramientas
cumento 08t
la recolecci
un breve eje
mento FRGC
T; Proporcion
ctar evidenc
n sistema de
rciona cierta
nte Linux p
os, entre otro
rvicio Web,
erar correos
es de evidenc
e sobre Servic
NIST (Nation
ecnologia).
hb003 emit
esta a Emerg
uchas de las
sistema W
s herramient
de todo el qu
ento se lim
cuando se ha
car el tema d
tantánea [8].
17slide (resp
e realizar el
es de eviden
s útiles para
tn017 emitid
ón de evide
emplo de alg
CF_v1.3 (Fir
na una breve
cia en un equ
archivos, m
as herramie
para obtener
os. A pesar d
, la obtenció
borrados u
cia que pued
cios de Red.
nal Institute
tido por el
gencias Com
s herramient
Windows y
tas no es com
uipo de cóm
mita a explic
a realizado u
de evidencia
ponse incid
equipo de r
ncia en los pr
recolectar e
do por el CE
encia voláti
gunas de esta
rst Respond
e descripción
uipo de cóm
memoria, exp
ntas en mo
información
de que en es
ón de eviden
utilizando el
den ser tomad
of Standard
CERT (Com
mputacionales
tas útiles pa
algunas her
mpleta debi
mputo, aunq
car el proce
una suplantac
a que es posib
ent) emitido
respuesta ant
rotocolos de
evidencia en
ERT; Menci
il, en red, en
as herramien
ders Guide to
n de una am
mputo. Abarc
loradores, c
odo comand
n de red, co
ste document
ncia de corr
l cliente de
das en cuent
Ing. Victor
ds and Techn
mputer Eme
s); En este d
ara el desarr
rramientas p
do a que el
que aborda e
eso de búsq
ción de iden
ble recolecta
o por el NI
te incidentes
e red, pero n
n estos proto
iona algunas
n memoria
ntas [10].
o Computer
mplia gama d
ca distintas f
ookies, regis
do que pued
omo lo es la
to se refiere
reo electrón
Microsoft O
ta para este s
r Adrian Hern
nology / Inst
ergency Resp
documento s
rollo de una
para sistem
documento
el tema prop
queda de ev
ntidad o spoo
ar en un exp
IST; Presen
s, en el cual
no detalla el
ocolos [9].
s herramient
volátil y pro
Forensics)
de herramien
fuentes de ev
stro de Wind
den ser utili
cache ARP
a como obt
nico se limit
Outlook sin
servicio [11]
nández Jimén
tituto Nacion
ponse Team
e presenta u
a investigaci
mas Linux. L
comprende
puesto en es
videncia en
ofing de corr
lorador Web
nta el proce
se mencion
procedimien
tas disponibl
ocesos activ
emitido por
ntas útiles pa
videncia com
dows, tambi
izadas en
P y los puert
ener evidenc
ta solamente
n abarcar otr
].
ez.
nal
m /
una
ión
La
el
sta
el
reo
b y
eso
nan
nto
les
vos
el
ara
mo
ién
un
tos
cia
e a
ras
Inform
Pág
El doc
sistem
un cat
cómpu
El doc
proyec
la Uni
del pro
eviden
Para r
correo
800-86
refiere
permit
deben
para o
situaci
métod
pregun
análisi
accion
proced
tales c
vulner
mejora
forens
Los do
como
maner
técnica
mática Forense
gina | 18
cumento He
ma operativo
tálogo de h
uto tanto con
cumento (El
cto de fin de
iversidad Po
otocolo msn
ncia digital [
realizar un an
o electrónico
6, el cual de
e a obtener
tan mantene
ser examin
obtener solo
ión; 3) Aná
dos y técnica
ntas que dier
is debe ser
nes realizada
dimientos, u
como inspec
rabilidades, m
ar las polític
se y de la seg
ocumentos q
los que de
ra separada.
as y herram
e sobre Servic
elix0307 por
llamado He
herramientas
n sistema op
l protocolo M
e carrera en e
olitécnica de
np y su funci
12].
nálisis foren
o y mensajer
fine 4 pasos
información
er la integrid
ados utilizan
la informa
lisis, los da
as documen
ron ímpetu p
reportado, l
as, una exp
una determin
cción forens
mejoras a lo
cas, directric
guridad infor
que fueron m
escriben her
Ninguno d
mientas para
cios de Red.
r e-fense; e
lix, el cual e
s útiles para
erativo como
Messenger),
el Departam
e Madrid. Es
ionamiento,
nse sobre los
ía instantáne
s para aplicar
n de todos l
dad de los da
ndo una com
ción que rep
atos obtenido
ntadas que d
para la colec
os puntos re
plicación de
nación de alg
se de fuente
os controles e
ces, procedim
rmática en la
mencionados
rramientas y
de estos do
realizar de
es un manua
está basado e
a realizar u
o con sistem
fue realizad
mento de Inge
ste documen
pero no con
s servicios d
ea, se toma c
r el análisis
los orígenes
atos; 2) Insp
mbinación d
presente un
os de la insp
deriven info
cción e inspe
eportados de
cómo se s
gunas otras
es adicional
existentes de
mientos, herr
a organizació
anteriormen
y procedimi
ocumentos i
manera inte
Ing. Victor
al de las he
en la versión
un análisis f
ma operativo
do por Octa
eniería y Arq
nto contiene
ntiene inform
de red propu
como base e
forense: 1) C
posibles us
pección de d
de métodos a
interés part
pección deb
rmación úti
ección; 4
eben conten
seleccionaro
acciones qu
les de inform
e seguridad y
ramientas y
ón [13].
nte, tanto los
ientos foren
incluye func
egral el anál
r Adrian Hern
erramientas
n de Linux U
forense de
Linux.
avio Álamo
quitecturas T
una descrip
mación sobre
uestos en est
el documento
Colección de
sando proce
datos, los da
automatizado
ticular depe
ben ser anal
l que de re
) Reporte, e
ner una desc
on las herra
ue deberían
mación, ide
y una recom
otros aspect
s que describ
nses, son en
cionamiento
lisis forense
nández Jimén
que provee
Ubuntu. Prov
un equipo
Santana com
Telemáticas
pción comple
e obtención
a tesina, We
o del NIST S
e datos, que
dimientos q
atos colectad
os y manual
endiendo de
izados usan
spuestas a l
el resultado d
cripción de l
mientas y l
ser realizada
entificación
mendación pa
tos del proce
ben protocol
ncontrados
o del servic
e. Además, l
ez.
el
vee
de
mo
de
eta
de
eb,
SP
se
que
dos
les
la
ndo
las
del
las
los
as,
de
ara
eso
los
de
io,
los
Inform
Pág
docum
eviden
dan un
solo un
1.6
El val
casos
negoci
solució
la info
compe
puede
antes m
Por o
vulner
fallas
Esto g
vulner
inform
vulner
El pro
multid
involu
Aunqu
realiza
el CER
objetiv
sin alt
análisi
mática Forense
gina | 19
mentos que d
ncia en servi
n panorama
na o dos her
6. Introdu
lor de la inf
donde la inf
io. Es por e
ón de confli
ormación. La
etencia desle
ser utilizada
mencionadas
otra parte, e
rabilidad de
humanas, d
genera un e
rabilidad par
mática foren
rabilidad y e
oceso forens
disciplinario,
ucra aspectos
ue aun no ex
ar un análisi
RT que son
vo es buscar
terar los dat
is. Todas la
e sobre Servic
describen he
icios de red
general de
rramientas pa
ucción a la
formación
formación re
ello que la in
ictos tecnoló
a informátic
eal, fraude, r
a cuando se
s, cuando se
el aumento
los sistema
de procedimi
escenario ide
ra realizar a
se sobre lo
n algunos ca
se debe de
, ya que in
s legales, por
xiste un está
s forense, ex
utilizados c
r realizar un
tos originale
as pruebas d
cios de Red.
erramientas f
, por el con
la búsqueda
ara obtener e
a Informát
ha tomando
epresenta el d
nformática f
ógicos relacio
a forense br
robo de infor
sospecha qu
tiene conoc
de tecnolo
s de inform
iento, tecno
eal para qu
actividades
s sistemas d
asos señalar
ser realizad
nvolucra asp
r lo que se re
ándar oficial
xisten docum
como una gu
na recolecció
es, organiza
deben ser do
forenses no
ntrario por tr
a de evidenc
evidencia so
tica Foren
o cada vez m
desarrollo o
forense toma
onados con
rinda una res
rmación, y en
ue se está re
cimiento que
ogía está ac
ación. Esta
lógicas, de
ue haya pers
ilícitas, lo q
de informac
al culpable.
do por espec
pectos técnic
equiere de u
en la mane
mentos expe
uía para rea
ón segura de
ando y catal
ocumentadas
Ing. Victor
son especia
ratarse de eq
cia sobre tod
obre los servi
nse.
mas importa
subsistencia
a gran impo
seguridad in
spuesta a los
n algunos ca
ealizando cua
e está ocurrie
compañado
vulnerabilid
infraestructu
sonas intere
que provoca
ción con el
cialistas en
cos variados
un experto en
ra en la que
didos por el
alizar un aná
e los datos s
logando tod
s para ser m
r Adrian Hern
alizados en la
quipos de có
do el equipo
icios de red.
ancia, actual
a de una orga
ortancia ya q
nformática y
s problemas
asos espionaj
alquiera de l
endo y cuand
de un incr
dad puede se
ura y de im
sadas en ap
a la necesid
propósito d
el tema. Es
s y en algu
n derecho.
e se debe de
l NIST, por
álisis forense
sobre los me
da la inform
mostradas co
nández Jimén
a búsqueda
ómputo típic
o mencionan
lmente exist
anización o
que permite
y protección
de privacida
aje industrial
las actividad
do ya ocurrió
remento en
er causada p
mplementació
provechar es
dad de realiz
de eliminar
ste proceso
unas ocasion
proceder pa
la IOCE y p
e. El princip
edios digitale
mación para
omo evidenc
ez.
de
cos
ndo
ten
un
la
de
ad,
l, y
des
ó.
la
por
ón.
sta
zar
la
es
nes
ara
por
pal
es,
su
cia
Inform
Pág
digital
justific
mática Forense
gina | 20
l, la cual p
cación para l
e sobre Servic
ermite elabo
la hipótesis
cios de Red.
orar un dic
que alentó a
tamen claro
a la realizaci
Ing. Victor
o, conciso,
ión del análi
r Adrian Hern
fundamentad
isis forense.
nández Jimén
do y con u
ez.
una
Inform
Pág
Capí
Se
2.
En est
HTTP
analiza
eviden
deduce
SMTP
funcio
mensa
docum
acerca
deduci
2.2
El mo
destina
destina
respon
negoci
directo
realiza
El esq
la figu
mática Forense
gina | 21
ítulo 2. ervicios d
1. Resume
te capítulo s
P y Mensaje
an las fuente
ncia digital.
en analizand
P y HTTP se
onamiento pa
ajería instant
mento RFC d
a del funcion
ir fuentes de
2. Descrip
2.2.1. Pan
odelo SMTP
atario, el S
atario los d
nde con un m
ian el direc
orios fueron
ar el destinat
quema básico
ura 2:
e sobre Servic
Funci
de Red.
en.
se describe e
ería instantán
es de eviden
Las fuentes
do a detalle
cuenta con
ara estos pr
tánea que se
debido a que
namiento de
e evidencia d
pción de SM
norama gen
P está dise
MTP-remite
atos de quie
mensaje OK
ctorio donde
n negociado
tario respond
o con el que
cios de Red.
ionamien
el funcionam
nea. Se des
cia; es decir
de evidenci
el funciona
el RFC del p
otocolos, pa
e aborda en e
e es un proto
e MSN Mes
digital para e
MTP.
neral del fun
eñado con d
ente envía u
en envía el
Reply al rem
e se va a al
s, entonces
de al remiten
e se ilustra e
nto y fue
miento de lo
cribe brevem
r, todas las ub
ia digital qu
amiento de
protocolo lo
ara el caso d
esta tesina
colo privado
ssenger en l
este servicio.
ncionamient
dos vías de
un comando
correo. Si e
mitente, entr
lmacenar el
se envían
nte con un m
l funcionam
Ing. Victor
entes de
os servicios
mente el pr
bicaciones d
ue se describ
los servicio
o que permit
del protocolo
MSN Messe
o, pero se pu
a internet y
.
to de SMTP
e comunicac
o de correo
el destinatar
re el remiten
correo elec
los datos. S
mensaje OK R
miento genera
r Adrian Hern
e evidenc
de red tales
rotocolo que
donde es pos
ben para cad
os de red. P
te conocer p
o que utiliza
enger no se
uede recopila
de esta for
P.
ción, un re
electrónico
rio SMTP p
nte y el desti
ctrónico, un
Si la transac
Reply.
al de SMTP
nández Jimén
cia de lo
como SMT
e utilizan y
sible recolect
da protocolo
ara el caso
or completo
a el cliente
cuenta con
ar informaci
rma se pued
emitente y
o indicando
puede recibir
inatario SMT
a vez que l
cción se pu
se muestra
ez.
os
TP,
se
tar
se
de
o el
de
un
ión
den
un
al
rlo
TP
los
udo
en
Inform
Pág
Se pue
en RF
media
Telnet
Los co
contin
HELO
RCPT
DATA
QUIT
En el
es pos
de cor
Telnet
mática Forense
gina | 22
ede encontra
FC 2821. SM
ante un telnet
t [SMTP_SE
omandos bá
nuación:
O: Utilizado p
L: Inicializa u
T: Especifica
A: Es el men
: Termina la
siguiente eje
sible enviar u
rreo.
t victor.com
L FROM: <v
e sobre Servic
ar una lista c
MTP utiliza e
t siguiendo l
ERVER] [pu
ásicos para r
para enviar u
una transacc
la dirección
nsaje que se e
a sesión de S
emplo se uti
un correo el
25
vick@victor.
cios de Red.
Figura 2. Model
completa de
el puerto 25
la estructura
uerto].
realizar una
una solicitud
ción de corre
n del destinat
envía en el c
SMTP
ilizan los com
ectrónico m
com>
lo del funcionam
comandos u
5, así que es
del comand
transacción
d de identific
eo electrónic
tario.
correo electró
mandos des
ediante el se
Ing. Victor
miento de SMTP
utilizados po
posible dem
do de la sigui
de correo e
cación de sí
o y provee l
ónico.
scritos anteri
ervicio telne
r Adrian Hern
P
or SMTP en
mostrar su fu
iente forma:
electrónico s
mismo.
a dirección d
iormente y s
et al puerto 2
nández Jimén
n el RFC 821
uncionamien
se describen
del remitente
se muestra q
25 del servid
ez.
1 y
nto
n a
e.
que
dor
Inform
Pág
RCPT
DATA
QUIT
Es imp
abierto
correo
necesa
puerto
El cor
típico
Thund
mucho
tiene
mática Forense
gina | 23
T TO: <prueb
A
Aquí escrib
portante men
o, los client
o electrónico
ario que el p
o 143 este ab
2.2.2. Fue
rreo electrón
pueden esta
derbird, kma
os casos los
ciertas parti
e sobre Servic
bimos el me
Figura
ncionar que
es de correo
o utilizan los
puerto 110
bierto [14].
entes de evi
nico contien
ar instalados
ail, Microsof
clientes de c
icularidades
cios de Red.
com>
nsaje
a 3. Envió de cor
para poder
o electrónico
s protocolos
este abierto
dencia.
ne diversas f
diferentes c
ft Outlook, L
correo electr
en la form
rreo con los com
utilizar SMT
o que se uti
s POP e IMA
y para pod
fuentes de e
clientes de co
Lotus Notes
rónico están
ma en que a
Ing. Victor
mandos básicos
TP, es neces
ilizan para r
AP, para qu
der utilizar I
evidencia. E
orreo electró
s, Kontac, E
basados en
almacenan y
r Adrian Hern
SMTP
sario que el
recuperar lo
ue pueda util
IMAP es ne
En un equip
ónico como l
volution y e
el web. Cad
y administra
nández Jimén
puerto 25 es
s mensajes
lizarse POP
cesario que
o de cómpu
lo son Mozi
entre otros. E
da uno de ell
an los corre
ez.
ste
de
es
el
uto
illa
En
los
eos
Inform
Pág
electró
que e
corres
preten
forens
se tom
consid
acerca
eviden
import
acerca
enviad
caracte
Antes
necesa
figura
a otro.
mática Forense
gina | 24
ónicos. Para
stán almace
pondan al t
nde entrar en
se de todo el
ma en cuen
derado evide
a de este ar
ncia es en la
tar el cliente
a del remiten
das, el client
erísticas.
2.2.3. Cab
de comenz
ario compren
4 se puede
. Los pasos q
e sobre Servic
recuperar ev
enados y qu
tipo de arch
n detalle en
l equipo de c
ta que se h
encia y se n
rchivo. Ento
as cabeceras
e de correo e
nte y del des
te de correo
beceras de S
zar a revisa
nder cual es
visualizar la
que envuelve
Figura 4. Mo
cios de Red.
videncia se
ue son acce
hivo que ut
las activida
cómputo. Se
ha localizad
necesita obt
onces, el lu
de SMTP,
electrónico.
stinatario, co
electrónico q
SMTP.
ar las cabec
s el ciclo de
a manera en
en este ciclo
odelo de comun
debe empez
esibles y de
tiliza el clie
ades que pue
considera s
do un archiv
tener la may
ugar donde
las cuales e
En las cabe
omo lo son l
que se utiliz
ceras de un
vida de un
que un corr
o se enumera
nicación en un e
Ing. Victor
zar por revisa
espués busca
ente de corr
eden ser rea
solo el servic
vo de corre
yor cantidad
se encuent
están present
eceras se pue
las direccion
zó y las estam
n mensaje d
mensaje de
reo electróni
an a continua
envío de correo e
r Adrian Hern
ar cada uno
ar archivos
reo. En esta
lizadas dura
cio de correo
eo electrónic
d de inform
tra la mayo
tes de la mis
ede encontra
nes IP desde
mpas de tiem
de correo e
e correo elec
co es enviad
ación.
electrónico.
nández Jimén
de los corre
borrados q
a tesina no
ante el análi
o electrónico
co, el cual
mación posib
or cantidad
sma forma s
ar informaci
e donde fuer
mpo entre otr
electrónico,
ctrónico. En
do de un pun
ez.
eos
que
se
sis
o y
es
ble
de
sin
ión
ron
ras
es
la
nto
Inform
Pág
1.
2.
3.
4.
La cab
www.
Es imp
del do
contin
Pri
Da
Fro
Us
mática Forense
gina | 25
El mensaje
alice.alpha
smtp.alpha
Bob (mailh
revisar el c
bob.betane
mailhost.b
becera mostr
cert.org/arch
portante tom
ocumento, po
nuación se an
imera parte:
ate: Mon, 25
om: Alice Pr
ser-Agent: M
e sobre Servic
e es creado p
anet.com env
anet.com env
host.betanet.
correo.
et.com recup
etanet.com
rada en la F
hive/pdf/05h
mar en cuenta
or lo que la
naliza este ej
5 Jul 2005 11
rice <alice.p
Mozilla Thun
cios de Red.
por Alice en
vía el mensaj
vía el mensa
.com) Bob u
pera el men
igura 5, fue
hb003.pdf
Figura 5. Cabec
a que las cab
primera cab
jemplo en tre
1:39:55 -040
price@alphan
nderbird 1.0.
el equipo de
je de correo
aje de correo
utiliza el equ
nsaje de corr
tomada del
cera de un corre
beceras más
becera agreg
es partes:
00
net.com>
6 (Windows
Ing. Victor
e cómputo al
electrónico
o electrónico
uipo de cómp
reo electrón
documento
eo electrónico.
s nuevas se v
gada es la qu
s/20050716)
r Adrian Hern
lice.alphanet
a smtp.alpha
o al servido
puto bob.beta
nico de Alic
que se mue
van agregand
ue se encuen
)
nández Jimén
t.com
anet.com
r de correo
anet.com, pa
e del servid
estra en el sit
do al princip
ntra al final.
ez.
de
ara
dor
tio
pio
A
Inform
Pág
X-
MI
Co
Co
En est
electró
El me
codific
Mozill
correo
Se
Re
Se pu
cómpu
qualifi
192.16
by
El men
una ve
identif
for
El men
25 de
horario
mática Forense
gina | 26
-Accept-Lan
IME-Versio
ontent-Type:
ontent-Trans
ta sección es
ónico.
ensaje de co
cado a 7 bi
la Thunderb
o electrónico
egunda parte
eceived: from
uede deducir
uto identific
fied domain
68.0.5.
y smtp.alphan
nsaje de cor
ersión de ag
ficador ID j6
r <bob.doe@
nsaje de corr
julio del 20
o de verano
e sobre Servic
nguage: en-u
n: 1.0
: text/plain; c
sfer-Encodin
s posible obs
orreo electró
its. Podemos
bird v1.0.6 c
o que envía e
:
m alice.alpha
r que el me
cado por el
name) pre
net.com (8.1
rreo electrón
gente de tra
6PFdtHm024
@betanet.com
reo electróni
005 a las 11
o, si hubiera
cios de Red.
s, en
charset=ISO
ng: 7bit
servar la man
nico es en t
s observar q
omo su clien
el mensaje en
anet.com (al
ensaje de c
nombre de
esume ser a
12.10/8.12.10
ico fue recib
ansporte de
4126 por sm
m>; Mon, 25
ico es enviad
:39:55 de la
sucedido du
O-8859-1
nera en la qu
texto plano
que Alice u
nte de corre
n conjunto c
ice.alphanet
orreo electr
e dominio t
alice.alphane
0) with ESM
bido por smt
correo vers
mtp.alphanet.
5 Jul 2005 11
do a bob.doe
a Hora del E
urante el hor
Ing. Victor
ue fue compu
utilizando l
utilizó una v
eo y podemo
on su estamp
t.com [192.1
rónico fue e
totalmente c
et.com y co
MTP id j6PFd
tp.alphanet.c
sión 8.12.10
com.
1:39:55 -040
Estados unid
rario de invie
r Adrian Hern
uesto el men
los caractere
versión para
os observar l
pa de tiempo
68.0.5])
enviado de
calificado
ontiene una
dtHm024126
com, el cual
y se le fue
00
com y fue rec
dos -0400 GM
erno debería
nández Jimén
nsaje de corr
es ISO-8859
a Windows
la dirección
o.
un equipo
(FQDN: ful
a dirección
6
está corrien
e asignado
cibido el lun
MT durante
a aparecer -3
ez.
reo
9-1
de
de
de
lly
IP
ndo
un
nes
el
00
Inform
Pág
GMT,
Time)
Me
El men
del ID
cómpu
especi
Te
Desde
mailho
recept
este ca
En las
del equ
by
Mo
El serv
este m
Julio 2
horario
ir en o
verdad
Cualqu
alice.p
hace la
Re
mática Forense
gina | 27
se puede e
, en el sitio h
essage-ID: 4
nsaje=ID es
D es usualme
uto. Este es
ifico del serv
ercera parte:
e que smtp.a
ost.betanet.c
tor es capaz
aso es smtp.a
s líneas sigu
uipo de cóm
y mailhost.be
on, 25 Jul 20
vidor recepto
mensaje 1Dts
25 del 2005
o de verano.
orden cronol
dera.
uier respue
price@alpha
a entrega fin
eturn-Path: <
e sobre Servic
encontrar un
http://www.t
42E507CC.2
un identific
ente una cade
s un identif
vidor de corr
alphanet.com
com donde
de Identific
alphanet.com
uientes se pu
mputo mailho
etanet.com w
005 11:40:06
or de correo
sVC-0001I2-
5 a las 11:40
. Es necesari
lógico, esto n
esta a este
anet.com. “R
nal.
<alice.price@
cios de Red.
na referencia
trabajofreela
2080100@al
cador único q
ena única y
ficador uni
reo.
m procesa, e
Bob puede
car el FQDN
m y su direcc
uede observa
ost.betanet, l
with smtp (Ex
6 -0400
electrónico
-O2, el servi
0:06 indican
io notar que
nos permitir
correo ele
Return-Path”
@alphanet.co
a del sistema
ance.com.mx
phanet.com
que es asign
la segunda p
iversal a dif
el 0mensaje
e recuperar
N del equipo
ción IP 192.
ar que mens
a cual está e
xim 4.44)id
mailhost.be
idor mailhos
ndo que la H
las estampa
rá identificar
ectrónico d
la cabecera
om>
Ing. Victor
a horario de
x/acerca-de-
nado a cada
parte es un i
ferencia de
e de correo
sus mensaje
o de cómput
168.0.100.
aje de corre
ejecutando E
1DtsVC-00
tanet.com as
st.betanet.co
Hora de E U
as de tiempo
r si una cabe
debería ser
a es escrita p
r Adrian Hern
e GMT (Gre
gmt.
mensaje. La
dentificador
el ID de S
electrónico
es. El equip
to que envía
eo electrónic
Exim versión
01I2-O2
signa un iden
om recibió es
es -0400 GM
o en estas tre
ecera ha sido
enviada a
por el servid
nández Jimén
eenwich Me
a primera par
r del equipo
SMTP que
es enviado
po de cómpu
a el correo. E
co fue recibi
n 4.44.
ntificador pa
ste mensaje
MT durante
es partes deb
o falseada o
la direcci
dor SMTP q
ez.
ean
rte
de
es
o a
uto
En
ido
ara
en
el
ben
es
ión
que
Inform
Pág
2.3
El pro
Interne
RFC
protoc
HTTP
servid
por un
estatus
servid
La sin
htt
Si el p
especi
Para a
en Ing
Mozill
Interne
Los ex
web v
visuali
1 Cada que ord2 Uniforrecurso
mática Forense
gina | 28
3. Descrip
2.3.1. Pan
otocolo HTTP
et desde 199
2612. A co
colo.
P es un proto
dor mediante
n mensaje, c
s de la línea
dor [15].
ntaxis genera
tp_URL = "h
puerto no se
ifica se toma
acceder al co
glés por We
la Firefox, O
et Explorer y
2.3.2. Fue
xploradores
visitadas. En
izar la págin
equipo de cóm
den se transmiterm Resource Ls como docum
e sobre Servic
pción HTT
norama gen
P es un proto
90. El funci
ontinuación
ocolo basad
e un método
con modifica
a incluyendo
al para URL
http:" "//" ho
especifica s
a la ubicación
ontenido a m
eb Browser.
Opera, Nesca
y Mozilla Fi
entes de evi
web, utilizan
n este direct
na y las cook
mputo implemen
en los datos. Locator: Es unamentos e imágen
cios de Red.
TP
neral del fun
ocolo distrib
ionamiento g
se presenta
do en solicitu
o utilizando
adores e info
o en su men
se especifica
ost [ ":" port
e toma como
n predeterm
menudo se re
. Entre los
ape, FineBro
irefox por se
dencia.
n un directo
torio se alm
kies.
nta un método
a cadena de carnes de Internet
ncionamient
buido1 a nive
general de e
a un panora
ud y respue
una URL2,
ormación de
nsaje la ver
a de la sigui
] [ abs_path
o predeterm
minada por /.
equiere de a
más popula
owser y Safa
er los explora
rio en el que
macenan las
de acceso al m
racteres con fot.
Ing. Victor
to de HTTP
el de aplicac
este protoco
ama general
esta, un clien
y una versi
el cliente, el
rsión del pro
ente forma:
h [ "?" query
minado el Pue
algún explora
ares se encu
ari, entre otro
adores con m
e almacenan
URL’s, los
medio para dete
rmato estándar
r Adrian Hern
P.
ción, y ha sid
olo está espe
l del funcio
nte envía un
ón del proto
servidor res
otocolo e in
]]
erto 80 y si a
ador web, m
uentran Inte
os. Esta tesin
mayor popul
n el historial
s archivos u
erminar en form
r que se usa pa
nández Jimén
do usado por
ecificado en
onamiento d
na solicitud
ocolo, segui
sponde con
nformación d
abs_path no
mejor conoci
rnet Explor
na se centra
aridad y uso
de las págin
utilizados pa
ma dinámica en
ara nombrar
ez.
r la
el
del
al
ido
un
del
se
ido
rer,
en
o.
nas
ara
n
Inform
Pág
Los ar
son ut
de ma
descar
herram
acerca
alguno
página
cookie
escriba
El dire
digital
estos
utiliza
recupe
explor
Interne
history
operat
archiv
de coo
Los ar
sistem
ubicac
\Window\Window\Window\Window\Window\Window
mática Forense
gina | 29
rchivos refer
tilizadas si e
anera que est
rgar todo el c
mienta empl
a de sus visi
os datos con
as de ese se
e no es más q
a en el disco
ectorio dond
l para el ser
archivos, re
ar una herram
erar esta inf
radores web
et Explorer
y.dat, los cu
tivo, por lo q
vos con exten
okies y su es
rchivos con
ma operativo
ciones [18, 1
ws\Cookies ws\History\histows\History\Histws\Temporary ws\Temporary ws\Temporary
e sobre Servic
ridos por tem
el usuario so
ta pueda des
contenido nu
leada por lo
itantes. Med
ncernientes a
ervidor, nom
que un archi
o duro del us
de se almacen
rvicio web, a
egularmente
mienta para
formación. A
b contienen
el archivo e
uales son co
que no son
nsión .dat co
tampa de tie
extensión .d
y del explo
9, 20]:
ory.ie5 tory.ie5\sub-folInternet Files Internet Files\CInternet Files\C
cios de Red.
mporales de
olicita visual
splegarse má
uevamente. P
os servidore
diante el uso
al usuario, c
mbre, contra
ivo de texto
suario [16].
nan los arch
aunque tiene
el mismo e
recuperar ar
Afortunadam
un índice d
es index.dat,
onsiderados
accesibles s
ontienen la l
empo con la
dat están ub
orador web,
Windows 9
ders
Content.IE5\ Content.IE5\su
Internet o ca
lizar una pág
ás rápido. Co
Por otra part
s Web para
o de cookies
omo sus pre
aseña, produ
que algunos
hivos tempor
e ciertos inc
explorador o
rchivos borra
mente para e
de referenci
, y para el c
archivos de
si el sistema
lista de las u
fecha de mo
bicados en d
a continuac
9x > Window
ub-folders
Ing. Victor
ache de expl
gina que hay
on esto, el ex
te, las cookie
a almacenar
s se permite
eferencias pa
uctos que m
s servidores s
rales y cooki
convenientes
ofrece esta
ados no es g
el analista f
ia de extens
caso de Moz
e sistema y
se encuentr
url’s que han
odificación y
diferentes dir
ción se mue
ws ME
r Adrian Hern
lorador, son
ya visitado
xplorador w
es constituye
y recupera
al servidor
ara la visual
más le inter
solicitan al e
ies son fuent
s. El usuario
opción; aun
garantía algu
forense la m
sión dat. Pa
zilla Firefox
y están ocult
ra en funcion
n sido visitad
y la fecha de
rectorios de
estra una lis
nández Jimén
imágenes q
anteriormen
web no neces
en una poten
ar informaci
Web record
lización de l
esan etc. U
explorador q
te de evidenc
o puede borr
nque se podr
una para pod
mayoría de l
ara el caso
x es el archi
tos al sistem
namiento. L
das con la lis
acceso [17]
pendiendo d
sta de posibl
ez.
que
nte,
ita
nte
ón
dar
las
Una
que
cia
rar
ría
der
los
de
ivo
ma
Los
sta
.
del
les
Inform
Pág
\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum\Docum
\window\window\window\window En Lin/home/u Si el c
entonc
Media
fuera d
entre o
Las ca
web p
HTTP
Conn
Permit
indica
mática Forense
gina | 30
ments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settinments and settin
ws\system32\cows\system32\cows\system32\cows\system32\co
nux con Mozusuario/mozilla
caso que no
ces una impo
ante ellas se
de línea, el t
otras caracte
2.3.3. Cab
abeceras de I
por lo que s
P contienen in
nection (con
te especifica
a que la cone
e sobre Servic
Winngs\<usernamengs\<usernamengs\<usernamengs\<usernamengs\<usernamengs\All Users\cngs\All Users\Lngs\All Users\Lngs\All Users\Lngs\All Users\Lngs\Default Usngs\Default Usngs\Default Usngs\Default Usngs\Default Us
onfig\systempronfig\systempronfig\systempronfig\systempr
zilla Firefoxa/Firefox/id_def
s ocupa solo
ortante fuent
e puede cono
tipo de usuar
erísticas.
beceras de H
Internet a m
se deben ins
nformación
exión)
ar diferentes
exión debe ce
cios de Red.
ndows NT >e>\cookies e>\Local Settine>\Local Settine>\Local Settine>\Local Settincookies Local Settings\HLocal Settings\TLocal Settings\TLocal Settings\Ter\cookies er\Local Settiner\Local Settiner\Local Settiner\Local Settin
Otras posrofile\cookies ofile\local settinofile\local settinofile\local settin
x este archivofault/history.dat
o considera
te de eviden
ocer si el si
rio al que va
HTTP.
menudo no so
stalar comp
importante c
s opciones p
errarse una v
> Windows S
ngs\History ngs\Temporary ngs\Temporary ngs\Temporary
History Temporary InteTemporary InteTemporary Inte
gs\History gs\Temporary gs\Temporary gs\Temporary
ibles ubicac
ngs\history ngs\history\subngs\temporary
o se encuentt
la investiga
ncia es propo
itio ha sufri
a orientado, e
on accesibles
lementos pa
como la que
para la conex
vez transmiti
Ing. Victor
Server 2003
Internet FilesInternet Files\CInternet Files\C
ernet Files ernet Files\Conernet Files\Con
Internet FilesInternet Files\CInternet Files\C
iones:
b-folders internet files\c
ra en la dire
ación sobre u
orcionada po
do alguna m
el idioma, la
s de forma d
ara poder vi
se describe
xión. Por eje
ido el mensa
r Adrian Hern
Content.IE5 Content.IE5\su
ntent.IE5 ntent.IE5\sub-fo
Content.IE5 Content.IE5\su
content.ie5
cción:
un sitio web
or las cabece
modificación
a dirección IP
directa desde
isualizarlas,
a continuaci
emplo: Conn
aje completo
nández Jimén
ub-folders
olders
ub-folders
b en particu
eras de HTT
n, si ha esta
P del servido
e el explorad
las cabecer
ión [21]:
nection: clos
o.
ez.
lar
TP.
ado
or,
dor
ras
se,
Inform
Pág
Conte
Este c
recurs
permit
francé
Conte
Esta c
objetiv
Conte
Indica
Conte
Este c
cuerpo
repres
Conte
Direcc
URI3
cliente
Conte
Es el t
Conten
3 (Unifoalgunas
mática Forense
gina | 31
ent-Languag
ampo indica
o está orien
te listar vari
és, podría inc
ent-Languag
cabecera no
vamente se o
ent-Length (
a la longitud
ent-Range
ampo especi
o parcial que
enta con “*”
ent-Location
ción complem
absoluta o
e, sino que o
ent-Type (tip
tipo de conte
nt-Type: tex
orm Resource Is URI`s puede
e sobre Servic
ge (idioma d
a el idioma d
ntado a todos
ios idiomas.
cluir en sus p
ge: es, fr
indica neces
orienta.
(longitud de
del cuerpo d
ifica el maxi
e deberia ser
”.
n (localizaci
mentaria que
relativa) no
ofrece una ru
po de conte
enido del rec
xt/html; char
Identifier), es un ser considera
cios de Red.
del contenid
de los destina
s los usuario
Por ejempl
páginas la ca
sariamente e
el contenido
del recurso, e
imo tamaño
r enviado, si
ión del cont
e ofrece el s
o corrige la
uta a un recur
nido)
curso. Así, la
set=ISO-885
una cadena coradas URL`s, el
do)
atarios del re
os, independ
lo, una herra
abecera:
el idioma de
o)
expresada en
del cuerpo d
no se conoc
tenido)
ervidor en su
dirección o
rso que com
a cabecera:
59-1
rta de caracterel uso de URI es
Ing. Victor
ecurso. Si no
dientemente
amienta on-
el document
n número de
de la entidad
ce el tamaño
u respuesta.
original del
mplementa al
es que identificsta descrito en
r Adrian Hern
o existe, se e
del idioma.
-line de trad
to, sino del p
e octetos.
d de datos, y
del cuerpo d
Esta nueva
recurso sol
solicitado o
ca inequívocamRFC el 2396.
nández Jimén
entiende que
Esta cabece
ducción inglé
público al q
y el tamaño d
del mensaje
dirección (u
licitado por
originalmente
mente un recurs
ez.
e el
era
és-
que
del
se
una
el
e.
so,
Inform
Pág
Indica
especi
Date (
Indica
Date:
Expec
Media
servid
el env
Expir
Indica
Date:
From
Media
electró
Por eje
Esta d
enviad
If-Ma
Se us
actuali
mática Forense
gina | 32
a que el recu
ificación ISO
(fecha)
a la fecha de
Tue, 12 Jul 2
ct (espera)
ante este cam
dor no está p
ío de un cód
es (expiraci
a la fecha a p
Tue, 12 Jul 2
("desde")
ante este ca
ónico.
emplo: From
dirección sirv
do a un servi
atch ("si cua
sa junto co
izaciones ef
e sobre Servic
urso es de tip
O-8859-1.
creación del
2005 09:32:2
mpo, el clie
preparado pa
digo de estatu
ión)
partir de la cu
2005 09:32:2
mpo, el aut
m: webmaste
ve como ref
idor.
adra")
on el cam
ficientes de
cios de Red.
po texto, con
l recurso. Ti
25 GMT
ente indica
ara responde
us 417 (Exp
ual el recurs
25 GMT
tor de la so
er@mipágina
ferencia para
mpo de mé
la caché. S
ncretamente
iene la forma
qué tipo de
r como el cl
ectation Fail
o debe consi
olicitud (per
a.com
a ubicar al r
étodo para
Si el cliente
Ing. Victor
código HTM
a:
e respuesta e
liente espera
led).
iderarse obs
rsona) indic
responsable
hacerlo co
e guarda en
r Adrian Hern
ML, y codifi
espera del s
a, debe indic
oleto. Ejemp
ca su direcc
de la solicitu
ondicional.
su caché a
nández Jimén
ficado según
servidor. Si
carlo median
plo:
ción de corr
ud del recur
Esto perm
alguna entid
ez.
la
el
nte
reo
rso
mite
dad
Inform
Pág
(algún
esta en
If-Mo
Igual q
para e
cliente
confirm
recurs
If-Non
Igual q
para so
ejecuta
la con
IP rem
No es
pero e
Host (
Especi
Last-M
Media
modifi
Por eje
mática Forense
gina | 33
n elemento d
ntidad sigue
odified-Since
que el camp
expresar una
e, el servido
mándole al
o guardado
ne-Match ("
que los cam
ometerlo a u
ar la solicitu
dición de If-
mote addres
estrictamen
es útil, ya que
(servidor)
ifica el nomb
Modified (ú
ante este ca
ficado por últ
emplo: Las
e sobre Servic
distinguible)
estando en v
e ("si se ha
po If-Match,
a condición.
or no debe
cliente que
en el servido
"si no cuadr
mpos If-Matc
una condició
ud (expresad
-None-Match
ss
nte parte de
e expresa la
bre del servi
última modif
ampo el ser
tima vez.
st-Modified:
cios de Red.
del recurso
vigor o ha ca
modificado
If-Modified
Si el recur
enviarlo. E
e la copia qu
or.
ra")
ch e If-Modi
ón. Funciona
da mediante
h se cumple
la cabecera
identificació
idor.
ficación)
rvidor inform
Mon, 14 No
solicitado p
aducado.
o desde")
d-Since se us
rso no ha va
Enviará, en
ue tiene en
ified-Since,
a de forma in
el campo de
.
del protoco
ón numérica
ma de la f
ov 2004 12:4
Ing. Victor
puede verific
sa con el cam
ariado desde
cambio, un
caché sigue
se usa junto
nversa a if-M
e método) s
olo HTTP, si
a de un equip
fecha y hor
45:26 GMT
r Adrian Hern
car gracias a
mpo que ind
e la fecha in
n código de
siendo una
o con el cam
Match. El ser
i la entidad
ino del prot
po de cómpu
ra en que e
nández Jimén
a este campo
dica el méto
ndicada por
e estatus 30
copia fiel d
mpo de méto
rvidor no de
expresada p
ocolo TCP/I
uto.
el recurso f
ez.
o si
do
el
04,
del
do
ebe
por
IP,
fue
Inform
Pág
El crit
de rec
modifi
dinám
modifi
que de
Se deb
poster
Locat
Media
encuen
explor
Range
Permit
en este
Refere
Docum
www.m
www.m
la segu
Reque
Indica
conexi
Los m
mática Forense
gina | 34
terio para de
curso en c
ficación del
micamente, l
ficación más
e forma diná
be prestar es
rior a la de la
ion (localiza
ante este cam
ntra en la d
rador a que s
e
te al navegad
e campo.
er (remiten
mento desd
mipágina.co
mipágina.co
unda URL.
est (solicitud
a el archivo s
ión.
métodos utiliz
e sobre Servic
eterminar est
cuestión. Pa
l sistema
a fecha y h
reciente, de
ámica compo
special atenc
a solicitud de
ación)
mpo el serv
dirección en
se redirija a l
dor solicitar
te)
de el cual
om/index.htm
om/principal
d)
solicitado, el
zados se des
cios de Red.
ta fecha dep
ara los arch
de archivo
hora del La
e entre toda
onen el recur
ción a este c
e recurso.
vidor indica
n que se ha
la nueva loc
r al servidor
se ha real
ml se
.html, la prim
l método y v
criben breve
ende de la im
hivos, debe
os. Para r
ast-Modified
s las relativa
rso.
campo ya qu
la direcció
solicitado.
alización.
que envie so
lizado la s
realiza
mera URL f
versión del p
emente a con
Ing. Victor
mplementac
coincidir
recursos cu
d debería c
as a cada un
ue no deberí
ón URL de
De esta for
olo la porcio
solicitud ac
el enla
figurará com
protocolo qu
ntinuación:
r Adrian Hern
ción del serv
con la fec
uyas partes
oincidir con
na de las dif
ía indicar nu
un recurso
rma, el serv
n de datos q
ctual. Si de
ace que
mo referer en
ue se emplea
nández Jimén
vidor y del ti
cha de últim
se gener
n la fecha
ferentes part
unca una fec
cuando no
vidor invita
que especifiq
esde la UR
lleva
la solicitud
an al realizar
ez.
po
ma
ran
de
tes
cha
se
al
que
RL
a
de
r la
Inform
Pág
Status
Media
solicit
se ha
como
Los có
mática Forense
gina | 35
• Métod
Permit
ejempl
GE
En est
servido
respect
• Métod
Per
UR
PO
Acc
Ho
Ref
Use
Con
Con
Con
num
s Code (cód
ante el códi
tud de un do
producido a
una redirecc
ódigos existe
e sobre Servic
do GET
e indicar la
lo:
ET /foto.php?
e campo se
or las variabl
tivamente.
do POST
rmite, igual q
RL.
OST /fotos.ph
cept-Encodi
st: www.mip
ferer: http://w
er-Agent: M
nnection: clo
ntent-Type:
ntent-Length
mero_de_fot
igo de estad
igo de estad
ocumento. Es
algún proble
ción hacia ot
entes se mue
cios de Red.
página que
?foto=40&al
observa qu
les numero_
que GET, en
hp HTTP/1.0
ing
página.com
www.mipág
Mozilla/4.0 (c
ose
application/
h: 36
to=40&altur
do)
do el servid
ste campo in
ma, como u
tra URL dife
estran a cont
se solicita y
ltura=300 H
ue se solicit
_de_foto y al
nviar variabl
0
gina.com/ind
compatible; M
/x-www-form
ra_de_foto=3
dor informa
ndica, si el d
un error inte
erente.
inuación:
Ing. Victor
y "pasar" var
HTTP/1.0
ta el archivo
ltura_de_fot
les, pero no l
dex.html
MSIE 4.0; W
m-urlencode
300
a al explora
documento s
rno del serv
r Adrian Hern
riables en la
o foto.php y
o, con valor
las muestra e
Windows Me
ed
ador cómo h
se proporcion
vidor, o algu
nández Jimén
a solicitud. P
y se "pasa"
es de 40 y 3
en la direcci
e)
ha resuelto
no con éxito
una incidenc
ez.
Por
al
00
ión
la
o o
cia,
Inform
Pág
Códig
Códig
Códig
mática Forense
gina | 36
os 1xx
100
Me
su
cab
ign
101
El
com
des
os 2xx
os relaciona
200
El d
201
Com
recu
202
El s
cód
inm
e sobre Servic
0 Continue
ediante este
solicitud. E
beceras que
norar el códig
1 Switching
servidor ind
municación
spués de que
ados con soli
0 OK
documento s
1 Created
mo respuest
urso, que se
2 Accepted
servidor deb
digo 202 el
mediatamente
cios de Red.
código, el s
El cliente (
aún no haya
go 100 y esp
Protocols
dica con este
con el cli
e el servidor
icitudes resu
se ha servido
ta a una solic
servirá al cl
be crear un r
servidor in
e.
ervidor info
(el explorad
a enviado o
perar.
e código que
ente. El ca
envié este có
ueltas con éx
o correctame
citud acepta
liente inmed
recurso para
ndica que no
Ing. Victor
orma al clien
dor) tiene d
, si ya había
e acepta un c
ambio se p
ódigo.
ito.
ente.
ada por el se
diatamente.
atender la s
o se compro
r Adrian Hern
nte si puede
dos opcione
a completad
cambio en e
producirá in
rvidor, éste
olicitud, per
omete a ser
nández Jimén
continuar c
es: enviar l
do la solicitu
el protocolo
nmediatamen
crea un nue
ro mediante
rvir el recur
ez.
on
las
ud,
de
nte
vo
un
rso
Inform
Pág
Códig
Estos
mática Forense
gina | 37
203
Con
soli
204
El
pre
205
Com
rec
20
Res
os 3xx
códigos son
300
El r
alte
301
La
soli
cab
de d
e sobre Servic
3 Non-Autho
n este códi
icitado está a
4 No Conten
servidor ha
ciso servir n
5 Reset Cont
mo respuest
argar el mism
6 Partial Co
spuesta del s
utilizados p
0 Multiple C
recurso solic
ernativos. El
1 Moved Per
URI (direc
icitud. El s
becera "Loca
documento.
cios de Red.
oritative Info
igo, el serv
alterando la
nt
a recibido y
ningún docum
tent
a a una solic
mo documen
ntent
servidor a un
para informar
Choices
citado corre
l explorador
rmanently
ción relativa
servidor ofre
ation"), para
ormation
vidor indica
metadatos o
aceptado la
mento como
citud, el serv
nto que origi
na solicitud p
r al explorad
sponde con
es quien elij
a) del recur
ece al clien
a que el clien
Ing. Victor
al cliente
originales.
a solicitud,
o respuesta.
vidor le indic
inó la solicit
parcial de do
dor si el docu
alguno de e
je entre los d
rso ya no es
nte la nuev
nte pueda re
r Adrian Hern
que al serv
pero entien
ca al explora
tud.
ocumento.
umento solic
entre una lis
diferentes rec
s la indicad
a dirección
ealizar una n
nández Jimén
vir el recur
nde que no
ador, que de
citado existe
sta de recurs
cursos.
da al cursar
(mediante
nueva solicit
ez.
rso
es
ebe
e
sos
la
la
tud
Inform
Pág
mática Forense
gina | 38
302
El r
el s
303
Tie
no
enc
GE
soli
304
El
doc
mem
soli
con
305
El
pro
306
El
futu
307
El
"Lo
e sobre Servic
2 Found
recurso solic
servidor ofre
3 See Other
ene un sentid
contemplaba
contrar en un
ET. La nueva
icitada por e
4 Not Modif
servidor ent
cumento no
moria caché
icitud no c
nsiderar si ex
5 Use Proxy
servidor inf
oxy, y facilita
6
código 306
uras especifi
7 Temporary
documento
ocation".
cios de Red.
citado ha cam
ece al cliente
do similar al
a el código 3
na localizac
a localizació
el cliente.
fied
tiende que
ha cambiad
é. Si no es
condicionada
xiste o no un
forma de qu
a la URI del
existió en
icaciones.
y Redirect
se encuen
mbiado prov
e la nueva lo
l código 302
303. Indica q
ción diferent
ón no se deb
existe una c
do: sigue sie
así, ha de s
a, es decir,
na copia en c
ue se debe
proxy.
anteriores v
ntra en otr
Ing. Victor
visionalment
calización.
2. la versión
que la respue
te, y es acce
be considera
copia en ca
endo el mism
ser la caché
, que el se
caché del doc
acceder al
versiones, p
ra URI, fac
r Adrian Hern
te de localiz
n 1.0. del pr
esta a la soli
esible media
ar un substit
ché, e infor
mo que el g
la que real
ervidor deb
cumento.
documento
pero ahora e
cilitada por
nández Jimén
zación (URI)
otocolo HTT
icitud se pue
ante el méto
tuto de la U
rma de que
guardado en
ice una nue
e atender s
utilizando
esta libre pa
r la cabece
ez.
) y
TP
ede
do
URI
el
la
eva
sin
un
ara
era
Inform
Pág
Códig
Descri
acceso
mática Forense
gina | 39
os 4xx
ibe los códig
os problemát
400
Ind
401
Ind
402
Est
403
El s
el u
404
La
recu
405
Ind
HE
406
El r
e sobre Servic
gos relacion
ticos o restri
0 Bad Reque
dica que la si
1 Unauthoriz
dica que el ac
2 Payment R
te código no
3 Forbidden
servidor rec
usuario se id
4 Not Found
sintaxis de
urso cuya U
5 Method No
dica que la
EAD...) que n
6 Not Accep
recurso no c
cios de Red.
nados con so
ingidos.
est
intaxis de la
zed
cceso al recu
Required
está suficien
haza la solic
dentifique.
d
la solicitud
URI correspon
ot Allowed
solicitud se
no está perm
table
umple las re
licitudes rel
solicitud es
urso requiere
ntemente de
citud, sin ni
es correcta,
nda con la d
ha hecho e
mitido.
estricciones e
Ing. Victor
ativas a doc
incorrecta.
e identificaci
sarrollado.
siquiera ofr
pero el serv
de la solicitud
empleando u
expresadas p
r Adrian Hern
cumentos ine
ión por parte
recer la posi
vidor no enc
d.
un método
por la solicitu
nández Jimén
existentes o
e del usuario
bilidad de q
cuentra ning
(GET, POS
ud.
ez.
de
o.
que
gún
ST,
Inform
Pág
mática Forense
gina | 40
407
Es
med
408
Ind
serv
409
El s
soli
410
Ind
esta
411
Ind
esp
ind
412
Ind
cab
413
Ind
larg
e sobre Servic
7 Proxy Auth
parecido al c
diante un pr
8 Request Ti
dica que el cl
vidor puede
9 Conflict
servidor enti
icitado y el t
0 Gone
dica que el r
ar en el futur
1 Length Req
dica que el s
pecifica en
dique cuál es
2 Preconditio
dica que no
beceras de la
3 Request En
dica que el m
go.
cios de Red.
hentication R
código 401,
oxy.
imeout
liente ha tard
esperar.
iende que ex
tipo de solici
recurso ya n
ro.
quired
servidor no
su solicitud
la longitud
on Failed
se ha cump
a solicitud re
ntitiy Too La
mensaje de s
Required
pero la aute
dado en real
xiste algún co
itud que ha r
o está dispo
está dispues
d una cabec
del mensaje
lido alguna
alizada por e
arge
solicitud cur
Ing. Victor
entificación d
lizar la solici
onflicto entr
realizado el
onible, y no
sto a servir
cera del tip
de solicitud
de las cond
el cliente.
rsado por el
r Adrian Hern
del cliente se
itud más tiem
re la naturale
cliente.
se espera qu
el recurso s
po "Content
d.
diciones exp
l cliente es e
nández Jimén
e debe realiz
mpo del que
eza del recur
ue lo vuelva
i el cliente
t-Length" q
presadas en l
excesivamen
ez.
zar
e el
rso
a a
no
que
las
nte
Inform
Pág
Códig
Estos
implic
mática Forense
gina | 41
414
La
dem
acc
415
El
form
416
El s
la s
"Co
417
El
resu
os 5xx
códigos está
cados en dar
500
Se
soli
e sobre Servic
4 Request UR
URI (caden
masiado larg
ceso del tipo
5 Unsupporte
servidor rec
mato solicita
6 Requested
servidor no
solicitud del
ontent-Rang
7 Expectatio
valor dado
uelto por el
án relaciona
respuesta a
0 Internal Se
ha produci
icitud.
cios de Red.
RL Too Lon
a de caracte
ga. Se puede
POST en un
ed Media Ty
chaza la soli
ado.
Range Not S
ha podido re
l cliente. La
e" especifica
n Failed
por la cabe
servidor.
dos con erro
la solicitud d
erver Error
do un fallo
ng
res que expr
producir cu
no del tipo G
ype
icitud por in
Satisfable
esolver satis
respuesta d
ando el tama
ecera "Expe
ores produci
de documen
o en el serv
Ing. Victor
resa la local
uando el clie
GET.
ncompatibili
sfactoriamen
del servidor
año actual de
ect" de la so
idos en el se
nto realizada
vidor, que n
r Adrian Hern
ización del d
ente conviert
idad entre e
nte la cabece
debe incluir
el recurso so
olicitud no
ervidor o en
por el client
no ha podid
nández Jimén
documento)
te por error
el método y
era "Range"
r una cabece
olicitado.
ha podido s
los servidor
te.
do resolver
ez.
es
un
el
de
era
ser
res
la
Inform
Pág
User-A
El use
identif
explor
mática Forense
gina | 42
501
El
soli
502
Un
resp
aten
503
El s
de
aco
Des
se e
504
El
nin
50
Me
par
lanz
Agent (agen
er-agent ide
ficación se r
rador.
e sobre Servic
1 Not Implem
servidor no
icitud, una p
2 Bad Gatew
servidor q
puesta adecu
nder la solic
3 Service Un
servidor no
mantenimie
ompañar este
spués), que
especifica, e
4 Gateway T
servidor, qu
nguna respue
5 HTTP Ver
ediante este c
ra utilizar la
zar la petició
nte de usuar
entifica el so
realiza, norm
cios de Red.
mented
implementa
posible causa
way
que funciona
uada de un
citud del clie
navailable
puede atend
ento que ob
e código de
especifique
l servidor no
Timeout
ue realiza la
esta de un seg
rsion Not Su
código, el se
versión del
ón.
rio)
oftware inst
malmente, m
a alguna fun
a es porque n
a como pro
segundo se
nte.
der la solicitu
bligan a de
e una cabec
el tiempo es
o debería env
s funciones
gundo servid
upported
ervidor inform
l protocolo H
talado en el
mediante una
Ing. Victor
ncionalidad
no reconoce
oxy o gatew
ervidor, al c
ud debido a
shabilitar e
cera del tipo
stimado de "
viar este cód
de proxy o
dor.
ma al cliente
HTTP que e
l equipo de
a combinació
r Adrian Hern
necesaria pa
el método e
way no ha
cual necesita
una sobreca
l servicio.
o Retry-Afte
"caída" del s
digo, sino un
gateway, n
e de que no
el cliente ha
cómputo d
ón de sistem
nández Jimén
ara resolver
empleado.
obtenido u
a acceder pa
arga o a tare
Es precepti
er (Reintenta
servicio. Si
n código 500
no ha obteni
esta prepara
utilizado pa
del cliente. L
ma operativo
ez.
la
una
ara
eas
ivo
ar-
no
0.
ido
ado
ara
La
o y
Inform
Pág
Ejemp
•
•
Los ca
accede
sido d
docum
Con el
para In
en la
solicit
mática Forense
gina | 43
plos:
Mozilla/4.0
Este camp
Internet Ex
Googlebot
En este cas
la araña de
ampos de ca
er a un sitio
descritos en
mentos RFC
l fin de ilust
nternet Expl
figura 6, lo
tudes que rea
e sobre Servic
0 (compatib
o de cabece
xplorer ejecu
t/2.1 (+http:/
so es un robo
e Google.
abecera most
Web, pero e
n esta tesina
2616 y RFC
trar como se
lorer y se ac
os campos
alice el explo
cios de Red.
le; MSIE 6.0
era indica qu
utándose en u
//www.googl
ot el que est
trados anteri
es important
a, los cuale
C 4229.
e muestran la
ccedió al siti
que se mue
orador y de l
0; Windows
ue el cliente
un Windows
le.com/bot.h
ta solicitando
iormente son
te menciona
es se puede
as cabeceras
io www.esim
estran de la
las respuesta
Ing. Victor
98)
esta navega
s 98.
html)
o la página,
n los que com
ar que existe
en encontrar
s para HTTP
mecu.ipn.mx
a cabecera
as que envié
r Adrian Hern
ando con la
concretamen
múnmente s
n mas camp
r en su tot
P, se instalo
x, como se p
siempre dep
el servidor.
nández Jimén
versión 6.0
nte Googleb
e visualizan
pos que no h
talidad en l
un aditamen
puede observ
penden de l
ez.
de
ot,
n al
han
los
nto
var
las
Inform
Pág
Para e
los sig
Solicit(MethodAccept-RefererIf-ModifIf-NoneHost Connec RespuContentKeep-AContentLast-Mo
De lo
inform
que se
conten
fecha
mática Forense
gina | 44
el caso de la
guientes:
tudes: d-Line) GET-Language es-Mr http://www.esfied-Since Wed-Match "69e
www.esimecction Kee
uestas: t-Length 6332
Alive timet-Type imagodified Wed
os campos q
mación como
e permiten
nido y de los
de la última
e sobre Servic
Figur
figura anter
T /fondos/fondoMX simecu.ipn.mx/d, 18 Jul 2007 e96-f75d-4358au.ipn.mx p-Alive
25 eout=15, max=9ge/jpeg d, 18 Jul 2007
que se obse
o lo es el tipo
más de una
s campos m
a modificació
cios de Red.
a 6. Cabeceras d
rior, de los c
o1.jpg HTTP/1.
/fondos/fondo114:13:48 GMTa4d733f00"
95
14:13:48 GMT
ervan en la
o de conexió
a petición p
más importan
ón realizada
de HTTP para ww
ampos descr
.1
.swf
figura 6 d
ón, que para
por conexió
ntes para un
a, el tipo de
Ing. Victor
ww.esimecu.ipn
ritos en esta
de la cabec
este caso es
ón, se puede
analista fore
contenido, e
r Adrian Hern
n.mx.
tesina se pu
era de HTT
Keep Alive
e observar e
ense, se pue
el idioma y p
nández Jimén
ueden observ
TP se obtie
e, lo que indi
el tamaño d
ede observar
público al q
ez.
var
ene
ica
del
la
que
Inform
Pág
está or
compl
debido
en esp
tiempo
2.4
La me
conect
su orig
instant
transfe
confer
En el
contin
instant
19
19
ma
19
est
19
19
AO
4 (Intern
mática Forense
gina | 45
rientado con
leto el uso e
o a que será
pecial aquell
o.
4. Mensaj
2.4.1. Pan
ensajería ins
tado o en lín
gen en el co
te, y con el
erencia de
rencias, entre
mercado ha
nuación se m
tánea:
988. Se crea I
990. America
andar mensa
996. Aparece
tá conectado
996. Aparece
997. Aparece
OL.
net Relay Chat
e sobre Servic
n el campo A
e interpretac
de gran util
los campos
ería Insta
norama gen
stantánea se
nea y poder h
rreo electrón
paso del tie
archivos, in
e otras.
ay diversos
muestra una
IRC4 por Jar
an Online's
ajes a una dir
e el concepto
o.
e ICQ de des
e AOL Insta
t) es un protoco
cios de Red.
Accept Langu
ción de las c
lidad al anal
que puedan
antánea.
neral del fun
crea con el
hablar con es
nico, pero ti
empo han sid
ntegración c
clientes dis
breve reseñ
rkko Oikarin
se crea el a
rección pero
o de la lista d
scarga gratui
nt Messenge
olo de comunic
uage. No es
cabeceras de
lista forense
ser útiles p
ncionamient
l objetivo pr
sa persona d
ene la venta
do agregada
con el men
sponibles de
ña de la apa
nen.
antecedente
o era para sol
de contactos
ita populariz
er, el cual pe
cación en tiemp
Ing. Victor
el objetivo
e HTTP, per
conocer est
ara observar
to de la men
rincipal de s
desde cualqu
aja que los m
s nuevas car
nsaje de co
e mensajería
arición de l
de la mensa
lo clientes A
s, lo que per
zando la men
ermitía habl
po real basado
r Adrian Hern
de esta tesin
ro se incluy
tos campos d
r y compara
nsajería inst
saber cuand
ier parte del
mensajes son
racterísticas
rreo electró
a instantánea
los clientes
ajería instan
AOL.
rmite saber c
nsajería insta
ar con usuar
en texto.
nández Jimén
na explicar p
ye esta secci
de la cabece
ar estampas
tantánea.
do alguien es
mundo. Tie
n entregados
como lo es
ónico y vid
a disponible
de mensajer
ntánea, perm
cuando algui
antánea.
rios externos
ez.
por
ión
ra,
de
stá
ene
al
la
deo
e a
ría
mite
ien
s a
Inform
Pág
19
Mi
po
Pa
me
Según
usuari
cual re
El pro
del pro
y ya n
Las pr
5 http://
mática Forense
gina | 46
998. De este
icrosoft Me
opularizado.
ara esta tesin
ensajería ins
2.4.2. Pan
n un Informe
os en todo e
ecientemente
otocolo no es
otocolo y la
no es accesib
rincipales ca
Se requiere
Se requiere
Cuenta con
Cada conta
disponible
Permite co
Permite tra
Permite el
el resto de
Permite al
Permite al
Permite al
Permite al
dirección,
/www.comscor
e sobre Servic
e año en ad
essenger, en
[12]
na se analizar
tantánea má
norama gen
realizado en
el mundo us
e fue renomb
s público per
envió como
le desde la w
aracterísticas
e de una cue
e de una con
n una lista de
acto puede t
, al teléfono,
onversacione
ansferencia d
uso del esta
los contacto
usuario mos
usuario mos
usuario esta
usuario edi
etc.
re.com/
cios de Red.
delante Apar
ntre otros cl
ra Microsoft
ás usados seg
neral de MS
n febrero de
a como clie
brado Windo
ro el 18 de A
o un borrado
web. El proto
de MSN M
enta de corre
ntraseña para
e contactos.
tener diferen
, etc.
es privadas e
de archivos.
ado “sin cone
os.
strar un Nick
strar una foto
ablecer video
itar informa
recen Yahoo
lientes de m
t Messenger
gún comScor
N Messenge
2006 por co
nte de mens
ows Live Me
Agosto de 19
r Internet (d
ocolo es con
essenger se
eo electrónico
a autenticar a
ntes estados:
entre dos o m
exión”, que p
k ó sobrenom
o.
oconferencia
ación para ca
Ing. Victor
o!, Messeng
mensajería, q
debido a qu
re Networks
er.
omScore Net
sajería instan
essenger (W
999, Micros
draft) a IETF
nocido como
describen a
o que funge
al usuario.
conectado,
más personas
permite hace
mbre.
as.
ada contacto
r Adrian Hern
ger, Jabber,
que poco a
ue es uno de
s5.
tworks, el 61
ntánea MSN
WLM).
soft anunció
F. El borrado
MSNP.
continuación
como usuar
no conectad
s.
er al usuario
o como nom
nández Jimén
Gadu Gadu
a poco se h
los clientes
1 por ciento
N Messenger
la publicaci
or ha caduca
n:
rio.
do, ausente,
o invisible pa
mbre, teléfon
ez.
u y
han
de
de
el
ión
ado
no
ara
no,
Inform
Pág
Los cl
Pero d
forma
recole
comun
conver
por lo
MSN
tempo
recupe
de rec
que es
herram
ejemp
Messe
Aunqu
emotic
sonido
ya que
inform
mática Forense
gina | 47
Permite al
Permite al
Permite al
2.4.3. Fue
lientes de m
debido a que
técnica pa
ctar eviden
nicarse, por
rsaciones, ot
o que tambié
Messenger t
oral y aunqu
erar. Por otra
ordar usuari
sta informac
mientas como
lo, ¿Cuántas
enger?, ¿Con
ue es posib
cones, la co
os, etc. Para
e no ofrecen
mación es de
e sobre Servic
usuario orga
usuario mos
usuario gua
entes de evi
mensajería i
el protocolo
ara analizarl
ncia. El prin
r lo que
tra funcional
én al mome
también perm
ue es un arch
a parte, al ig
io y contrase
ción también
o lo es el vis
s veces se i
n que cuenta
ble recuperar
onfiguración
el desarrollo
n información
poca import
cios de Red.
anizar a sus
strar iconos g
ardar las conv
dencia.
instantánea
o MSNP no
lo, se pued
ncipal uso
es muy i
lidad que of
ento de reco
mite mostrar
hivo oculto
gual que los e
eña, las cuale
n puede ser
sor de suceso
ingreso a M
a de correo e
r informació
de colores
o de esta tesi
n suficiente
tancia para u
contactos po
gestuales.
versaciones
sin duda o
es público s
den señalar
que se le
mportante
frece MSN M
olectar evide
r una foto, la
para el siste
exploradores
es son almac
recolectada.
os, en el cua
MSN Messen
lectrónico se
ón como lo
para la vist
ina estas car
para señalar
un analista fo
Ing. Victor
or grupos.
en archivos
ofrecen diver
su funcionam
algunos sit
da a un c
encontrar a
Messenger es
encia se deb
a cual es alm
ema operativ
s web Messe
cenadas en e
. El sistema
al podemos r
nger? ¿A qu
e inicio la se
o son, el m
ta de la ven
racterísticas n
r al autor de
forense.
r Adrian Hern
de texto.
rsas fuentes
miento no est
tios en don
cliente de
archivos qu
s enviar y re
ben buscar e
macenada com
vo es posibl
enger ofrece
el registro de
operativo t
recuperar inf
e hora se in
esión en MS
mensaje para
ntana, la con
no son toma
un ilícito po
nández Jimén
de evidenc
tá detallado
de es posib
mensajería
ue conteng
ecibir archivo
estos archivo
mo un archi
le visualizar
e la posibilid
e Windows a
ambién ofre
formación. P
ngreso a MS
N Messenge
a mostrar, l
nfiguración
adas en cuen
or lo tanto es
ez.
cia.
en
ble
es
gan
os,
os.
ivo
r y
dad
así
ece
Por
SN
er?
los
de
nta,
sta
Inform
Pág
Capí
ev
3.
En est
breve
inform
En la
están d
Mensa
Las h
inform
vez qu
herram
cliente
electró
Las he
describ
explor
los exp
servici
Para e
centra
especi
tiene p
alguna
mática Forense
gina | 48
ítulo 3. videncia.
1. Resume
te capítulo s
descripción
mación.
tabla 1 se m
divididas en
ajería Instant
herramientas
mación acerc
ue se localiz
mienta que p
es de correo
ónicos.
erramientas
ben en este
rador web. E
ploradores m
io.
el caso de la
a en el client
ializadas par
poca informa
as herramien
e sobre Servic
Herra
en
se muestran
de su funci
muestran las
n 3 partes. C
tánea.
s listadas p
ca del remite
zó un mensaj
permite recu
o electrónic
disponibles
e capítulo e
En particular
más populare
a mensajería
e MSN Mes
ra obtener e
ación acerca
ntas útiles pa
cios de Red.
amientas
las herramie
ionamiento y
s herramient
ada una para
para el pro
ente y del d
je de correo
uperar los u
co, lo que p
s para la bú
están enfoca
r, son útiles
es, y por con
instantánea
ssenger. Es i
videncia par
a de su funci
ara la búsque
disponi
entas dispon
y las opcion
tas que se d
a cada servi
otocolo SM
estinatario, a
electrónico
usuarios y
permite acc
úsqueda de e
adas a reco
para Interne
nsecuencia m
a, como se m
mportante m
ra este tipo
onamiento.
eda de evide
Ing. Victor
ibles par
nibles para o
nes que ofrec
escribirán en
cio de red: C
MTP están
a través de
sospechoso
contraseñas
ceder a la l
evidencia en
olectar infor
et Explorer y
más utilizado
mencionó an
mencionar qu
de protocol
Sin embargo
ncia en este
r Adrian Hern
ra la bús
obtener evid
cen para la r
n este capítu
Correo elect
enfocadas
la cabecera
o. Se describ
almacenado
lista comple
n el servicio
rmación gen
y Mozilla Fi
os por los us
teriormente,
ue no existen
lo, ya que es
o, en este cap
servicio [22
nández Jimén
squeda d
dencia con u
recolección
ulo, las cual
trónico, Web
para obten
de SMTP u
be también u
os en algun
eta de corre
o Web que
nerada por
ireFox, por s
suarios de es
, esta tesina
n herramient
s privado y
pítulo se list
2].
ez.
de
una
de
les
b y
ner
una
una
nos
eos
se
el
ser
ste
se
tas
se
tan
Inform
Pág
3.2
Es una
cliente
mática Forense
gina | 49
Búsque
Búsque
Búsque
Inst
2. Herram
3.2.1. Ma
a herramien
es de correo:
Out
Mic
Mic
e sobre Servic
Tab
TIPO DE
da de eviden
da de eviden
da de evtantánea
mientas úti
ail PassVIew
nta que perm
:
tlook Expres
crosoft Outlo
crosoft Outlo
cios de Red.
bla 1. Herramien
HERRAMIE
ncia en corre
ncia en WEB
videncia e
iles para l
w.
mite recupera
ss
ook 2000 (so
ook 2002/20
ntas para la búsq
ENTA
eo electrónic
B
en Mensaj
a búsqued
ar las contra
olo cuentas P
003/2007 (cu
Ing. Victor
queda de eviden
H
co MWNTIEM
GIEMIEMIEPMPD
jería
VRL
M
da de evide
aseñas alma
POP3 y SMT
uentas POP3
r Adrian Hern
ncia
HERRAMIE
Mail PassVIeWHOIS Nslookup Trace Route ECookies V
MozillaCookView
Galleta EHistory Vi
MozillaHistoECache View
MozillaCacheE Pass VIew
PasswordFoxMyLastSearcPasco Dork Visor de suceRetriever Log
conversacMessenPass
encia en c
acenados de
TP)
3, IMAP, HT
nández Jimén
ENTA
ew.
View kies
ew oryVieww e View
w x ch
esos
de ciones
correo.
los siguient
TTP y SMTP
ez.
tes
P)
Inform
Pág
Para c
aplica
usuari
Esta h
debe e
muestr
opcion
HTML
mática Forense
gina | 50
Win
Win
Inc
Eud
Net
con
Mo
con
Gro
Yah
Hot
MS
Gm
not
Go
cada cuenta
ción, cuenta
io y la contra
herramienta s
ejecutarse el
ra los camp
nes en línea
L y XML, se
e sobre Servic
ndows Mail
ndows Live
rediMail
dora
tscape 6.x/7
ntraseña de t
ozilla Thund
ntraseña de t
oup Mail Fre
hoo! Mail - (
tmail/MSN
SN/Windows
mail - (Solo
tificación de
ogle Deskto
de correo
a de correo,
aseña.
se distribuye
l comando m
os menciona
a de comand
e ofrece una
cios de Red.
7.x (solo s
ipo Master)
derbird (solo
ipo Master)
ee
(solo si la co
mail - (
s/Live)
o si la con
Gmail)
p, o Google
se muestran
servidor, tip
e bajo licenc
mailpv.exe, y
ados anterio
dos se pued
breve descri
si las contr
o si las con
ontraseña fue
(solo si la
ntraseña fu
Talk.
n los siguie
po de servid
ia freeware
y se despleg
ormente. Est
den exportar
ipción de los
Ing. Victor
raseñas no
ntraseñas no
e almacenad
a contraseñ
e almacena
entes campo
dor (POP3, IM
y no requier
gará en modo
a herramien
r los resulta
s comandos
r Adrian Hern
estan cifra
o estan cifr
do en yahoo
ña fue alm
ado en la
os: Nombre
MAP, SMT
re ninguna in
o gráfico un
nta puede ser
dos a arch
permitidos e
nández Jimén
adas con u
radas con u
Messenger)
macenado
aplicación
de la cuen
P), nombre
nstalación so
na ventana q
r utilizada c
hivos de tex
en la tabla 2
ez.
una
una
en
de
nta,
de
olo
que
on
to,
.
Inform
Pág
Coman
/stext
/stab <
/scomm<Filen
/stabul<Filen
/shtml
/sverh<Filen
/sxml
Es una
registr
registr
ingres
nombr
La her
1)
2)
mática Forense
gina | 51
ndo
<Filename>
<Filename>
ma name>
lar name>
l <Filename>
html name>
<Filename>
3.2.2. WH
a herramient
ros de nomb
ro no tienen
ar informac
re de domini
rramienta "W
Obtener in
propósitos
asociados c
Obtener in
direccione
e sobre Servic
Tabla 2
Descrip
> Guarda
Guarda delimita
Guarda delimita
Guarda
> Guarda horizon
Guarda vertical
> Guarda
HOIS.
ta que permi
bres de dom
garantía, ya
ión. Sin em
io o un equip
WHOIS" tien
nformación
administrat
con el domin
nformación
s IP.
cios de Red.
. Opciones en lí
pción
la lista de cu
la lista dado por tabu
la lista dado por com
la lista de cu
la lista de cntal.
la lista de c.
la lista de cu
ite consultar
minio y direc
a que a menu
mbargo, gene
po de cómpu
ne dos propó
con respec
ivos, técnico
nio.
con respec
nea de comando
uentas de co
de cuentas uladores.
de cuentas mas.
uentas de co
cuentas de co
cuentas de co
uentas de co
r bases de in
cciones IP.
udo los adm
eralmente se
uto, especialm
ósitos fundam
cto al dueñ
os y posiblem
cto al dueñ
Ing. Victor
os para Mail Pa
orreo en un a
de correo
de correo
orreo en un a
orreo en un
orreo en un
orreo en un a
nformación c
Los datos q
ministradores
e usan para
mente si sur
mentales:
ño de un n
mente de fac
ño de una
r Adrian Hern
ssVIew.
archivo de te
en un arch
en un arch
archivo de te
archivo HT
archivo HT
archivo XML
comúnmente
que se encu
s suelen com
averiguar q
rge una dispu
nombre de
cturación) y
cantidad de
nández Jimén
exto regular.
hivo de tex
hivo de tex
exto tabulado
TML en form
TML en form
L.
e denominad
entran en es
meter errores
quién posee
uta [23].
dominio (c
los servidor
eterminada
ez.
xto
xto
o.
ma
ma
das
ste
al
un
con
res
de
Inform
Pág
La he
operat
siguien
whois
Existe
obtene
whois
WHOI
extens
http://w
Las o
direcc
RIPE
para E
APNIC
el Pac
ARIN
África
LACN
whois.
INTER
El prim
estos d
mática Forense
gina | 52
erramienta W
tivos, entre
nte sintaxis p
nombre_del
en muchas
er más inform
--help
IS cuenta co
siones de lo
whois.nic.ex
organizacion
iones IP tom
NCC (Rése
Europa.
C (Centro de
ífico.
(Registro d
a Subsaharia
NIC (Regist
.lacnic.net) p
RNIC (whois
mer byte de
datos se pued
e sobre Servic
WHOIS de
los que se
para este com
l_dominio_o
configuracio
mación se de
on servicios
os nombres
xtension don
nes que reg
mando como
eaux IP euro
e Informació
de números
na.
tro de dire
para Améric
s.internic.ne
e la dirección
den consulta
cios de Red.
línea de c
encuentran
mando.
o_dirección_
ones para e
ebe introduc
de búsqueda
de domini
nde extensio
gistran la i
fuente la IA
opéens, lo c
ón de Red d
de Internet
ecciones de
ca Latina y e
et) para otras
n IP permite
ar en http://w
comando es
Linux y M
_ip
este comand
cir el comand
a en línea de
o. La mayo
on representa
información
ANA.
cual significa
de Asia y el P
americano,
e Internet p
l Caribe.
s partes del m
e determinar
www.iana.or
Ing. Victor
stá disponib
MacOS X, e
do según el
do:
e WHOIS pa
oría de ésta
a la parte fina
administra
a "Redes IP
Pacífico, wh
whois.arin.
para Améri
mundo.
r a qué regi
rg/assignmen
r Adrian Hern
ble para cie
n los cuales
l sistema op
ara prácticam
as se puede
al del nombr
ativa con re
P Europeas"w
hois.apnic.ne
.net) para N
ica Latina
ón pertenec
nts/ipv4-add
nández Jimén
ertos sistem
s se utiliza
perativo, pa
mente todas l
en acceder
re de domini
especto a l
whois.ripe.n
et) para Asia
Norteamérica
y el Carib
e la direcció
dress-space/.
ez.
mas
la
ara
las
en
io.
las
et)
a y
a y
be,
ón,
.
Inform
Pág
Entre
es útil
Regist
Es la p
Conta
Es la
referen
Conta
Es la
domin
Conta
Es la c
al dom
domin
modifi
se vea
Regist
Es la p
Últim
Es la ú
mática Forense
gina | 53
toda la infor
para obtene
trante (regi
persona u org
acto adminis
persona u
ntes al domi
acto de factu
persona u o
nio.
acto técnico
compañía o
minio, norma
nios que regi
ficar el domi
a envuelto.
trador (regi
persona u org
a actualizac
última vez qu
e sobre Servic
rmación que
er datos de in
strant).
ganización q
strativo (ad
u organizaci
nio, incluyen
uración (bil
organización
(technical c
persona que
almente con
istro la direc
inio de una m
istrar of rec
ganización q
ción del reg
ue se realizó
cios de Red.
e se puede ob
nterés:
que registra e
dministrativ
ión que ser
ndo la inform
ling contact
responsable
contact):
e debe ser co
ntiene la info
cción. Es de
manera sign
cord)
que registró
istro (recor
ó una alterac
btener con e
el dominio.
ve contact).
rá responsab
mación de re
t)
e de maneja
ontactada so
ormación de
ecir, si algun
nificativa es
o aprobó el
rd last upda
ción en el WH
Ing. Victor
ste comando
ble de los
egistro.
ar las factura
obre cualquie
e contacto d
na vez se req
muy probab
nombre de d
ted)
HOIS del do
r Adrian Hern
o, la siguient
aspectos a
as relativas
er aspecto té
del registro d
quiere vende
ble que el co
dominio.
ominio.
nández Jimén
te informaci
administrativ
al nombre d
écnico relati
de nombres
er, transferir
ontacto técni
ez.
ión
vos
del
ivo
de
r o
ico
Inform
Pág
Caduc
Es la f
contro
Fecha
Es la f
Servid
Contie
genera
contie
Nslook
nombr
eventu
Utiliza
del se
argum
solicit
nslook
De mo
primar
servid
nslook
Es pos
mática Forense
gina | 54
cidad del re
fecha en la q
ol del nombr
a de creación
fecha de cua
dores del do
ene las DNS
almente exis
ne el secund
3.2.3. Nsl
kup (Name
res y obtene
uales problem
ado sin ning
ervidor de n
mento de com
tar informaci
kup nombre.
odo predeter
rio configur
dor de nombr
kup nombre.
sible modific
e sobre Servic
egistro (reco
que el domin
e.
n (record cr
ando se regis
ominio (dom
S (Domain N
sten dos líne
dario
lookup.
System Look
r informació
mas de confi
gún argumen
nombres prim
mando para
ión sobre un
del.host
rminado, el
rado en el
res específic
del.host -nom
car el modo
cios de Red.
ord expires
nio caduca,
reated on)
tró inicialme
main servers
Name System
eas. La prim
kup), es una
ón relaciona
iguración qu
nto, el coman
mario. Basta
detallar las
n host indican
comando ns
equipo de c
o, agregando
mbre.del.ser
de consulta
on)
cuando esto
ente el domi
s)
m) que cont
mera es el DN
a herramienta
da con el do
ue pudieran h
ndo nslookup
a con introd
característi
ndo su nomb
slookup real
cómputo. Si
o un signo m
rvidor
del comando
Ing. Victor
o sucede el r
inio
tienen la inf
NS primario
a que permit
ominio o el
haber surgid
p muestra el
ducir el nom
cas. De la m
bre seguido d
liza consulta
in embargo,
menos despu
o nslookup u
r Adrian Hern
registrante p
formación d
o, mientras q
te consultar
host y así di
do en el DNS
l nombre y l
mbre de un d
misma mane
del comando
as al servido
, es posible
és del coman
usando el arg
nández Jimén
uede perder
de un domini
que la segun
un servidor
iagnosticar l
S [24].
la dirección
dominio en
era, es posib
o nslookup:
or de nombr
e consultar
ndo:
gumento set
ez.
r el
io;
nda
de
los
IP
el
ble
res
un
:
Inform
Pág
•
•
•
•
•
•
El co
nombr
Pa
Tracer
sistem
El com
encont
Tracer
funcio
utiliza
En
C:\
En
use
mática Forense
gina | 55
set type=m
correo de u
set type=n
dominio.
set type=a
de consulta
set type=s
set type=c
set type=h
informació
omando de
re.del.servid
ara salir del c
3.2.4. Tra
route es una
mas operativo
mando Trac
traron entre
route difier
onamiento en
ado en Linux
n Windows
\>tracert ipn.mx
n linux
er@localhost:/#
e sobre Servic
mx: Permite
un dominio.
ns: Permite
a: Permite ob
a predetermi
oa: Permite
cname : Perm
hinfo: Permi
ón relacionad
ebe ser es
dor, donde X
comando nsl
aceroute.
a herramien
os. Esta herr
eroute se pu
el equipo de
re según c
n Linux en
x y Windows
x
# traceroute ipn
cios de Red.
e obtener inf
obtener info
btener inform
inado.
mostrar la in
mite mostrar
ite mostrar,
da con el ma
scrito de
XX se refiere
lookup, basta
nta de diagn
ramienta per
uede usar pa
e cómputo fu
cada sistem
la figura 7
s a continuac
n.mx
formación re
ormación de
mación de u
nformación
r información
siempre y c
aterial y el si
la siguie
e a algún tipo
a con introdu
nóstico de r
rmite determ
ara diagram
uente y el eq
ma operativo
7 y se mues
ción [23]:
Ing. Victor
elacionada c
el servidor d
un host de la
del campo S
n relacionad
cuando los d
istema opera
ente maner
o de los men
ucir la palab
redes, presen
minar la ruta
mar un mapa
quipo de cóm
o, se mues
stra la sintax
r Adrian Hern
con el(los) s
de nombres
a red. Se trat
SOA (inicio d
da con los ali
datos estén d
ativo del hos
ra: nslooku
ncionados an
bra exit.
nte en la m
efectuada p
a de los rute
mputo destin
stra un eje
xis del com
nández Jimén
servidor(es)
relacionado
ta de un mo
de autoridad
ias.
disponibles,
t.
up –type=X
nteriormente
mayoría de l
or un paque
eadores que
o. El coman
emplo de
mando para s
ez.
de
al
do
d).
la
XX
.
los
ete.
se
ndo
su
ser
Inform
Pág
3.3
IEcook
las co
herram
Algun
siguien
•
•
•
•
•
•
•
•
•
•
mática Forense
gina | 56
3. Herram
3.3.1. IEC
kies de licen
ookies que
mienta se mu
nas de las ac
nte listado:
Permite pr
ascendente
podrá orde
Puede enco
Permite se
Permite sa
Permite co
Actualiza a
Puede desp
Permite ca
Permite vis
Permite ex
e sobre Servic
mientas útil
CookiesView
ncia freeware
Internet Ex
uestra en la f
cciones que
resentar una
e dando click
enar de form
ontrar una co
leccionar y b
lvar cookies
opiar informa
automáticam
plegar las co
ambiar el con
sualizar el co
xportar cooki
cios de Red.
Figura 7.
les para la
w v1.73
e es una util
xplorer ha
figura 8.
es posible r
a listado de
k sobre el n
a descenden
ookie especi
borrar cooki
s en un arch
ación de coo
mente cuando
ookies de otr
ntenido de un
ontenido de
ies en archiv
Traceroute par
a búsqued
lidad que nos
almacenado
realizar con
e cookies q
nombre de la
nte.
ificando el n
ies.
ive de texto.
okie en el po
o un sitio W
ros usuarios.
na cookie.
una cookie.
vos de Netsc
Ing. Victor
ra ipn.mx
a de evide
s permite vis
o, la interfaz
esta herram
que pueden
a columna, y
nombre del si
.
rtapapeles.
eb envía una
cape/Mozilla
r Adrian Hern
encia en w
sualizar el d
z gráfica qu
mienta se me
ser ordena
y con un seg
itio Web.
a cookie.
a.
nández Jimén
web.
detalle de tod
ue ofrece es
encionan en
dos por cla
gundo click
ez.
das
sta
el
ase
se
Inform
Pág
Los re
•
•
IECoode las
mática Forense
gina | 57
equerimiento
Windows
Vista.
Internet Ex
okiesView puoperaciones
e sobre Servic
os mínimos d
95/98/ME,
xplorer, Vers
uede ser utils que permite
cios de Red.
Figur
de sistema pa
Windows N
siones 4.0 -
lizada en líne realizar en
ra 8. IECookies V
ara esta herr
NT, Window
8.0
nea de comann la tabla 3.
Ing. Victor
View.
ramienta son
ws 2000, W
ndos se mue
r Adrian Hern
n:
Windows XP
stra una brev
nández Jimén
P o Window
ve descripci
ez.
ws
ión
Inform
Pág
Coman
iecv.ex
iecv.ex
iecv.ex
iecv.ex
iecv.ex
iecv.exName>
Ejemp
C:\\iec
Mozill
explor
almace
en for
borrar
Mozill
2000,
Netsca
localiz
mática Forense
gina | 58
ndo
xe /mi
xe /dir folde
xe /nsl
xe /inst
xe /uninst
xe /user <U>
plo:
cv/iecv.exe/m
3.3.2. Mo
laCookiesVi
radores Nets
enadas en el
rmatos de te
r cookies.
laCookiesVi
y Window
ape/Mozilla,
zar el archivo
e sobre Servic
Tabla
Descr
Permi
er
Al ejcookie iecv.e
Iniciaúltima
Agreg
Elimin
User IniciaPor ej /user a
mi iecv.exe/n
ozillaCookie
iew es una
scape and M
l archivo co
exto, HTML
iew trabaja e
ws XP, y es
, si se trata
o (cookies.tx
cios de Red.
a 3. Opciones en
ripción
ite ejecutar m
ecutar IECoes. Por ejem
exe /dir "C:\D
liza IECooka configurac
ga un acceso
na el acceso
liza IECookemplo:
admin1
nls
esView.
alternativa
Mozilla. Perm
okies.txt en
L o XML. E
en las versio
s capaza de
de una vers
xt) del usuar
n línea de coman
más de una i
ookiesView mplo:
Documents a
kiesView conión.
o rápido en el
rápido en el
kiesView con
de estándar
mite visuali
una tabla y
sta herramie
ones de Wind
leer cooki
sión antigua
rio.
Ing. Victor
ndos, IECookiesV
instancia de
utility utili
and Settings\
n los valore
l escritorio d
l escritorio d
n la carpeta d
r 'Cookie M
izar los deta
permite alm
enta también
dows 9x/ME
es creadas
de Netscap
r Adrian Hern
View.
IECookiesV
izando otro
\Administrat
s por defaul
de IECookie
de IECookie
de otro usuar
Manager' pro
alles de toda
macenar la li
n puede ser
E, Windows
por cualqui
pe o Mozilla
nández Jimén
View utility
directorio
tor\Cookies"
lt sin cargar
esView.
esView.
rio.
ovista por l
as las cooki
ista de cooki
utilizada pa
NT, Window
ier versión
a, se tiene q
ez.
de
"
la
los
ies
ies
ara
ws
de
que
Inform
Pág
Esta h
de las
describ
-cooki<Filen
-profil<Fold
/stext
/stab <
/stabul
/shtml
/sverh<Filen
/sxml
Ejemp
C:\\ Moz
C:\\ Moz
Es un
Toman
requie
realiza
"cooki
Linux
El Fu
coman
mática Forense
gina | 59
herramienta p
cookies obt
ben breveme
iesfile name>
lesfolder er>
<Filename>
<Filename>
lar <Filenam
l <Filename>
html name>
<Filename>
plo:
zillaCookiesVie
zillaCookiesVie
3.3.3. Ga
na herramien
ndo como a
eren la recon
ar este tipo
ie", está con
, y *BSD.
uncionamient
ndo utilizado
e sobre Servic
provee una i
tenidas, pero
ente las opci
Tabla 4.
Abre M
Abre de alg
> Guard
Guardtabula
me> Guard
> Guardhorizo
Guardvertica
> Guard
ew\mzcv /stext
ew\mzcv /stabu
lleta.
nta específic
argumento q
nstrucción d
de operacio
nstruida para
to de esta h
o para ejecu
cios de Red.
interfaz gráfi
o también pu
iones que pro
Opciones en lín
MozillaCook
MozillaCoogún usuario.
da la lista de
da la lista deadores.
da la lista de
da la lista deontal.
da la lista deal.
da la lista de
t Cookies_Moz
ular Cookies_M
ca para el
que muchos
de las cookie
ones. Gallet
a trabajar c
herramienta
utar esta herr
fica la cual c
uede ser util
oporciona M
nea de comando
kiesView co
okiesView co
cookies en u
e cookies en
cookies en u
e cookies en
e cookies en
cookies en u
illa.txt
Mozilla.txt
análisis fore
equipos de
es de Interne
ta que es la
con múltiple
es solamen
amienta deb
Ing. Victor
ontiene en l
lizada en mo
MozillaCooki
os, MozillaCooki
on un nombre
on utilizand
un archivo re
n un archivo
un archivo d
n un archivo
n un archivo
un archivo d
ense fue cr
e cómputo in
et Explorer.
a traducción
es plataforma
nte mediant
be seguir la s
r Adrian Hern
a ventana pr
odo línea de
iesView en l
iesView.
e de archivo
do una direc
egular de tex
o de texto d
de texto tabu
o de tipo HT
o de tipo HT
de tipo XML
reada por K
nvolucradas
Esta herram
al español
as, Window
te línea de
siguiente sint
nández Jimén
rincipal la lis
comandos,
la tabla 4.
o específico.
torio de per
xto.
delimitado p
ulado.
TML de form
TML de form
L.
Keith J. Jone
en el crim
mienta perm
de la palab
ws, Mac OS
comandos.
taxis:
ez.
sta
se
rfil
por
ma
ma
es.
men
mite
bra
X,
El
Inform
Pág
galleta
Ejemp
C:\> g
Es un
licenci
ventan
Interne
Esta h
permit
embar
brevem
- /stex
/stab
/shtml
/sverh
/stabul
/sxml
La list
el cual
embar
de alg
mática Forense
gina | 60
a [options] <
plo:
galleta –d “di
3.3.4. IE
n ejecutable
ia freeware.
na principal
et, con sus
herramienta p
te también
rgo, ofrece l
mente las op
xt
l
html >
lar
ta de las UR
l desplegará
rgo, esta her
unos coman
e sobre Servic
<filename> -
irección\inde
HistoryView
independien
. Solo se de
la lista de
característic
permite sele
borrar las
la posibilida
pciones prop
Tabla
Guardaen [Arc
Guardaun arch
Guardaen [Arc
Guardatipo HT
Guardaarchivo
Guardaen [Arc
RL se puede
á una ventana
rramienta tam
ndos se mues
cios de Red.
t Field Delim
ex.dat” > co
w.
nte, no requ
ebe ejecutar
todas las U
cas, tales com
eccionar uno
URL’s reg
ad de ser ut
porcionadas
a 5. Opciones en
a la lista de Uchivo destin
a la lista de hivo de texto
a la lista de chivo destin
a la lista de TML especif
a la lista de Uo de texto es
a la lista dechivo destin
obtener sim
a y una barra
mbién permi
stran a contin
miter (TAB b
ookies.csv
uiere de nin
r el archivo
URL's que fu
mo la estam
o entre diver
gistradas, pr
tilizada en m
por esta herr
n línea de coma
URL’s dentrno].
URL’s, delo especificad
URL’s dentno].
URL’s, de fficado en [A
URL’s, delimspecificado e
e URL’s denno].
mplemente da
a de opcione
ite su uso en
nuación:
Ing. Victor
by default)
nguna instala
IEHistoryV
fueron almac
mpa de tiemp
rsos usuario
roporciona u
modo línea d
ramienta en
ndos IEHistoryV
ro de un arc
imitadas pordo en [Arch
tro de un arc
forma verticaArchivo dest
mitadas por en [Archivo
ntro de un a
ando doble c
es, como se m
n modo línea
r Adrian Hern
ación, es di
View.exe y
cenadas en
po y el títul
s existentes
una interfaz
de comando
la tabla 5.
View.
hivo de text
r un tabulaivo destino]
chivo HTML
al dentro de tino] paráme
un tabulador destino] par
archivo XML
click al archi
muestra en l
a de comand
nández Jimén
istribuido ba
muestra en
el historial
lo, entre otra
en el sistem
z gráfica. S
o, se describ
to especifica
ador, dentro parámetro.
L especifica
un archivo etro.
r, dentro de rámetro.
L especifica
ivo ejecutab
la figura 9. S
dos, la sintax
ez.
ajo
la
de
as.
ma,
Sin
ben
ado
de
ado
de
un
ado
ble,
Sin
xis
Inform
Pág
Los pa
-folder
-user:
Sintax
Ejemp
C:\ieh
Mozill
opcion
mática Forense
gina | 61
arámetros pu
r: Guarda la
Guarda la li
xis: iehv [/Ac
iehv -folder
ie
plo:
historyview\i
3.3.5. Mo
laHistoryVie
nes en modo
e sobre Servic
ueden conten
lista de URL
ista de usuar
cción] ["Arc
r "c:\Docum
iehv
ehv /stext "c
ehv /stext H
ozillaHistory
ew es distri
o línea de com
cios de Red.
ner los siguie
L’s en la car
rios especific
chivo destino
ments and Set
iehv /shtml
/stext "c:\tem
:\temp\urls1
Figu
Historial_IE.t
yView
ibuido bajo
mando, las c
entes valores
rpeta especif
cados en {"fu
o"] {-Tipo de
ttings\Admin
"c:\temp\url
mp\urls.txt"
.txt" -folder
ra 9. IEHistoryV
txt
licencia fre
cuales se des
Ing. Victor
s:
ficada en {"f
fuente"} pará
e fuente} {"f
nistrator\Loc
ls.html"
-user admin
"c:\window
View.
eeware, ofre
scriben breve
r Adrian Hern
fuente"} o {"
ámetro.
fuente"}
calSettings\H
n2
ws\history"
ece un ento
emente en la
nández Jimén
"Source"}
History"
orno gráfico
a tabla 6.
ez.
o y
Inform
Pág
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
-file <
El fun
Mozill
web v
siguien
Mozill
Data\M
Mozill
Data\M
Mozill
mática Forense
gina | 62
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
<History File
ncionamient
laHistoryVie
visitados, pa
ntes ejemplo
laHistoryVie
Mozilla\Prof
laHistoryVie
Mozilla\Prof
laHistoryVie
e sobre Servic
Tabla 6. O
> Gutex
Gutex
me> Gutex
me> Gutex
> GuHT
me> GuHT
> GuXM
ename> Inihis
o de esta h
ew.exe y de
ara utilizar
os:
ew.exe -fil
files\test\p34
ew.exe -fil
files\test\p34
ew.exe /stex
cios de Red.
Opciones en línea
uarda la listaxto.
uarda la listaxto delimitad
uarda la listaxto delimitad
uarda la listaxto tabulada.
uarda la listaTML en form
uarda la listaTML de form
uarda la listaML.
icializa Mozistory.dat
herramienta
esplegará un
las opcione
le "C:\Docu
4kcd3y.slt\hi
le "C:\Docu
4kcd3y.slt\hi
xt c:\temp\mz
a de comandos
a de todos los
a de todos losdo por tabul
a de todos losdo por coma
a de todos los
a de todos loma horizonta
a de todos loma vertical.
a de todos lo
illaHistoryV
es muy si
na interfaz g
s en modo
uments and
istory.dat"
uments and
istory.dat" /s
z.txt
Ing. Victor
para MozillaHis
s sitios web
s sitios web adores.
s sitios web as.
s sitios web
os sitios weal.
os sitios we
os sitios we
View especifi
mple, basta
gráfica con l
línea de co
d Settings\A
d Settings\A
shtml c:\temp
r Adrian Hern
storyView.
visitados en
visitados en
visitados en
visitados en
eb visitados
eb visitados
eb visitados
ficando un ar
a con ejecut
la lista de to
omandos se
Administrato
Administrato
p\mz.html
nández Jimén
n un archivo
n un archivo
n un archivo
n un archivo
en un archi
en un archi
en un archi
rchivo
tar el archi
odos los siti
muestran l
or\Applicati
or\Applicati
ez.
de
de
de
de
ivo
ivo
ivo
ivo
ios
los
ion
ion
Inform
Pág
Es una
los arc
nombr
modifi
compl
txt, htm
Esta h
Windo
Esta h
coman
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
-folder
IECac
Solo s
mática Forense
gina | 63
3.3.6. IEC
a utilidad qu
chivos que fu
re del archiv
ficó el tiemp
leta del arch
ml, xml y pe
herramienta
ows Vista y p
herramienta o
ndos, los cua
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
r <Cache Fo
cheView, es
se debe ejecu
e sobre Servic
CacheView.
ue lee la carp
fueron almac
vo, tipo de c
po, tiempo d
hivo. Esta he
ermite la opc
funciona pa
para Interne
ofrece una in
ales se descri
Tabla
> Guaen u
Guaen u
me> Guaen u
me> Guaen u
> Guaen u
me> Guaen u
> Guaen u
older> Abre
una herrami
utar y despl
cios de Red.
.
peta de cache
cenados. Mu
contenido, U
de expiración
erramienta pe
ción “copiar”
ara todas la
et Explorer v
nterfaz gráfi
iben brevem
a 7. Opciones en
arda la lista un archivo TX
arda la lista un archivo de
arda la lista dun archivo de
arda la lista un archivo de
arda la lista un archivo de
arda la lista un archivo de
arda la lista un archivo de
e IECacheV
ienta de lice
legará una v
e de Internet
uestra para ca
URL, última v
n, número d
ermite guard
”, para ser ag
as versiones
versiones 6.x
ca, pero per
mente en la ta
n línea de coman
de todos losXT.
de todos lose texto delim
de todos loe texto delim
de todos lose texto tabul
de todos lose tipo HTML
de todos lose tipo HTML
de todos lose tipo XML.
iew especifi
encia freewa
ventana con
Ing. Victor
t Explorer, y
ada archivo
vez que se a
de usos, tam
dar la inform
gregada a un
de Window
x, 7.x y 8.x.
rmite tambié
abla 7.
ndos, IECache V
s archivos c
s archivos cmitado por ta
os archives cmitado por co
s archivos cado.
s archivos cL de forma H
s archivos cL de forma V
s archivos c
icando la rut
are no requie
una lista co
r Adrian Hern
y despliega la
las siguiente
accedió, últim
maño del arc
mación en ar
na hoja de Ex
ws, desde W
n su uso en
View.
cache de Inte
cache de Inteabuladores.
cache de Inteomas.
cache de Inte
cache de InteHorizontal.
cache de InteVertical.
cache de Inte
ta de una car
ere de ningun
mpleta de lo
nández Jimén
a lista de tod
e Informació
ma vez que
chivo y la ru
rchivos de ti
xcel.
Windows 98
modo línea
ernet Explor
ernet Explor
ernet Explor
ernet Explor
ernet Explor
ernet Explor
ernet Explor
rpeta de cach
na instalació
os archivos
ez.
dos
ón:
se
uta
ipo
8 a
de
rer
rer
rer
rer
rer
rer
rer
he.
ón.
de
Inform
Pág
cache
uno de
esta h
Setting
posibi
herram
contin
IECac
Setting
IECac
Setting
Ejemp
IECac
mática Forense
gina | 64
como se mu
e los campos
erramienta t
gs\[user Na
lidad de sele
mienta perm
nuación se m
cheView.exe
gs\Temporar
cheView.exe
gs\Temporar
plo:
cheView.exe
e sobre Servic
uestra en la f
s que provee
trae el conte
ame]\Local
eccionar una
mite guardar
muestra la sin
e -folder
ry Internet F
e -folder
ry Internet F
e /stext c:\tem
cios de Red.
figura 10, los
en las caract
enido del arc
Settings\Te
a carpeta dis
r la lista d
ntaxis para u
"C:\Doc
Files"
"C:\Doc
Files" /shtml
mp\ie.txt
Figu
s cuales pue
terísticas me
chivo ubicad
emporary I
stinta a esta.
de archivos
utilizar algun
cuments
cuments
c:\temp\ie.h
ra 10. IECacheV
Ing. Victor
den ser orde
encionadas a
do en la dir
nternet File
En la interf
en diferent
nos de los co
and Set
and Set
html
View.
r Adrian Hern
enados o filtr
anteriormente
rección C:\D
es, contien
faz gráfica qu
tes formato
omandos.
ttings\Admin
ttings\Admin
nández Jimén
rados por ca
e. Por defec
Documents a
e además
ue provee es
s de texto,
nistrator\Loc
nistrator\Loc
ez.
ada
to,
and
la
sta
a
cal
cal
Inform
Pág
Esta
FireFo
archiv
modifi
y el no
Esta h
Windo
que se
Mozill
línea d
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
-folder
Esta h
solo s
mática Forense
gina | 65
3.3.7. Mo
herramient
ox/Mozilla/N
vo muestra: l
ficó, la últim
ombre del se
herramienta
ows Vista, p
e necesita es
laCacheView
de comandos
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
r <Cache Fo
herramienta e
se debe eje
e sobre Servic
ozillaCacheV
a permite
Nescape. Des
la URL, el t
ma vez que se
ervidor.
funciona pa
uede ser usa
una carpeta
w proporcion
s, los cuales
Tabla 8
> Guaregu
Guatexto
me> Guadelim
me> Guatabu
> Guatipo
me> GuaHTM
> GuaXML
older> Inici
es distribuid
ecutar el ej
cios de Red.
View.
leer el
spliega la lis
tipo de conte
e utilizó, el t
ara todas la
ada aun cuan
de cache pa
na una inter
se describen
. Opciones en lí
arda la lista ular.
arda la lista o delimitada
arda la lista mitado por u
arda la lista ulado.
arda la lista HTML de f
arda la lista dML de forma
arda la lista L.
ia MozillaCa
a bajo licenc
jecutable M
contenido
sta de todos
enido, el tam
tiempo de ex
as versiones
ndo no se ten
ara ser analiz
rfaz gráfica,
n brevement
nea de comando
de los archi
de todos losa por tabulad
de los archiuna coma.
de los archi
de todos losforma Horizo
de todos losa vertical.
de todos l
acheView es
cia freeware
MozillaCache
Ing. Victor
de la
los archivos
maño de arch
xpiración, las
de Window
nga instalado
zada.
pero permit
e en la tabla
os, MozillaCach
ivos de cach
s archivos ddores.
ivos de cach
ivos de cach
s archivos dontal.
archivos ca
os archivos
specificando
y no requie
eView.exe,
r Adrian Hern
carpeta de
s almacenad
hivo, la últim
s veces que
ws, desde W
o Firefox/M
e también su
a 8.
heView.
he en un arc
de cache en
he en un arc
he en un arc
de cache en
ache en un a
de cache e
o la carpeta d
re de ningu
para alguna
nández Jimén
e cache
dos y para ca
ma vez que
se ha utiliza
Windows 98
Mozilla lo úni
u uso en mo
chive de tex
un archive
chive de tex
chivo de tex
un archivo
archivo de ti
en un archi
de cache.
una instalació
a carpeta c
ez.
de
ada
se
ado
8 a
ico
do
xto
de
xto
xto
de
ipo
ivo
ón,
con
Inform
Pág
archiv
de cac
config
guarda
hoja d
muestr
Mozill
Setting
Mozill
Setting
c:\tem
Ejemp
C:\Mo
IE Pas
el exp
8.0 Be
Esta h
de com
mática Forense
gina | 66
vos de cache
che con las
gurar y utili
ar la lista en
de Excel, tod
ran algunos
laCacheView
gs\Applicati
laCacheView
gs\Applicati
mp\mz.html
plo:
ozillaCacheV
3.3.8. IEP
ss View es u
plorador Inte
eta.
herramienta c
mandos, los
e sobre Servic
, despliega u
característi
izar las opc
n otros form
das estas op
ejemplos pa
w.exe -fol
on
w.exe -fol
on Data
View.exe /ste
PassView.
una utilidad
ernet Explore
contiene una
cuales se de
cios de Red.
una interfaz
icas antes m
iones de re
matos como:
pciones tamb
ara utilizar la
lder "C:\D
Data\
lder "C:\D
a\Mozilla\Fir
ext c:\temp\m
que permite
er y es útil
a interfaz gr
scriben brev
gráfica que
mencionadas
evisar la list
TXT, HTM
bién es posi
a herramient
Documents
\Mozilla\Fir
Documents
refox\Profile
mz.txt
conocer las
para todas l
áfica, pero p
vemente en l
Ing. Victor
muestra la
s. En esta in
ta de archiv
ML, XML y
ible utilizarl
a en modo c
and Set
refox\Profile
and Set
es\acf2c3u2.
s contraseñas
las versiones
permite tamb
a tabla 9.
r Adrian Hern
lista de todo
nterfaz gráfi
vos. Ademá
permite exp
las en modo
comando.
ttings\Admin
s\acf2c3u2.d
ttings\Admin
default\Cach
s que fueron
s desde la 4
bién su uso
nández Jimén
os los archiv
fica es posib
ás, de permi
portarlo a u
o comando,
nistrator\Loc
default\Cach
nistrator\Loc
he" /shtm
n almacenas
.0 a la versi
en modo lín
ez.
vos
ble
itir
una
se
cal
he"
cal
ml
en
ión
nea
Inform
Pág
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
/no_pa
/no_pa
/no_pa
/extern<Last
IEPass
ejecuta
AutoC
página
almace
mática Forense
gina | 67
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
ass_cred
ass_reg
ass_pstore
nal <User Log-On Pas
sView es d
arse el archi
Complete Pa
a web, el ex
enadas en el
e sobre Servic
Tabla 9
>
me>
me>
>
me>
>
Profile Password>
distribuido b
vo iepv.exe.
asswords: Es
xplorador pre
l registro de
cios de Red.
9. Opciones en l
Guarden un
Guarden un
Guarden un
Guarden un
Guarden un
Guarden un
Guarden un
No rarchiv
No rede Wi
No reproteg
ath>
Recuppor ej iepv.e"MyP
bajo licencia
. Esta herram
stas contrase
egunta al us
Windows:
línea de comand
da la lista den archivo reg
da la lista den archivo de t
da la lista den archivo de t
da la lista den archivo de t
da la lista den archivo HT
da la lista den archivo HT
da la lista den archivo XM
recupera lvo de creden
ecupera las cindows.
ecupera las gidos.
pera las conjemplo:
exe /externaPassword"
a freeware
mienta intent
eñas son alm
suario si des
Ing. Victor
dos para IE Pass
e las contrasgular de texto
e las contrastexto tabulad
e las contrastexto delimit
e las contrastexto separa
e las contrasTML de form
e las contrasTML de form
e las contrasML.
las contrasenciales.
contraseñas a
contraseñas
ntraseñas de
l "C:\Docum
y no requi
tara recuper
macenadas s
sea recordarl
r Adrian Hern
s View.
señas de Into.
señas de Intdo.
señas de Inttado por com
señas de Intdo por tabul
señas de Intma horizontal
señas de Intma vertical.
señas de Int
eñas almace
almacenados
s almacenad
IE7 de un
ments and Se
iere instalar
rar 2 tipos de
si al ser util
los. Estas co
nández Jimén
ernet Explor
ernet Explor
ernet Explormas,
ernet Explorladores.
ernet Explorl.
ernet Explor
ernet Explor
enados en
s en el regist
dos en lugar
perfil exter
ettings\admi
rse, solo de
e contraseña
lizados en u
ontraseñas s
ez.
rer
rer
rer
rer
rer
rer
rer
el
tro
res
rno
in"
ebe
s.
una
on
Inform
Pág
HKEY
HTTP
web s
selecc
autent
Docum
Ejemp
C:\ iep
C:\ iep
Passw
elemen
contra
Esta h
de com
herram
mática Forense
gina | 68
Y_CURREN
P Authenticat
se introduce
iona la opc
ticación
mentsandSet
plo:
pv\iepv /stex
pv\iepv /stab
3.3.9. Pas
wordfox perm
nto encontra
aseña, campo
herramienta p
mandos, se
mienta en la
e sobre Servic
NT_USER\So
tion Passwo
n los datos
ción recorda
HTTP,
ttings\Applic
xt Password_
b Password_I
sswordFox.
mite recupera
ado desplieg
o de nombre
proporciona
da una brev
tabla 10.
cios de Red.
oftware\Mic
rds: Estas co
en un cuad
ar contraseñ
y estas
cation Data\M
_IE.txt
IE.txt
ar las contra
ga, el índice
de usuario,
a una interfa
ve descripció
crosoft\Intern
ontraseñas so
dro de dialo
ña, la contra
contras
Microsoft\C
señas en el e
de registro,
campo de co
z gráfica, pe
ón de las op
Ing. Victor
net Explorer\
on almacena
ogo si en e
aseña enton
eñas son
redentials.
explorador M
el sitio web
ontraseña.
ero puede se
pciones que
r Adrian Hern
\IntelliForm
ados cuando
este cuadro
ces es alma
n almac
Mozilla FireF
b, el nombre
er utilizada e
tiene imple
nández Jimén
ms\Storage2
en una pági
de dialogo
acenada com
cenados
Fox, para ca
de usuario,
en modo lín
ementadas es
ez.
ina
se
mo
en
ada
la
nea
sta
Inform
Pág
/profil
/instal
/maste
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
Esta u
Windo
Esta h
almac
la opc
que Fi
de tipo
contra
Ejemp
C:\ pas
mática Forense
gina | 69
le <Folder>
lfolder <Fol
er <Password
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
utilidad pued
ows vista, n
herramienta
enadas en M
ión para visu
ireFox ofrec
o Master, lo
aseña de tipo
plo:
sswordfox\P
e sobre Servic
Tabla 1
Perm
lder> Perm
d> Perm
> Gua
Guapor
me> Guapor
me> Gua
> Guahori
me> Guavert
> Gua
de trabajar b
o requiere in
está distrib
Mozilla FireF
ualizarlas en
ce la opción
cual obliga
o Máster.
PasswordFox
cios de Red.
0. Opciones en
mite seleccio
mite seleccio
mite especifi
arda la lista
arda la lista tabuladores
arda la lista comas.
arda la lista
arda la lista izontal.
arda la lista tical.
arda la lista
bajo Window
nstalación so
buida bajo l
Fox no es n
n Herramient
de proteger
que antes de
x /stext passw
línea de comand
onar el direc
onar, la carp
ficar la contr
de contraseñ
de contraseñ.
de contraseñ
de contraseñ
de contraseñ
de contraseñ
de contraseñ
ws 2000, W
olo se debe
licencia free
ecesaria nin
tas/Opciones
r las contras
e recordar al
word_fox.tx
Ing. Victor
dos para Passw
ctorio que co
eta de instal
raseña de tip
ñas en un arc
ñas en un arc
ñas en un arc
ñas en un arc
ñas en un arc
ñas en un arc
ñas en un arc
Windows XP
ejecutar el a
eware para
nguna herram
s/Contraseña
eñas almace
lguna contra
t
r Adrian Hern
ordFox.
ontiene el per
lación de Fir
po master.
chivo regula
chivo de tex
chivo de tex
chivo de tex
chivo HTML
chivo HTML
chivo de tipo
, Windows
archivo Pass
consultar la
mienta ya qu
as guardadas
enadas con u
aseña sea pro
nández Jimén
rfil.
reFox.
ar de texto.
to delimitad
xto delimitad
to tabulado.
L de forma
L de forma
o XML.
server 2003
swordFox.ex
as contraseñ
ue proporcio
s, cabe resalt
una contrase
oporcionada
ez.
do
do
3 y
xe.
ñas
ona
tar
eña
a la
Inform
Pág
Esta h
marca
direcc
la carp
HTML
Favori
gráfica
desea
distrib
11 se d
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
/brows
mática Forense
gina | 70
3.3.10. Fa
herramienta
adores ó boo
ión URL, la
peta. Es pos
L y archivos
itesview, es
a en la que p
revisar la l
buida bajo lic
describen br
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
ser [1 | 2]
e sobre Servic
avoritesView
despliega l
kmarks para
a fecha de cr
sible export
XML.
un solo eje
permite selec
ista de favo
cencia freew
revemente la
Tabla 11
> Guardregula
Guarddelim
me> Guarddelim
me> Guardtabula
> GuardHTM
me> GuardHTM
> Guard
SeleccMozil
cios de Red.
w
la lista de t
a Mozilla Fi
reación, la fe
tar los resul
ecutable y n
ccionar sobr
oritos como
ware, y tamb
as opciones d
1. Opciones en l
da la lista dear.
da la lista demitado por tab
da la lista demitado por un
da la lista deado.
da la lista deL de forma H
da la lista deL de forma v
da la lista de
ciona el tipolla/Firefox)
todos los fa
irefox y Net
echa de mod
ltados a arch
no requiere
re la misma
se muestra
bién permite
disponibles e
ínea de comand
e favoritos/bo
e favoritos/bobuladores.
e favoritos/bona coma.
e favoritos/bo
e favoritos/boHorizontal.
e favoritos/bovertical.
e favoritos/bo
o de explorad
Ing. Victor
avoritos par
scape, cada
dificación de
hivos de 3
instalarse, fu
ventana el e
en la figura
su uso en m
en modo com
dos para Favorit
ookmarks en
ookmarks en
ookmarks en
ookmarks en
ookmarks en
ookmarks en
ookmarks en
dor (1 Intern
r Adrian Hern
ra Internet E
línea contie
e la página y
tipos: de te
funciona baj
explorador w
a 11. Esta h
modo coman
mando.
tesView.
n un archivo
n un archivo
n un archivo
n un archivo
n un archivo
n un archivo
n un archivo
net Explorer,
nández Jimén
Explorer y
ene el título,
y el nombre
xto, archiv
o una interf
web del que
herramienta
ndo, en la tab
de texto
de texto
de texto
de texto
de tipo
de tipo
o XML.
2
ez.
de
la
de
vos
faz
se
es
bla
Inform
Pág
Esta h
todas
Googl
con el
donde
Esta h
permit
la tab
mática Forense
gina | 71
3.3.11. My
herramienta a
las búsqued
le, Yahoo y
l texto busc
se realizó la
herramienta
te también s
la 12.
e sobre Servic
yLastSearch
analiza las a
das que se
MSN. Las c
ado, el busc
a búsqueda.
contiene un
u uso en mo
cios de Red.
Figur
h.
archivos de c
han hecho
consultas qu
cador, tiemp
na interfaz
odo línea de
ra 11. FavoritesV
cache y el h
en los busc
ue fueron rea
po de la bús
gráfica com
comandos,
Ing. Victor
View
istorial del e
cadores más
alizadas son
squeda, el e
mo se muest
los cuales se
r Adrian Hern
explorador w
s populares,
n desplegada
explorador w
tra en la fig
e describen b
nández Jimén
web, y locali
como lo s
as en una tab
web y la UR
gura 12. Pe
brevemente
ez.
iza
on
bla
RL
ero
en
Inform
Pág
/loadfrFolderCache
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
MyLa
analiza
almace
con la
cuales
contin
MyLa
Setting
Interne
mática Forense
gina | 72
from <IE Hisr> <Mozilla e Folder> <O
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
astSearch no
an los archi
enadas. Esta
as caracterís
s fueron de
nuación:
astSearch.exe
gs\History"
et Files
e sobre Servic
Tab
story Folder>History File
Opera Cache
>
me>
me>
>
me>
>
o requiere in
vos cache y
a aplicación p
sticas antes
escritos ant
e /loadfro
"C:\Docum
s" "C:\D
cios de Red.
bla 12. Modo en
> <IE Cachee> <Mozilla Folder>
nstalarse, sim
y los archivo
permite su u
mencionada
teriormente,
om "C:\D
ments and S
Documents
línea de coman
e Cargaespecicache Explo
Guarden un
Guardarchivtabula
Guardarchiv
Guardarchiv
Guardarchiv
Guardarchiv
Guardarchiv
mplemente d
os del histor
uso con una
as, permite
la sintaxis
Documents
Settings\Adm
and
Ing. Victor
ndos MyLastSea
a las consultaificando unao historial
orer/Opera.
da las consularchive de t
da las consulvo de texto dadores.
da las consulve de texto li
da las consulvo de texto ta
da las consulvo HTML de
da las consulvo HTML de
da las consulvo de tipo XM
debe ejecuta
rial para enc
interfaz gráf
su uso tam
s para los
and Set
ministrator\L
Settings\A
r Adrian Hern
rch.
as de las búsa carpeta qude Mozilla/I
ltas que fuertexto regular
ltas buscadasdelimitado po
ltas buscadasimitado por c
ltas buscadasabulado
ltas buscadase forma horiz
ltas buscadase forma Vert
ltas buscadasML.
arse MylastS
contrar todas
fica que cont
mbién modo
comandos
ttings\Admin
Local Settin
Administrat
nández Jimén
squedas e contenga eInternet
on buscadasr.
s en un or
s en un comas.
s en un
s en un zontal.
s en un tical.
s en un
Search.exe,
s las consult
tiene una tab
comando l
se ilustra
nistrator\Loc
ngs\Tempora
or\Applicati
ez.
el
s
se
tas
bla
los
a
cal
ary
ion
Inform
Pág
Data\M
Setting
Data\M
MyLa
Setting
MyLa
Setting
Setting
Setting
Data\M
Setting
Data\M
Ejemp
MyLa
mática Forense
gina | 73
Mozilla\Fire
gs\Administ
Mozilla\Fire
astSearch.exe
gs\Applicati
astSearch.exe
gs\Administ
gs\Administ
gs\Administ
Mozilla\Fire
gs\Administ
Mozilla\Fire
plo:
astSearch.exe
e sobre Servic
fox\Profiles\
trator\Local
fox\Profiles\
e /loadfrom
on Data\Mo
e /shtml "c:\t
trator\Local
trator\Local
trator\Applic
fox\Profiles\
trator\Local
fox\Profiles\
e /shtml "c:\t
cios de Red.
\dy18v2u5.d
\dy18v2u5.d
m "" "" "C
ozilla\Firefox
temp\search
Settings\His
Settings\Tem
cation
\dy18v2u5.d
Settings\App
\dy18v2u5.d
temp\search
Figur
default\histor
default\Cach
C:\Documen
x\Profiles\dy
1.html" /load
story" "C:\Do
mporary Inte
default\histor
plication
default\Cach
1.html"
ra 12. MyLastSe
Ing. Victor
ry.dat"
he"
nts and Set
y18v2u5.defa
dfrom "C:\D
ocuments an
ernet Files" "
ry.dat" "C:\D
he"
arch.
r Adrian Hern
"C:\Docum
Setting
ttings\Admin
ault\Cache"
Documents a
nd
"C:\Docume
Documents a
nández Jimén
ments a
gs\Applicati
nistrator\Loc
nd
ents and
and
ez.
and
ion
cal
Inform
Pág
La ma
provee
el arch
URL’s
cuando
Pasco
Interne
visuali
undele
recons
Pasco
de inst
La líne
siguien
Pasco
Existe
alguna
Index
Index.
Index.
(http:/
La des
aborda
herram
encuen
mática Forense
gina | 74
3.3.12. Pa
ayoría de lo
e el mismo e
hivo llamad
s que se vis
o el sistema
es una herr
et Explorer
izar este arc
ete, el modo
struye cualqu
es una herra
talación y es
ea de coman
nte:
–d –t index
e toda una g
as herramien
x.dat Scanner
.dat Analyze
.dat Suite.
//support.it-m
sventaja que
a en esta tes
mientas aun
ntra el archiv
e sobre Servic
asco.
os usuarios
explorador, i
do index.dat
sitaron. Este
Windows es
ramienta útil
r. Reporta l
chivo en cua
o undelete ha
uier dato vál
amienta que
stá disponibl
ndos que util
x.dat >index
gama de her
ntas son las s
r (http://soft
er ( http://ww
mate.co.uk/?
e destaca en
sina, es que
que son en m
vo index.dat
cios de Red.
suelen borr
intentando m
guarda un
e archivo re
stá en uso.
l para exami
la salida en
alquier hoja
ace caso om
lido de activ
se utiliza so
le para sistem
liza Pasco es
x.csv
rramientas d
siguientes:
ft.em-tnt.com
ww.systenan
mode=Produ
ntre estas her
Pasco no re
modo gráfico
t.
rar el histori
mantener su p
registro que
egularmente
inar el archi
n un archiv
a de cálculo
miso a la info
vidad.
olo en modo
mas Linux y
s muy sencil
disponibles p
m/files/IdatSc
nce.com/dow
ucts&act=DL
rramientas y
equiere de n
o requieren
Ing. Victor
ial de Intern
privacidad, p
e contiene e
está oculto
ivo Index.da
vo con text
como Exce
ormación qu
o comando, n
Windows.
lla, la sintax
para reconst
can.exe)
wnload/index
L&p=index.
y Pasco, que
ingún tipo d
que se insta
r Adrian Hern
net con her
pero en siste
el historial d
y no pued
at, el cual es
to delimitad
el. Pasco bri
e hay en la
no requiere d
is que debe
truir el arch
xdat-setup.ex
.datsuite&g=
e es la herra
de Instalació
len en el sis
nández Jimén
rramientas q
emas Window
de las últim
de manipular
s generado p
do, es posib
inda la opci
tabla HASH
de ningún ti
utilizarse es
hivo index.d
xe)
=idsuite.exe)
amienta que
ón y las dem
tema donde
ez.
que
ws
mas
rse
por
ble
ión
H y
ipo
s la
dat,
)
se
más
se
Inform
Pág
Al igu
en don
histori
y la h
index.
archiv
Esta h
history
campo
ID - I
Visit C
First V
mm-dd
Last V
mm-dd
URL
Se deb
guarda
se deb
El com
DORK
mática Forense
gina | 75
3.3.13. Dor
ual que la he
nde están co
ial con las op
herramienta D
dat generad
vo history.da
herramienta
y.dat en un
os:
Identificar
Count - Con
Visit Date
d hh-mm-ss
Visit Date
d hh-mm-ss
-La URL co
be tomar en
a en el direct
be tener en cu
mando para e
K c:\forensi
e sobre Servic
rk
erramienta P
ontenidas la
pciones que
Dork radica
do por Intern
at generado p
funciona e
archivo de
ntador de vis
-Estamp
hora local d
-Estamp
hora local d
ompleta.
n cuenta que
torio donde
uenta no ree
ejecutar esta
ics\history.d
cios de Red.
Pasco, esta h
a lista de UR
ofrece el ex
principalme
net Explorer
por Mozilla F
en modo c
texto delimi
sitas
pa de tiempo
del sistema)
pa de tiempo
del sistema)
e el archivo
se encuentra
scribir este a
a herramienta
dat
erramienta e
RL’s, a pesa
xplorador. La
ente en que
y la herram
Firefox.
omando y
itado por tab
o de la prim
o de la prim
de texto qu
a Dork.exe c
archivo.
a debe tener
Ing. Victor
es útil para r
ar de que e
a diferencia
Pasco ayud
mienta Dork
es capaz d
buladores qu
mera vez qu
mera vez qu
ue se crea a
con el nombr
la siguiente
r Adrian Hern
reconstruir e
l usuario ha
entre la herr
da a reconstr
es útil para
de reconstru
ue contiene
e se visito e
e se visito e
al ejecutar e
re “history.tx
sintaxis:
nández Jimén
el archivo .d
aya borrado
ramienta Pas
ruir el archi
a reconstruir
uir el archi
los siguient
el sitio (yyy
el sitio (yyy
l comando,
xt”, por lo q
ez.
dat,
el
sco
ivo
el
ivo
tes
yy-
yy-
se
que
Inform
Pág
3.4
El viso
ya que
puede
se pue
aplicac
Retrie
para r
especi
operat
mática Forense
gina | 76
4. Herram
instantá
3.4.1. Vis
or de suceso
e es provista
observar las
ede observa
ción como s
3.4.2. Her
ver es una h
realizar búsq
ial énfasis su
tivo Window
e sobre Servic
mientas út
ánea.
sor de suces
os es una he
a por el sist
s veces que
ar las cuenta
e puede obs
rramientas
herramienta q
quedas de ar
u característi
ws y que al
cios de Red.
iles para l
os.
rramienta qu
tema operati
se han inici
as de correo
ervar en la f
Figura
de búsqued
que está incl
rchivos, mai
ica al busca
l analizarlo
la búsque
ue en genera
ivo. Para es
ado sesión d
o electrónico
figura 13.
a 13. Visor de su
da (Retrieve
luida en el li
il, videos, im
r imágenes q
con esta he
Ing. Victor
eda de evid
al es utilizad
ste caso en l
desde la apli
o con las q
cesos.
er)
ive CD Heli
mágenes, etc
que no son a
erramienta s
r Adrian Hern
dencia en
da para el an
la sección “
icación MSN
que se ha ac
ix. Esta herra
c. Para este
accesibles de
si es posible
nández Jimén
mensajer
nálisis forens
aplicación”
N Messenger
ccedido a es
amienta es ú
capítulo tie
esde el sistem
e acceder. P
ez.
ría
se,
se
r y
sta
útil
ene
ma
Por
Inform
Pág
ejemp
Aunqu
viene
Otro d
archiv
en la r
Otra o
para
Setting
aparec
cada u
Se eje
encont
/media/
local/Te
/media/
Internet
/media/
local/Te
Cada
última
evento
mática Forense
gina | 77
lo, la carpe
ue también p
incluido en e
directorio qu
vos Recibido
red.
opción que O
este caso
gs\usuario\C
cerá la lista d
uno de ellos
ecuta la ap
trados:
/sda1/Documen
emp/Messenge
/sda1/Documen
t/Content.IE5/D
/sda1/Documen
emp/Messenge
uno de esto
a vez que se
os.
e sobre Servic
eta llamada
puede usarse
el live CD B
ue debe anal
os”. En este
Ofrece MSN
o se deb
Configuració
de los usuari
se puede com
plicación y
nts and Setting
erCache/tIK+UE
nts and Setting
DDL43NI2/tLh2
nts and Setting
erCache/35lrOK
os archivos t
accedió a él
cios de Red.
Messenger
e otras herram
Back Track.
izar y donde
directorio se
Messenger
be verifica
n local\Da
ios que han
mprobar que
como ejem
gs/vick/Configu
ED5wjzesa6vd
gs/jan/Configur
2A4709356-01[
gs/vick/Configu
KdsGRedIDhK
tiene una es
, lo que pued
Cache com
mientas para
e se puede b
e puede enco
es comparti
ar en la
atos de p
iniciado sesi
e informació
mplo vemos
raci\Uffffffffn
dd+iVuVYToY=
aci\Uffffffffn loc
[1].jpg
raci\Uffffffffn
6QzkUT2F2FG
tampa de tie
de ser útil pa
Ing. Victor
mo se observ
a este fin, po
buscar eviden
ontrar la info
ir una carpet
a dirección
programa\Mi
ión en MSN
ón comparten
los siguien
=
cal/Archivos tem
Ghg=
empo de cu
ara deducir a
r Adrian Hern
va en la fig
or ejemplo el
ncia, es el d
ormación qu
ta con algún
n “C:\Doc
icrosoft\Mes
N Messenger
n y con que c
ntes archivo
mporales de
uando fue m
actividades y
nández Jimén
gura 14 y 1
l buscador q
directorio “M
ue se compar
otro contac
cuments a
ssenger”, a
y al acceder
contacto.
os que fuer
modificado y
y correlacion
ez.
15.
que
Mis
rte
to,
and
ahí
r a
ron
la
nar
Inform
Pág
mática Forense
gina | 78
e sobre Servic
Figura 1
cios de Red.
Figura 14. B
5 Imágenes enc
Busqueda con Re
ontradas con la
Ing. Victor
etriever 2.0
herramienta Re
r Adrian Hern
etriever.
nández Jimén
ez.
Inform
Pág
Sin du
las con
puede
desea
defect
ser mo
format
mientr
Desde
“guard
Setting
Aunqu
que es
Messa
format
mática Forense
gina | 79
3.4.3. Log
uda de lo má
nversaciones
garantizar
guardarlas
to se guarda
odificado es
tos, es que
ras que en fo
e el panel d
dar todas la
gs\vick\Misd
ue esta pued
s almacenad
ageLog, el c
to mostrado
e sobre Servic
g de conver
ás interesant
s. Desafortu
que se encu
o no, si s
en archivos
ste valor a u
en el form
ormato txt so
de control d
as conversac
documentos\
e ser modifi
do es de tipo
cual es una h
en la figura
Figura 16 G
cios de Red.
saciones.
te que un an
unadamente,
uentre evide
seleccionar g
s de tipo rtf,
un tipo de a
mato rtf guar
olo guarda la
de MSN Me
ciones” y e
\Misarchivo
cada por el u
o XML y en
hoja de estil
numero 18.
uardar conversa
alista busca
estas no se
ncia de este
guardar de
como se m
archivo texto
rda la conve
a conversació
essenger el
estas se gua
srecibidos\U
usuario com
n la misma c
lo y permite
aciones desde la
Ing. Victor
de evidenci
guardan por
e tipo. El us
sde la vent
muestra en la
o. La difere
ersación con
ón sin forma
usuario pue
ardan en la
Usuario_de_m
mo se muestra
carpeta se g
e visualizar
a ventana de co
r Adrian Hern
ia en MSN M
r defecto, po
suario debe
ana de conv
a figura 16. A
encia princip
n formato y
ato.
ede seleccio
a ruta C:\Do
msn\Historia
a en la figura
guarda un ar
los archivos
nversación.
nández Jimén
Messenger s
or lo que no
seleccionar
versación, p
Aunque pue
pal entre est
y manuscrito
onar la opci
ocuments a
al por defec
a17, el archi
chivo llama
s XML con
ez.
on
se
si
por
ede
tos
os,
ión
and
to.
ivo
ado
el
Inform
Pág
Es un
instant
Messe
contra
mática Forense
gina | 80
3.4.4. Me
na herramien
tánea, para
enger. Esta
aseña” como
e sobre Servic
Figura
Figura
essenPass
nta útil par
este caso t
herramienta
se muestra
cios de Red.
17. Opción para
18. Opción para
ra recuperar
tomaremos
a solo es út
en la figura
a guardar histor
a guardar histor
r contraseña
solamente l
til si el usu
19.
Ing. Victor
rial de conversa
rial de conversa
as de vario
la funcional
uario selecci
r Adrian Hern
ciones.
ciones.
os clientes d
lidad que b
ionó la opci
nández Jimén
de mensajer
brinda a MS
ión “Record
ez.
ría
SN
dar
Inform
Pág
Messe
cual m
se mu
logran
13.
/stext
/stab <
/scomm
/stabul
/shtml
/sverh
/sxml
mática Forense
gina | 81
enPass no ne
muestra en fo
uestra en la f
ndo exportar
<Filename>
<Filename>
ma <Filenam
lar <Filenam
l <Filename>
html <Filenam
<Filename>
e sobre Servic
ecesita instal
orma de tabl
figura 20. E
los resultad
Tabla 1
> Guard
Guardpor ta
me> Guardpor co
me> Guard
> Guardhorizo
me> Guardvertic
> Guard
cios de Red.
Figura 19
larse, solo d
la la aplicaci
Esta herrami
dos a diferent
Figu
13. Opciones en
da la lista de
da la lista deabuladores.
da la lista deomas.
da la lista de
da todos las ontal
da todos las cal
da todos las
9MSN Messenge
debe ejecutar
ión, el proto
enta permite
tes tipos de a
ura 20. MessenP
línea de coman
e contraseña
e contraseñas
e contraseñas
e contraseñas
contraseñas
contraseñas
contraseñas
Ing. Victor
er live 8.0
rse, cuenta c
ocolo, el usu
e su uso en
archivos com
Pass.
ndos para Messe
as en un arch
s en un archi
s en un archi
s en un archi
en un archiv
en un archiv
en un archiv
r Adrian Hern
con una inte
uario y la con
modo línea
mo se describ
enPass.
hivo de texto
ivo de texto
ivo de texto
ivo de texto
vo HTML de
vo HTML de
vo XML.
nández Jimén
erfaz gráfica
ntraseña com
a de comand
ben en la tab
o.
delimitado
delimitado
tabulado.
e forma
e forma
ez.
la
mo
dos
bla
Inform
Pág
Capí
4.1
Este c
práctic
siguen
un inf
recole
4.2
Para r
entre a
docum
dispon
http://w
0foren
Y el
EXAM
http://w
%20in
Entre
en cue
la evid
poder
ser do
Otro d
es el d
Incide
mática Forense
gina | 82
ítulo 4.
1 Resume
capítulo se e
co, se menc
n para resolv
forme de ca
ctada, un bre
2 Anteced
realizar este
algunas de la
mento “G8 p
nible en:
www.ioce.o
nsic%20evid
documento
MINATION
www.ioce.o
n%20Examin
lo más desta
enta al recole
dencia no de
la evidencia
cumentada p
documento m
documento N
ent Response
e sobre Servic
Aplica
en
enfoca en a
ciona brevem
ver este caso
alidad legal,
eve análisis
dentes
caso se tom
as recomend
proposed Pr
rg/fileadmin
dence.pdf
o “GUIDEL
OF DIGITA
rg/fileadmin
nation%20of
acado de est
ectar, almace
ebe de camb
a es responsa
para su revis
muy importan
NIST SP800
e” disponibl
cios de Red.
ación a u
aplicar las h
mente las re
. Se plantea
, en donde
de la eviden
man en cuent
daciones que
rinciples for
n/user_uploa
LINES FO
AL TECHNO
n/user_uploa
f%20Digital
tos documen
enar o transf
biar sus prop
able de ella
sión.
nte que se co
0-86 titulado
le en http://c
un caso p
herramientas
ecomendacio
el panorama
se muestran
ncia, posibles
ta las mejore
e se toman en
r the Proce
ad/2002/G8%
OR BEST
OLOGY”, di
ad/2002/Guid
l%20Evid.pd
ntos, se mue
ferir evidenc
piedades al a
y toda activ
onsidera y d
o “Guide to
csrc.nist.gov
Ing. Victor
práctico
propuestas
ones del NIS
a general del
n: los datos
s amenazas y
es prácticas
n cuenta, tom
edures Relat
%20Proposed
PRACTICE
isponible en
delines%20f
df.
stran las acc
cia, aseguran
analizarla, la
idad realizad
del cual se sig
Integrating
v/publication
r Adrian Hern
en esta tes
ST y de la
l caso prácti
del equipo
y recomenda
dadas intern
mamos com
ting to digi
d%20princip
E IN THE
n:
for%20Best%
ciones que s
ndo su integr
a persona qu
da sobre la e
guen sus rec
Forensic Te
ns/nistpubs/8
nández Jimén
sina a un ca
IOCE, que
ico y se gene
o, la evidenc
aciones.
nacionalmen
mo referencia
ital evidence
ples%20for%
E FORENS
%20Practice
e deben tom
ridad. Es dec
ue tenga en
evidencia de
comendacion
echniques in
800-86/SP80
ez.
aso
se
era
cia
nte,
a el
e”,
%2
IC
es
mar
cir,
su
ebe
nes
nto
00-
Inform
Pág
86.pdf
resum
inform
proces
recole
como
4.3
Este c
utiliza
registr
Con es
y pági
estudio
activid
lo hag
contra
datos s
4.4
Todos
a que
compr
propue
utiliza
mática Forense
gina | 83
f, en el cual
miéndolo en
mación de la
sos forenses
ctada se real
las acciones
3 Descripc
caso consiste
ado en una
rar reportes d
ste equipo, s
inas web de
o sobre el e
dades que no
gan público
aseñas que d
son consider
4 Informe
s los proceso
no se mod
renden este
estas que ha
adas por cual
e sobre Servic
se describe
cuatro eta
as fuentes m
con método
liza un análi
s y las herram
ción del ca
e en aplicar
oficina, el e
de ventas en
se accede a p
institucione
quipo, debid
o benefician
o lo comp
den acceso a
rados como
e Forense d
os que se sigu
difica la in
análisis for
an sido util
lquier analis
cios de Red.
e el proceso
apas: Colecc
más relevant
os manuales
isis, reporte;
mientas utiliz
aso práctic
el proceso f
equipo de c
n formatos W
páginas de p
s bancarias.
do a que sos
al negocio,
prometan se
a su informa
anónimos.
de calidad
uen en la rea
ntegridad de
ense. Los p
izadas para
ta forense ob
que debe se
ción; se ide
tes, inspecci
o automatiza
los resultad
zadas.
co
forense a un
cómputo tien
Word y Exce
proveedores d
El dueño de
specha que s
pero estable
an omitidos
ación person
d legal
alización de
la informa
procedimient
la realizaci
bteniendo el
Ing. Victor
eguirse al re
entifican, a
ión; colecció
ados, análisi
dos del análi
n equipo de
ne como pro
el, cuenta co
de materia p
el negocio p
sus emplead
eció como co
s, como lo
al, por tal m
este caso, so
ación en nin
tos en conju
ión de esta
l mismo resu
r Adrian Hern
ealizar un an
almacenan y
ón de los d
is; con toda l
sis deben se
cómputo típ
opósito ser
n una conex
prima, página
permitió que
dos utilizan e
ondición que
es su nomb
motivo en el
on de calidad
nguna de la
unto con las
investigació
ultado.
nández Jimén
nálisis forens
y se adquie
datos median
la informaci
r descritos, a
pico, el cual
utilizado pa
xión a Intern
as de gobier
se realizara
el equipo pa
e los datos q
bre, cuentas
informe est
d legal, debi
as etapas q
s herramient
ón pueden s
ez.
se,
ere
nte
ión
así
es
ara
net.
rno
a el
ara
que
s y
tos
do
que
tas
ser
Inform
Pág
ÁED
PN
S
D MM
TNIC Dhc PhyNetw
N
R
mática Forense
gina | 84
ÁREA ESPELABORADURACIÓN
PROPIETANOMBRE D
CÓMPUSISTEMA O
DD/PARTI
MEMORIAMARCA/M
T. RED/MAC Fast Etherncp Server: ysical Addresworking DnsNO. DE SE
Resultados
Se analiz
usa el se
Se encon
redes so
con las q
el horari
No se e
analizam
e sobre Servic
I
PECÍFICA: ADO POR:
N DE LA IN1ID
ARIO DE EQUIPOUTO OPERATIV
CIONES
A MODELO
AC net PCI Fam
ss: s Server: RIE
zaron los se
ervicio Web
ntró evidenc
ciales como
que han inici
o en que se c
encontró ni
mos un correo
cios de Red.
Tabla 14.
NFORME D
NVESTIGA15 Enero 20DENTIFICA
O DE
VO
4
ilia RTL813
ervicios de re
para activid
cia que mue
o hi5 y sónic
iado sesión
conectan a M
ingún corre
o electrónico
Informe de Calid
DE CALID
OFVíc
ACIÓN: 09 al 30 EnACION DE
ANÓNIMANÓNIM
Window(buil
40.02 GB
Slot 'DIMSony Co
2847
39 de Realtek192.168.00:E0:18192.168.
300
ed para este
dades que no
estra la visita
co. Se encon
en MSN Me
MSN Messen
eo con evid
o con las her
Ing. Victor
dad Legal.
AD LEGAL
FICINA ctor Adrian H
ero del 2009EL ACTIVOMO MO
ws XP Profesld 2600)
23.38 GB
MM 2' has 2orporation PC71032
k 1.254
8:B3:02:5E1.254 06218
e equipo, se
o están relac
a a sitios p
ntraron toda
essenger y se
nger.
dencia pero
rramientas d
r Adrian Hern
L
Hernández J
9 O
ssional Servi
B free, C:NTF
56 MB CV-RX83M
encontró qu
cionadas con
para adultos
as las cuenta
e encontró u
o para fine
descritas en e
nández Jimén
Jiménez.
ice Pack 2
FS
M(LA)
ue el usuario
n el negocio.
y el uso de
as de correo
un padrón en
es prácticos
esta tesina.
ez.
o
.
e
o
n
s
Inform
Pág
O
A
Objet
Conoc
negoci
sea uti
esté re
Person
El ana
sistem
Person
El Ana
Durac
Del 15
mática Forense
gina | 85
Oportunida
Se recom
contenid
recomien
actividad
usando M
Amenazas
Con la v
estos siti
crear enl
también
puede ro
tivo de la In
cer si el equ
io en los ser
ilizado para
ealizando su
nas u organ
alista forens
ma y emplead
nas u organ
alista Forens
ción de la in
5 de enero de
e sobre Servic
ades de mejo
mienda utili
do para evit
nda también
des relaciona
MSN Messen
visita a sitio
ios son utiliz
laces a sitios
backdoors,
obar informa
vestigación.
uipo de cóm
rvicios de re
actividades
trabajo.
nizaciones im
se, el dueño
dos del nego
nizaciones p
se.
nvestigación
e 2009 al 30
cios de Red.
ora
izar un pro
ar que se v
n crear u
adas con el
nger para el
os pornográf
zados para q
s pornográfi
lo que sign
ación.
Contexto d
.
mputo es uti
ed HTTP, C
que perjudi
mplicadas
o del negoc
cio.
participante
n
0 de enero de
xy o algun
visiten sitios
na cuenta d
negocio co
propósito de
ficos existe
que el usuario
cos, cambia
ifica que un
de la investi
ilizado única
Correo Electr
iquen al neg
io y 2 pers
s en la inves
e 2009
Ing. Victor
na herramien
s con conten
de correo q
on esto se pe
eseado.
una amenaz
o descargue
ar la página d
n intruso pue
igación
amente para
rónico y Me
gocio o que
sonas que fu
stigación
r Adrian Hern
nta que per
nido inapro
que solo se
ermite audit
za de seguri
virus, los cu
de inicio y p
ede acceder
a actividades
ensajería Ins
distraigan a
fungen como
nández Jimén
rmita filtrar
opiado y se
utilice para
tar si se está
idad, ya que
uales pueden
pueden crear
al equipo y
s referentes
stantánea, y
al usuario y
o usuarios d
ez.
r
e
a
á
e
n
r
y
al
no
no
del
Inform
Pág
Accion
Inform
filtrad
Adem
autoriz
Se deb
correo
Accion
Se rev
Belarc
Se apl
eviden
recom
uso in
mática Forense
gina | 86
nes del equi
mar al admin
do de conteni
más, se debe
zadas para u
be crear una
o electrónico
nes de los in
visaron las a
c Advisor.
licaron todas
ncia sobre lo
mendaciones
apropiado d
e sobre Servic
ipo de respu
nistrador la i
ido para blo
e crear una
utilizar esta h
a política qu
o, en el client
nformáticos
aplicaciones
s las herrami
os servicios
del NIST y
el equipo de
cios de Red.
uesta a incid
importancia
oquear acces
política so
herramienta.
ue prohíba qu
te de mensaj
s forenses
s instaladas
Figura 21. R
ientas listada
de red SMT
de la IOCE,
e cómputo.
dencias
de implem
o a páginas w
obre el uso
ue las contr
jería instantá
que son uti
Resultados Bela
as en esta tes
TP, HTTP y
para verific
Ing. Victor
mentar una h
web con con
de MSN M
aseñas se al
ánea y en el
lizadas para
arc Advisor.
sina para obt
Mensajería
car si existen
r Adrian Hern
herramienta q
ntenido inapr
Messenger
lmacenen en
explorador w
a los servici
tener la may
a Instantánea
n incidentes d
nández Jimén
que permita
ropiado.
y las cuent
n el cliente
web.
os de red c
yor cantidad
a siguiendo l
de seguridad
ez.
el
tas
de
con
de
las
d y
Inform
Pág
Identila inve
PN
S D MM
T
N
Infoa re
Hist
Coo
Pass
Cac
BúsFavRec
dinde
HRec
d
mática Forense
gina | 87
ificación de estigación
PROPIETANOMBRE D
CÓMPUSISTEMA O
DD/PARTI
MEMORIAMARCA/M
T. RED/MA
NO. DE SE
ormación ecolectar.
torial
okies
swords
che
squedas voritos onstrucciónde ex.dat eHistory .datonstrucciónde cookies
e sobre Servic
equipo de c
T
ARIO DE EQUIPOUTO OPERATIV
CIONES
A MODELO
AC
RIE
Herram
Tabla 16. Herr
Her
IEH
IEC
IEP
IEC
n
e t
Pas
n Gal
cios de Red.
cómputo, sis
Tabla 15. Identif
O DE
VO
ientas usad
ramientas dispo
rramientas para Internet Explorer
HistoryView
CookiesView
PassView
CacheView
sco
lleta
stemas y dis
ficación del equ
AnAn
Wi
40.02 G
256Son
NIC Fade ReaDhcp SPhysicNetwo
300
as durante
nibles para reco
He
w Mo
w Mo
Pas
Mo
Do
Ing. Victor
spositivos p
ipo de cómputo
nónimo nónimo
indows XP PPack 2 (bui
GB 23.38 C:NT
6 MB RAMny Corporati28471032
ast Ethernet altek Server: cal Address:rking Dns: 06218
la investiga
olección de evid
erramientas Mozilla Fir
ozillaHistory
ozillaCookie
sswordFox
ozillaCacheV
ork
r Adrian Hern
eriféricos im
o.
Professional ild 2600) GB free FS
ion PCV-RX
PCI Familia
192.168.1 00:E0:18:
192.168.1
ación.
encia en Web.
para reFox
yView
esView
View
nández Jimén
mplicados e
Service
X83M(LA)
a RTL8139
1.254 :B3:02:5E 1.254
Para amcasos
mylastseafaview
ez.
en
mbos s
arch
Inform
Pág
Herra
Descrque ti
Toda l
ser rep
origina
Anális
Una v
al anal
Los ar
Result URL Title Hits ModifExpiraUser NSubfol
mática Forense
gina | 88
Tabla
amientas dis
Tabla
ipción de laene y de las
la evidencia
petido por cu
ales pueden
sis de la evid
ez que se ap
lizarlos se en
rchivos con l
tados con IE
: htt : 561 : 9
fied Date ation Date :Name : lder :
e sobre Servic
17. Herramient
MWNT
sponibles pa
18. Herramient
MVBE
a evidencias garantías d
que fue pos
ualquier ana
n ser compro
dencia enco
plicaron las h
ncuentro lo s
la evidencia
E HISTORY
tp://downloa7ÓÎÏ·ÏÂÔØÕ
: 18/11/2008: 14/12/2008Propietario
cios de Red.
tas disponibles p
Mail PassViWhois Nslookup Traceroute
ara Mensaje
tas disponibles p
MSNPass. Visor de sucBuscador Explorador
a encontradde integrida
sible recolect
lista forense
obados media
ontrada
herramientas
siguiente;
se encuentra
Para el
Y VIEW
ad.5617.comÕ¾ ÍøÂçÓÎÏ
8 01:20:25 p8 01:13:16 p
para recolección
ew
ería Instant
para la recolecci
cesos.
da y considead
tar es de cal
e obteniendo
ante un hash
s se obtuvier
an en el dire
servicio W
m Ï·_µ¥»úÓÎÏ·_
.m.
.m.
Ing. Victor
n de evidencia e
tánea.
ión de evidencia
eraciones so
lidad probad
o los mismo
h.
ron archivos
ectorio Evide
WEB.
_PSP_³£ÓÃ
r Adrian Hern
en correo electró
a en MSN Messe
obre la cali
da ya que el
s resultados
de texto con
encia.
ÃÈí¼þÃâ·ÑÏÂ
nández Jimén
ónico.
enger.
idad proba
proceso pue
y los archiv
n la evidenc
ÂÔØ
ez.
da
ede
vos
cia,
Inform
Pág
URL Title Hits ModifExpiraUser NSubfol
URL Title Hits ModifExpiraUser N
mática Forense
gina | 89
: htt : ???? : 7
fied Date ation Date :Name : lder :
: htt : ???? : 5
fied Date ation Date :Name :
e sobre Servic
tp://www.gjs????????????
: 18/11/2008: 14/12/2008Propietario
tp://www.ell????????????
: 18/11/2008: 14/12/2008Propietario
cios de Red.
smyy.cn ???????????
8 12:27:14 p8 12:27:16 p
Figura 22. h
lechina.com/???????????
8 12:30:20 p8 12:23:12 p
???????????
.m.
.m.
http://download
/decoration/b??
.m.
.m.
Ing. Victor
????????
d.5617.com
beautyfulhom
r Adrian Hern
me/caihong
nández Jiménez.
Inform
Pág
Subfol
URL:hvideojTitle DondeHits ModifExpiraUser NSubfol
mática Forense
gina | 90
lder :
http://listadouegos/_Disp : Me
e comprar y : 5
fied Date ation Date :Name : lder :
e sobre Servic
Figura 23. http
o.mercadolibplayType_GercadoLibre Mvender de to
: 13/11/2008: 09/12/2008Propietario
cios de Red.
p://www.ellechi
bre.com.mx/cG_OtherFilter
México - Coodo.
8 12:31:37 p8 12:31:38 p
ina.com/decora
consolas-rID_MPAGOonsolas y Vi
.m.
.m.
Ing. Victor
ation/beautyfulh
O ideojuegos -
r Adrian Hern
home/caihong
Consolas y
nández Jimén
Videojuego
ez.
os -
Inform
Pág
F
mática Forense
gina | 91
igura 25. http://
e sobre Servic
/listado.mercad
cios de Red.
Figura 24
dolibre.com.mx/
4. http://www.g
/consolas‐video
Ing. Victor
gjsmyy.cn
ojuegos/_Display
r Adrian Hern
yType_G_Other
nández Jimén
rFilterID_MPAGO
ez.
O
Inform
Pág
URL Title Hits ModifExpiraUser NSubfol
URL Title Hits ModifExpiraUser NSubfol
mática Forense
gina | 92
: htt : ¦¨¤H : 1
fied Date ation Date :Name : lder :
: htt : : N/A
fied Date ation Date :Name : lder :
e sobre Servic
tp://www.sexH¼v°|¡X¡X-º
: 25/11/2008: 21/12/2008Propietario
Figura 26. h
tp://www.so
A : N/A : N/A
cios de Red.
xdvd2000.coº-¶
8 10:02:23 a8 10:02:24 a
http://www.sex
nico.com/
om/index.ph
.m.
.m.
xdvd2000.com/
Ing. Victor
hp?id=t1459
/index.php?id=t1
r Adrian Hern
16557
145916557
nández Jimén
ez.
Inform
Pág
Result Web sUser FilenaSize Hits AccesModifCreateKey Value DomaModifExpiraSecureCreate
mática Forense
gina | 93
tados con IE
site : h : pr
ame : : 91 : 10sed Date
fied Date ed Date : Em : ab
ain : fied Date ation Date e : Ned In :
e sobre Servic
ECookiesVie
hi5.com ropietario propietario@7 6 : 13/08/200 : 13/08/200: 13/08/2008mail braham_94_hi5.com : 13/08/200 : 12/09/200
No Server
cios de Red.
Figura 27.
w
@hi5[2].txt
08 12:36:14 08 12:36:13 8 12:36:14 p
_07@hotmai
08 12:27:57 08 12:27:51
http://www.so
p.m. p.m.
p.m.
il.com
p.m. p.m.
Ing. Victor
onico.com/
r Adrian Hernnández Jiménez.
Inform
Pág
Web sUser FilenaSize Hits AccesModifCreate This c Key Value DomaModifExpiraSecureCreate
mática Forense
gina | 94
site : s : pr
ame : : 32 : 4 sed Date
fied Date ed Date
cookie file co
: id : t1
ain : fied Date ation Date e : Ned In :
e sobre Servic
sexdvd2000.ropietario propietario@
27
: 25/11/200 : 25/11/200: 25/11/2008
ontains 4 coo
d 145916557 sexdvd2000 : 25/11/200 : 25/11/200
No Server
cios de Red.
Fi
.com
@sexdvd200
08 10:02:10 08 10:02:10 8 10:02:10 a
okies:
0.com 08 10:02:10 09 09:01:13
igura 28. hi5.com
00[2].txt
a.m. a.m.
a.m.
a.m. a.m.
Ing. Victor
m
r Adrian Hernnández Jiménez.
Inform
Pág
Key Value DomaModifExpiraSecureCreate Key Value DomaModifExpiraSecureCreateKey Value Doma
mática Forense
gina | 95
: On : 2
ain : fied Date ation Date e : Ned In :
: co : 1
ain : fied Date ation Date e : Ned In : : da : 2
ain :
e sobre Servic
neTime 008-11-25 0sexdvd2000 : 25/11/200 : 25/11/200
No Server
ount
sexdvd2000 : 25/11/200 : 25/11/200
No Server
ate 008-11-25 0sexdvd2000
cios de Red.
09:01:13 0.com 08 10:02:10 09 09:01:13
0.com 08 10:02:10 09 09:01:13
09:01:13 0.com
Figura
a.m. a.m.
a.m. a.m.
a 29. sexdvd2000
Ing. Victor
0.com
r Adrian Hernnández Jiménez.
Inform
Pág
Result FilenaContenURL Last ALast MExpiraHits File SiSubfolFull PtempoMissin FilenaContenURL Last ALast MExpiraHits File SiSubfolFull PtempoMissin FilenaContenURL http://x_5b8dLast ALast MExpiraHits File SiSubfolFull PtempoInterneMissinFilenaContenURL
mática Forense
gina | 96
tados con IE
ame : 1nt Type : : htt
Accessed :Modified :ation Time : 1
ize : 31lder Name
Path orales de Inteng File : N
ame : tint Type : : htt
Accessed :Modified :ation Time : 1
ize : 10lder Name
Path orales de Inteng File : N
ame : 2nt Type :
xxpil.5617.c
ddd566027f5Accessed :Modified :ation Time : 2
ize : 3,4lder Name
Path orales et\Content.IEng File : Name : 2nt Type : : htt
e sobre Servic
ECacheView
_002[1].jpg image/jpeg tp://207.218 25/11/2008 24/11/2008: N/A
,032 : 8JBXLC1 : C:\Docum
ernet\ContenNo
itle[1].jpg image/jpeg tp://207.218 25/11/2008 21/09/2005: N/A
0,990 : 8JBXLC1 : C:\Docum
ernet\ContenNo
20081009_19 image/jpeg
com/pic/56151_s.jpg 25/11/2008 09/10/2008: N/A
459 : MTBMFD : C:\Docum
E5\MTBMFNo
2_004[1].jpg image/jpeg tp://207.218
cios de Red.
w
.251.82/new8 10:02:15 a.8 03:09:32 p.
1C ments and Snt.IE5\8JBXL
.251.82/imag8 10:02:13 a. 08:56:23 a.
1C ments and Snt.IE5\8JBXL
91543001_5
7_oho_syste
8 10:36:46 a.8 05:15:43 a.
DPY ments and S
FDPY\20081
.251.82/new
wdvd710/1_0.m. .m.
Settings\PropLC1C\1_002
ges/title.jpg.m. m.
Settings\PropLC1C\title[1
b8ddd56602
em/User_56
.m. m.
Settings\Prop
1009_191543
wdvd211/2_0
Ing. Victor
002.jpg
pietario\Con2[1].jpg
pietario\Con1].jpg
27f51_s[1].jp
17/Mon_081
pietario\Con
3001_5b8dd
004.jpg
r Adrian Hern
nfiguración l
nfiguración l
pg
10/20081009
nfiguración l
dd566027f51
nández Jimén
local\Archiv
local\Archiv
9_19154300
local\Archiv
1_s[1].jpg
ez.
vos
vos
: 1
vos de
Inform
Pág
Last ALast MExpiraHits File SiSubfolFull PtempoMissin FilenaContenURL Last ALast MExpiraHits File SiSubfolFull PtempoMissin FilenaContenURL http://xif Last ALast MExpiraHits File SiSubfolFull PtempoMissin FilenaContenURL http://xLast ALast MExpiraHits File Si
mática Forense
gina | 97
Accessed :Modified :ation Time : 1
ize : 33lder Name
Path orales de Inteng File : N
ame : 4nt Type : : htt
Accessed :Modified :ation Time : 1
ize : 26lder Name
Path orales de Inteng File : N
ame : 5nt Type :
xxzt.5617.co
Accessed :Modified :ation Time : 1
ize : 3,5lder Name
Path orales de Inteng File : N
ame : 6nt Type :
xxzt.5617.co
Accessed :Modified :ation Time : 1
ize : 4,5
e sobre Servic
25/11/2008 21/09/2005: N/A
3,757 : 8JBXLC1 : C:\Docum
ernet\ContenNo
4_003[1].jpg image/jpeg tp://207.218 25/11/2008 21/09/2005: N/A
6,108 : 8JBXLC1 : C:\Docum
ernet\ContenNo
617_6253e7 image/gif
om/admins/a
18/11/2008 24/04/2008: N/A
544 : 8JBXLC1 : C:\Docum
ernet\ContenNo
6_23082ec6e image/jpeg
om/admins/a 18/11/2008 16/10/2008: N/A
573
cios de Red.
8 10:02:22 a. 09:50:32 a.
1C ments and Snt.IE5\8JBXL
.251.82/gt128 10:02:19 a. 08:51:29 a.
1C ments and Snt.IE5\8JBXL
7601a4_s[1]
attachment/p
8 01:16:28 p.8 12:16:55 a.
1C ments and Snt.IE5\8JBXL
e8b_s[1].jpg
attachment/p8 01:17:01 p.8 11:40:38 p.
.m. m.
Settings\PropLC1C\2_004
2/4_003.jpg.m. m.
Settings\PropLC1C\4_003
.gif
pic/attachme
.m. m.
Settings\PropLC1C\5617_
pic/attachme.m. .m.
Ing. Victor
pietario\Con4[1].jpg
pietario\Con3[1].jpg
ent/Mon_080
pietario\Con_6253e7601
ent/Mon_081
r Adrian Hern
nfiguración l
nfiguración l
04/5617_625
nfiguración la4_s[1].gif
10/6_23082e
nández Jimén
local\Archiv
local\Archiv
53e7601a4_s
local\Archiv
ec6e8b_s.jpg
ez.
vos
vos
: s.g
vos
: g
Inform
Pág
SubfolFull PtempoMissin
Result Para b
el siste
web ch
mática Forense
gina | 98
lder Name Path orales de Inteng File : N
tados con Pa
buscar eviden
ema pertene
hinas y pági
e sobre Servic
: 8JBXLC1 : C:\Docum
ernet\ContenNo
asco para Ind
ncia en este
ecientes al us
inas de rede
cios de Red.
1C ments and Snt.IE5\8JBXL
Figura 30.Re
dex.dat
tipo de archi
suario y se r
s sociales.
Settings\PropLC1C\6_230
esultados con IE
ivos de busc
reconstruyer
Ing. Victor
pietario\Con082ec6e8b_s
ECacheView
caron todos l
ron con Pasc
r Adrian Hern
nfiguración ls[1].jpg
los index.dat
co, se encon
nández Jimén
local\Archiv
t existentes
ntraron págin
ez.
vos
en
nas
Inform
Pág
mática Forense
gina | 99
e sobre Servic
F
F
cios de Red.
Figura 31. Resul
Figura 32. Resul
ltados encontra
ltados encontra
Ing. Victor
dos con Pasco 1
dos con Pasco 2
r Adrian Hern
1
2
nández Jiménez.
Inform
Pág
Result URL http://pe.comFirst VLast VVisit CReferrHost NTitle http://pe.comRecordVisit T URL dl.realayer11First VLast VVisit CReferrHost N
mática Forense
gina | 100
tados con M
pmstrk.merc.mx
Visit Date : Visit Date : Count : 0rer : Name :
pmstrk.merc.mx d Index : Type :
l.com/220c31GOLD_es.eVisit Date : Visit Date : Count : 0rer : Name :
e sobre Servic
F
MozillaHisto
cadolibre.com
17/04/2008 17/04/2008
0
pmstrk.merc
cadolibre.com
64
5be8bf152dexe 22/04/2008 22/04/2008
0
software-dl.
cios de Red.
Figura 33. Resul
oryView
m.mx/jm/Pm
08:50:08 a.m08:50:08 a.m
cadolibre.co
m.mx/jm/Pm
d7d705/wind
08:08:02 a.m08:08:02 a.m
.real.com
ltados encontra
msTrk?tool=
m. m.
om.mx
msTrk?tool=
dows/installe
m. m.
Ing. Victor
dos con Pasco 2
=343963&go
=343963&go
er/stubinst/stu
r Adrian Hern
2
o=http://www
o=http://www
: hub/rp11/R41
nández Jimén
w.mercadolib
w.mercadolib
http://softwar1MXD/RealP
ez.
: br
: br
re-Pl
Inform
Pág
Title dl.realayer11RecordVisit T URL First VLast VVisit CReferrHost NTitle RecordVisit T URL First VLast VVisit CReferrHost NTitle RecordVisit T URL First VLast VVisit CReferrHost NTitle RecordVisit T URL First VLast VVisit CReferrHost NTitle RecordVisit T
mática Forense
gina | 101
l.com/220c31GOLD_es.ed Index : Type :
: httVisit Date : Visit Date : Count : 0rer : Name :
: Se hd Index : Type :
: httVisit Date : Visit Date : Count : 0rer : Name :
: httpd Index : Type :
: httVisit Date : Visit Date : Count : 0rer : Name :
: httpd Index : Type :
: httVisit Date : Visit Date : Count : 0rer : Name :
: Thed Index : Type :
e sobre Servic
5be8bf152dexe 101
tp://toolbar.g24/04/2008 24/04/2008
0
toolbar.googha instalado
183
tp://www.8817/04/2008 17/04/2008
0
888.com ://www.88885
tp://www.fre16/04/2008 16/04/2008
0
freelotto.com://www.free155
tp://www.ma22/04/2008 22/04/2008
0
manolito.co Manolito P104
cios de Red.
d7d705/wind
google.com/08:16:15 a.m08:16:15 a.m
gle.com la barra Goo
88.com/es/?s09:09:16 a.m09:09:16 a.m
.com/es/?sr=
eelotto.com/08:51:50 a.m08:51:50 a.m
m elotto.com/of
anolito.com/08:05:52 a.m08:05:52 a.m
om 2P experienc
dows/installe
T4/intl/es/dom. m.
ogle.
sr=380626&fm. m.
=380626&fla
offer.asp?ofm. m.
ffer.asp?offe
/home/?ver1m. m.
ce
Ing. Victor
er/stubinst/stu
one.html
flag=0001
ag=0001
ffer=1059247
er=1059247
=1.1.9
r Adrian Hern
: hub/rp11/R41
7
nández Jimén
http://softwar1MXD/RealP
ez.
re-Pl
Inform
Pág
URL First VLast VVisit CReferrHost NTitle RecordVisit T URL http://wA2zbKFirst VLast VVisit CReferrHost NTitle http://wA2zbKRecordVisit T
mática Forense
gina | 102
: httVisit Date : Visit Date : Count : 0rer : Name :
: httpd Index : Type :
www.sonicoKUzxFdtvd3Visit Date : Visit Date : Count : 0rer : Name :
www.sonicoKUzxFdtvd3d Index : Type :
e sobre Servic
tp://www.my16/04/2008 16/04/2008
0
mypersonal://www.myp148
o.com/n/land3f 09/04/2008 09/04/2008
0
sonico.com
o.com/n/land3f
145
F
cios de Red.
ypersonalexp09:05:58 a.m09:05:58 a.m
expression.cpersonalexpr
ding7.php?ri
09:35:10 a.m09:35:10 a.m
ding7.php?ri
Figura 34. Result
pression.comm. m.
com ression.com/
d=4xAMxM
m. m.
d=4xAMxM
tados con Mozil
Ing. Victor
m/order.pd
/order.pd
MXxAll&ce_
MXxAll&ce_
laHistoryView 1
r Adrian Hern
_cid=000bns
_cid=000bns
1.
nández Jimén
s00aAr83toD
s00aAr83toD
ez.
: Db
: Db
Inform
Pág
Result Con la =====RecordWeb SUser NPasswUser NPasswSignon
mática Forense
gina | 103
tados con P
a herramient
=========d Index :
Site : hName :
word : Name Field
word Field ns File : s
e sobre Servic
F
F
PassFox
ta PasswordF
==========1
http://www.sodolphin_blu
: textfield12: signons.txt
cios de Red.
Figura 35. Result
Figura 36. Result
Fox se obtuv
=========
onico.com ue190606@h
2
tados con Mozil
tados con Mozil
vieron alguno
==========
hotmail.com
Ing. Victor
laHistoryView 2
laHistoryView 3
os usuarios
=========
m
r Adrian Hern
2.
3.
y contraseñ
====
nández Jimén
as.
ez.
Inform
Pág
===== =====RecordWeb SUser NPasswUser NPasswSignon===== =====RecordWeb SUser NPasswUser NPasswSignon
Result En las
histori
mática Forense
gina | 104
=========
=========d Index :
Site : hName :
word : JName Field
word Field ns File : s=========
=========d Index :
Site : hName :
word : Name Field
word Field ns File : s
======
tados con IE
s cookies se
ial, y no tien
e sobre Servic
==========
==========2
http://www.saJIOMITIDO
JIOMITIDO7 : username : signons.txt
==========
==========3
http://www.mdolphin_blu
: textfield12: signons.txt =========
Ecacheview
encontró in
ne ningún val
cios de Red.
=========
=========
at.gob.mx OAA 7
=========
=========
myspace.comue190606@h
2
=========
Figura 37
w y Mozillac
nformación s
lor mostrar n
==========
==========
==========
==========
m hotmail.com
=========
.Resultados con
acheview.
sobre los mi
nuevamente
Ing. Victor
=========
=========
=========
=========
m
=========
n PassFox.
ismos sitios
la misma ev
r Adrian Hern
====
====
====
====
==========
que se enc
videncia.
nández Jimén
===
contraron en
ez.
el
Inform
Pág
Result Se rec
obtuvo
Result No se en Mo Result El mot http://whttp://wIMSS KarpeSAT TRAJE
mática Forense
gina | 105
tados con D
construyó ta
o con la herr
tados con F
encontraronozilla/Firefox
tados con M
tor de búsqu
www.imss.gwww.kasper
rski
E TIPICO D
e sobre Servic
Dork history
ambién el ar
ramienta Mo
Faview
n archivos x que represe
Mylastsearc
ueda usado e
gob.mx/tramrsky.com.mx
DE VERACR
cios de Red.
y reader.
rchivo histo
ozillahistoryV
Figura 3
clasificadosenten eviden
ch
es Google, pe
mites x/
RUZ
ory.dat y co
View.
38.Resultados co
con favoritncia.
ero solo se e
Ing. Victor
ontenía la m
on Dork
os en Intern
encontraron l
r Adrian Hern
misma inform
net Explorer
los siguiente
nández Jimén
mación que
ni marcador
es resultados
ez.
se
res
s.
Inform
Pág
Result Se enc
mática Forense
gina | 106
tados obten
contraron 2 c
e sobre Servic
nidos con M
cuentas alma
cios de Red.
Figu
Mensaje
SNPass
acenas para M
Fig
ura 39 Mylastsea
ería Instantá
MSN Messe
gura 40. MSNPa
Ing. Victor
arch
ánea.
enger.
ass
r Adrian Hernnández Jimén
ez.
Inform
Pág
ResultPara e
por ca
accedi
mática Forense
gina | 107
tados con eleste caso al b
ategoría ESE
ido a la aplic
e sobre Servic
l Visor de subuscar en el
ENT, en es
cación.
cios de Red.
ucesos l visor de su
ste caso sol
Figura 41. Resu
ucesos, para
lo se encon
ultados con Viso
Ing. Victor
facilitar la b
ntraron dos
or de sucesos 1.
r Adrian Hern
búsqueda p
cuentas con
nández Jimén
podemos filtr
n las que h
ez.
rar
han
Inform
Pág
Result En el d
mática Forense
gina | 108
tado de la B
directorio m
e sobre Servic
Búsqueda de
mis archivos r
cios de Red.
Figura 42. Resu
e informaci
recibidos, no
ultados con Viso
ón en Otros
o se encontró
Ing. Victor
or de sucesos 2
s directorios
ó informació
r Adrian Hern
s.
ón para este u
nández Jimén
usuario.
ez.
Inform
Pág
En Me
contac
mática Forense
gina | 109
essenger Cac
ctos con los q
e sobre Servic
che, se encon
que este usu
cios de Red.
Figura 43
ntraron algu
uario ha tenid
3. Búsqueda de a
unas imágene
do comunica
Ing. Victor
archivos.
es, de las fot
ación.
r Adrian Hern
tografías mo
nández Jimén
stradas por l
ez.
los
Inform
Pág
mática Forense
gina | 110
e sobre Servic
Figura
Figura
cios de Red.
44. Resultado d
45. Resultado d
de la búsqueda
de la búsqueda
Ing. Victor
en Messengerca
en Messengerca
r Adrian Hern
ache 1.
ache 2.
nández Jiménez.
Inform
Pág
Búsqu No se
mática Forense
gina | 111
ueda de con
encontró nin
e sobre Servic
versaciones
nguna conve
cios de Red.
s.
ersación en f
Figura 46. Bú
formato rtf y
úsqueda de con
Ing. Victor
y txt.
versaciones.
r Adrian Hernnández Jiménez.
Inform
Pág
Para e
las he
analiza
Conten
Esta c
conten
X-MIM
02, 20
Esta c
fuera
conver
mática Forense
gina | 112
el caso de co
erramientas d
amos las cab
nt-Type: mu
cabecera ind
nido es texto
METrack:Se
007) at 01/30
abecera es p
de Interne
rsiones en el
e sobre Servic
orreo electrón
descritas en
beceras com
ultipart/altern
dica el tipo
o plano y tex
erialize by R
0/2009 10:47
particular pa
et y solo co
l mensaje.
cios de Red.
Servicio de
Figura 47.Cor
nico, tomam
n esta tesina
o sigue:
native; boun
de contenid
to en otros f
Router on e
7:31 AM, Se
ara IBM/Lotu
ontiene el n
correo elec
rreo electrónico
mos un correo
a. Para obten
ndary="=_alt
do del corre
formatos com
elektra01/ele
erialize comp
us y es utiliz
ombre jerár
Ing. Victor
ctrónico.
o con Mozilla.
o cualquiera
ner evidenci
ternative 005
eo, multipart
mo HTML.
ektra/grupoe
plete at 01/30
zada cuando
rquico de al
r Adrian Hern
a, solo con el
ia en Corre
5C3E098625
t/alternative
lektra(Relea
0/2009 10:4
el mensaje
lgún servido
nández Jimén
l fin de aplic
o Electrónic
5754E_="
indica que
ase 8.0|Augu
7:31 AM
es transmiti
or que reali
ez.
car
co,
el
ust
do
izo
Inform
Pág
X-Mai
Messa
86257
En est
enviar
MIME
X-Kee
En est
Receiv
mx.go
08:47:
Receiv
200.38
Authe
vahern
smtp.m
En est
y obte
Whois
Nslook
Tracer
mática Forense
gina | 113
iler:Lotus N
age-ID:<OFA
754E.005C3E
tas cabecer
r este mensaj
E-Version:1.
epSent:A15B
ta cabecera
ved: from
oogle.com w
:59 -0800 (P
ved-SPF:pas
8.122.55 as p
ntication-Re
nandez@elek
mail=vahern
tas cabecera
ener informac
s 200.38.122
kup –x 200.3
route 200.38
e sobre Servic
Notes Release
A15B54FE.A
E1E@grupo
as se puede
je.
0
B54FE:A181
se muestra l
elektra.co
with ESMTP
PST)
ss (google.c
permitted se
esults:mx.go
ktra.com.mx
nandez@elek
s se muestra
ción adicion
2.55
38.122.55
8.122.55
cios de Red.
e 8.0.1 Febru
A1813465-O
salinas.com
observar el
13465-86257
a versión de
om.mx (ek
id 34si1562
com: domai
ender) client-
oogle.com;
x designat
ktra.com.mx
a informació
nal ejecutamo
uary 07, 200
ON8625754E
.mx>
l cliente de
754E:005C2
el protocolo.
ktsmtp02.ele
2843yxl.20.2
in of vahe
-ip=200.38.1
spf=pass
tes 200.3
ón acerca del
os las herram
Ing. Victor
08
E.005C2D1F
correo elect
2D1F; type=
ektra.com.mx
2009.01.30.0
ernandez@el
122.55;
s (google
8.122.55
l emisor, par
mientas
r Adrian Hern
F-
trónico que
4; name=$K
x [200.38
08.47.58; Fri
lektra.com.m
e.com: d
as permit
ra comproba
nández Jimén
se utilizo pa
KeepSent
.122.55])
i, 30 Jan 20
mx designat
domain
tted sende
ar informaci
ez.
ara
by
09
tes
of
er)
ión
Inform
Pág
mática Forense
gina | 114
e sobre Serviccios de Red.
Figura 4
Figura 49
48. Resultado W
9. Resultado Nsl
Ing. Victor
Whois 1.
lookup 1.
r Adrian Hernnández Jiménez.
Inform
Pág
Receiv
(PST)
Receiv
2009 0
Return
En est
la dire
lo que
del rec
Whois
Nslook
mática Forense
gina | 115
ved:by 10.90
ved:by 10.22
08:47:59 -08
n-Path:<vahe
tas cabecera
ección ip de
e para obten
ceptor.
s gmail.com
kup gmail.co
e sobre Servic
0.25.19 with
20.86.149 w
800 (PST)
ernandez@e
s se muestra
los servidor
er informaci
om
cios de Red.
Figura 50.
h SMTP id
with SMTP id
elektra.com.m
a a que direc
res SMTP d
ión aplicare
. Resultado Trac
19cs26248a
d s21mr1957
mx>
cción debe s
del receptor,
emos las her
Ing. Victor
ceroute 1.
agy; Fri, 30
718vcl.90.12
ser respondi
sin embargo
rramientas p
r Adrian Hern
Jan 2009 0
23333407972
ido el correo
o estas ip so
para el domi
nández Jimén
8:48:01 -08
28; Fri, 30 J
o electrónico
n privadas p
inio del corr
ez.
00
Jan
o y
por
reo
Inform
Pág
mática Forense
gina | 116
e sobre Serviccios de Red.
Figura 51
Figura 52. R
1. Resultado con
Resultado con N
Ing. Victor
n whois 2.
Nslookup 2.
r Adrian Hern
nández Jiménez.
Inform
Pág
Con l
admin
propor
Asunto
De:vah
Fecha
Para:v
X-Acc
X-UID
X-Mo
X-Mo
Delive
En est
tiempo
Concl
Toda
utiliza
de las
alrede
sociale
Explor
Por ot
Marzo
otro id
mática Forense
gina | 117
los datos o
nistrador y
rcione inform
o:prueba
hernandez@
:Fri, 30 Jan 2
vahernandezj
count-Key:ac
DL:GmailId1
zilla-Status:
zilla-Status2
ered-To:vahe
ta última pa
o y la cuenta
lusiones del
la informac
ado para los
actividades
dor de las
es, páginas e
rer no se enc
tra parte, pa
o del 2008 y
dioma, casin
e sobre Servic
obtenidos c
la ubicació
mación acerc
@elektra.com
2009 10:47:
ccount2
11f28709095
0001
2:00000000
ernandezj@g
arte de las c
a de correo d
informe
ión antes m
fines plantea
s se realizaro
10:00 Am,
en otro idiom
contró ningu
ara Mozilla
y también se
os, redes soc
cios de Red.
omo lo so
ón física de
ca de la cuen
m.mx
30 -0600
m
5c2255
gmail.com
cabeceras se
del receptor.
mostrada es u
ados, para In
on entre el
y se encu
ma, pornogra
una contraseñ
FireFox po
encontró m
ciales.
on los dato
el servidor,
nta de correo
puede obte
una clara ev
nternet Expl
13 de novie
entra conten
afía, videoju
ña almacena
odemos obse
mal uso del eq
Ing. Victor
os del regis
se tiene a
o.
ener informa
videncia de
orer se pued
mbre y el 2
nido inadec
uegos y casin
ado.
ervar que no
quipo, ya qu
r Adrian Hern
strante del
a quien acu
ación como
que el equip
de observar q
25 de noviem
cuado como
nos, en el ca
o ha sido u
ue se visitaro
nández Jimén
dominio, d
udir para q
la estampa
po no ha si
que la mayor
mbre de 20
lo son red
aso de Intern
utilizado des
on páginas
ez.
del
que
de
ido
ría
08
des
net
sde
en
Inform
Pág
El mo
mucha
Para M
solo u
suceso
cuenta
con la
maner
No se
almace
Recom
Se deb
las que
Se deb
web y
autoriz
Se deb
MSN.
Se rec
Se debel usua
4.5
Para r
en esta
en una
botone
cada
mática Forense
gina | 118
otor de búsq
as palabras d
MSN Messe
uno de ellos
os se encontr
a Abraham_
a cuenta alu
ra recurrente
encontraron
enada.
mendacione
ben crear po
e puede ser u
be implemen
y se deben
zados.
be establecer
comienda uti
be crear unaario no los t
5 Aportaci
educir el tie
a tesina que
a aplicación
es de cada un
botón, com
e sobre Servic
queda que u
de búsqueda.
enger se log
dio acceso
raron otras d
94_07 solo
cerodi, se ob
e.
n archivos re
s
olíticas en cu
utilizado el e
ntar alguna
implemen
r las cuentas
lizar alguna
a política sobtome en cuen
iones.
empo en el q
e permiten se
n, la cual fu
na de las her
mo se mues
cios de Red.
utiliza este u
.
raron recup
al cliente d
dos cuentas
se inicio ses
bserva un pa
ecibidos y ta
uanto al uso
equipo.
herramienta
ntar políticas
s que pueden
herramienta
bre correos enta.
que se obtien
er manipula
ue realizada
rramientas y
stra en la f
usuario es g
erar 2 usuar
de mensajerí
con las que
sión una vez
atrón de con
ampoco se
o del equipo
a que permi
s sobre ella
n tener acces
a para monit
extraños o d
ne la eviden
adas en mod
en visual B
y al centro m
figura 53.
Ing. Victor
google, aunq
rios y contr
a Instantáne
se inicio se
z el día 14 d
nexión entre
logro encon
detallando
ta filtrado d
a para perm
so al cliente
orear el uso
de destinatari
cia, todas la
o línea de c
Basic 6.0,
muestra la de
Esta aplica
r Adrian Hern
que no se lo
aseñas alma
ea. Al analiz
sión de Mes
de noviembr
las 9:00 am
ntrar ninguna
todas las ac
de contenido
mitir visualiz
de mensajer
del cliente d
ios no conoc
as herramien
comandos fu
la aplicació
scripción de
ación permit
nández Jimén
ogró encontr
acenados, pe
zar el visor
ssenger, con
re del 2008
m y 4:00 pm
a conversaci
ctividades pa
o para págin
zar solo siti
ría instantán
de mensajerí
cidos para q
ntas propuest
ueron incluid
ón muestra l
e lo que reali
te aplicar l
ez.
rar
ero
de
la
8 y
de
ión
ara
nas
ios
nea
ía.
que
tas
das
los
iza
las
Inform
Pág
herram
botón
en esta
cuales
están a
estar a
equipo
La ma
maner
ejecuta
y desp
el arch
pasar
mática Forense
gina | 119
mientas de m
con el nomb
a aplicación
s son almace
almacenadas
almacenado
o de cómputo
ayoría de la
ra automátic
ara la herram
pués deberá
hivo en la ca
como pará
e sobre Servic
manera inde
bre “Run all
. La mayoría
enados en la
s todas las he
en una mem
o a analizar,
as herramien
ca, pero el b
mienta en m
guardar el a
arpeta EVID
ámetro los
cios de Red.
ependiente s
l”, el cual ej
a de las herr
a carpeta llam
erramientas,
moria USB
, por lo que f
Figura 5
ntas incluida
botón IECoo
modo gráfico
archivo de m
DENCE. Para
archivos in
según lo des
ecuta todas
ramientas ar
mada EVIDE
, para este ca
y no es ne
facilita la rec
53 Aplicación pro
as en esta a
okies no lo
y el analista
manera manu
a los botones
ndex.dat e h
Ing. Victor
see el analis
las herramie
rrojan un arc
ENCE ubica
aso todo el d
cesario insta
colección de
opuesta
aplicación g
permite por
a deberá sel
ual, es recom
s Pasco, Dor
history. dat,
r Adrian Hern
sta forense,
entas que se
chivo en form
ada en el dir
directorio de
alar o guard
e información
generan un a
r lo que al
eccionar tod
mendable qu
rk y Galleta
, los cuales
nández Jimén
se agrego
han agrupa
mato TXT, l
rectorio don
trabajo podr
dar nada en
n.
archivo txt
presionarlo
das las cooki
ue se almace
será necesar
s deben est
ez.
un
ado
los
nde
ría
el
de
se
ies
ene
rio
tar
Inform
Pág
almace
respec
apagad
mática Forense
gina | 120
enados en lo
ctivamente, r
do.
e sobre Servic
os directorio
recordando
cios de Red.
os: EVIDENC
que estos a
CE/Pasco, E
archivos deb
Ing. Victor
EVIDENCE/
ben obteners
r Adrian Hern
/Dork y EVI
se cuando e
nández Jimén
IDENCE/Do
el sistema es
ez.
ork
ste
Inform
Pág
Capí
5.
En est
cumpl
5.2
Esta te
sobre
descrip
el serv
referen
con es
Se re
herram
práctic
conclu
inform
Se agr
realiza
suceso
del sis
Un as
cuando
alterna
herram
proces
Para l
inform
mática Forense
gina | 121
ítulo 5.
1. Resume
te capítulo s
lir con el obj
2. Conclu
esina presen
los servici
pción de su
vicio de red,
ncia rápida p
stos servicios
ealizó un a
mientas prop
cas dadas in
usiones sobr
me de calidad
ruparon en s
ada en Visu
os, la herram
stema operat
specto que s
o el equipo
ativa, y se lo
mienta labvi
so para realiz
a realización
mación de m
e sobre Servic
Concl
en.
e presentan
jetivo que se
siones
nta un lista c
ios de red
funcionami
lo que perm
por un anali
s de red.
análisis fore
puestas para
nternacionalm
e el análisis
d legal.
su mayoría
ual Basic 6.0
mienta de bú
tivo.
se tomo en
objeto de e
ogro generar
iew, lo que
zar esta oper
n del caso p
manera mas
cios de Red.
lusiones y
brevemente
e planteo en
ompleta de h
HTTP, SM
iento y todas
mite que este
ista forense,
ense sobre
a obtener ev
mente para m
forense que
las herramie
0. Las herram
úsqueda, exp
cuenta fue
estudio esta
r una maquin
e permitió a
ración se agr
practico es i
rápida y s
y trabajo
algunas con
el capítulo
herramienta
MTP y Men
s las herram
e documento
lo que le pe
un equipo
idencia, siem
manejar la e
e se realizó e
entas propue
mientas que
ploración de
que alguna
encendido,
na virtual a p
aplicar las h
rega en los a
importante m
imple, ya q
Ing. Victor
o a futuro
nclusiones y
1.
s que permit
nsajería Ins
mientas fuero
pueda ser u
ermitirá real
de cómpu
mpre toman
evidencia, fi
en el caso pr
estas en esta
e no se agru
directorios
as herramien
por lo que
partir de una
herramientas
anexos de est
mencionar q
que las fuen
r Adrian Hern
o.
y se describe
ten recolecta
stantánea, s
on agrupada
utilizado com
lizar trabajo
uto típico,
ndo en cuent
inalmente se
ráctico acom
a tesina en u
uparon fuero
y las herram
ntas son fun
fue necesar
a imagen de
s de maner
ta tesina.
que fue posib
ntes de evid
nández Jimén
e si fue posib
ar informaci
e presenta
s dependien
mo una guía
s relacionad
aplicando l
ta las mejor
e presentan l
mpañado de
una aplicaci
on: el visor
mientas nativ
ncionales so
rio buscar u
tipo dd, con
ra correcta,
ble analizar
dencia estab
ez.
ble
ión
la
ndo
de
dos
las
res
las
un
ión
de
vas
olo
una
n la
el
la
ban
Inform
Pág
previa
herram
compl
Toman
asegur
totalid
5.3
Este d
Mensa
aplicad
equipo
dedica
tener
mensa
sistem
En los
inform
esta te
únicam
Los se
logs, l
los err
podría
fuente
ha suf
visuali
DNS,
puedan
suplan
mática Forense
gina | 122
amente ident
mientas prop
lejo de forma
ndo en cue
rar que el ob
dad.
3. Trabajo
documento
ajería instan
das a un equ
o de cómpu
ados solo a
instalado en
ajería instant
ma operativo,
s siguientes
mática forens
esina pero s
mente a un e
ervidores má
los cuales pu
rores que so
an tratarse de
e de evidenci
frido modif
izar este tipo
es importan
n surgir en
ntación de id
e sobre Servic
tificadas, ad
puestas, com
a simple.
enta los asp
bjetivo por e
o a futuro
se enfoca p
ntánea, toda
uipo de cóm
uto que fung
brindar el s
n el mismo
tánea y aunq
, este equipo
párrafos se
se a estos se
son parte co
equipo de cóm
ás populares
ueden ser ex
n detectados
e intentos de
ia pueden se
ficaciones y
o de incident
nte también e
este, ya q
dentidad, tal
cios de Red.
demás de qu
mo lo son lo
pectos menc
el cual se ini
o
principalme
s las herram
mputo típico,
ge como ser
servicio y u
servidor un
que un explo
o no debe se
mencionan
ervicios de r
omplementa
mputo típico
para HTTP
xplotados apo
s en alguna
e ataques co
er las cabece
si se cuen
tes. Otro asp
encontrar la
que se podrí
vez solo se c
ue la forma
os archivos
cionados en
icio la realiz
nte en tres
mientas men
, pero no ser
rvidor, ya q
un buen adm
n cliente de
orador web c
er utilizado p
algunos asp
red a un serv
aria al objet
o.
son IIS y A
ortando gran
página web
mo lo es iny
eras, ya que
nta con un
pecto a toma
forma de ob
ía utilizar u
cambio la di
Ing. Victor
en que pre
de texto, pe
n los párraf
zación de es
servicios d
ncionadas e
rian de much
que este tipo
ministrador d
e correo ele
casi siempre
para navegar
pectos a tom
vidor, las cu
tivo de esta
Apache ambo
n cantidad de
, aportan tam
yección SQL
en ellas se p
control de
ar en cuenta c
btener eviden
un ataque a
irección IP d
r Adrian Hern
sentan la in
ermite realiz
fos anteriore
ta tesina se
de red, HT
en esta tesin
ha utilidad a
o de equipo
debe tener p
ectrónico o
e está conten
por Internet
mar en cuenta
uales no está
tesina el c
os cuentan co
e evidencia,
mbién inform
L o algún otr
podrá detect
versiones, s
con el servic
ncia sobre lo
al DNS para
del DNS o el
nández Jimén
nformación l
zar un análi
es, es posib
cumplió en
TTP, SMTP
na pueden s
aplicarlas a
os suelen est
por política
un cliente
nido dentro d
t.
a para realiz
án incluidas
cual se enfo
on archivos
la mayoría
mación ya q
ro ataque, ot
tar si la pági
será más fá
cio HTTP es
os cambios q
a realizar u
l equipo sufr
ez.
las
sis
ble
su
y
ser
un
tar
no
de
del
zar
en
oca
de
de
que
tra
ina
ácil
s el
que
una
frió
Inform
Pág
un en
consid
herram
El ser
tambié
vez se
person
anónim
el ser
registr
acceso
extrae
es la i
pero s
de gra
Para e
duda e
MSN
en un
mática Forense
gina | 123
nvenenamien
derados en
mientas e inf
rvidor SMTP
én explotars
ean los de f
nas tratar de
mas o media
rvidor de co
rados como
o, en esta te
r esta inform
ingeniería so
si el ataque f
an ayuda para
el servidor d
existen pero
Messenger s
servidor de
e sobre Servic
nto de cache
el objetivo
formación ne
P o correo
e para obten
fuerza bruta
acceder a cu
ante correos
orreo tiene
intentos fall
sina no se c
mación, aunq
ocial, este ti
fuera efectiv
a obtener inf
de mensajerí
por ser un p
son privados
este tipo.
cios de Red.
e DNS, esto
de esta tes
ecesaria para
electrónico,
ner evidencia
a, ya que su
uentas de co
inexistentes
un buen h
lidos en la b
contempla ex
que existen o
ipo de ataqu
vo, con las h
formación ac
ía instantáne
protocolo pro
s, se dificult
os son aspe
sina, aunque
a encontrar e
también co
a, la mayorí
uele ser una
orreo ajenas,
s también ha
hardening e
bitácora pero
xplicar cómo
otro tipo de
ues solo se
herramientas
cerca del ata
ea, es difícil
opietario y lo
ta en gran m
Ing. Victor
ectos import
e es import
evidencia en
ontiene logs
ía de los ataq
a práctica c
, el envió de
an sido prac
este tipo de
o será difíci
o leer estos
ataques par
pueden evit
s que se men
acante.
l definir las
os servidore
manera defini
r Adrian Hern
tantes pero
tante tambié
este tipo de
de errores,
ques a estos
común entre
e correos me
cticas popula
e aspectos s
l que un ata
logs ni herr
a obtener ac
tar informan
ncionan en e
fuentes de
es para el clie
ir algunas ta
nández Jimén
que no est
én contar c
incidentes.
estos pued
s servidores
e un grupo
ediante cuent
ares, aunque
solo quedar
acante obten
ramientas pa
cceso como
ndo al usuar
esta tesina s
evidencia, s
ente propues
areas a realiz
ez.
tán
con
den
tal
de
tas
e si
ran
nga
ara
lo
rio,
on
sin
sto
zar
Inform
Pág
Anex [1] ATituloReveahttp://wFecha [2] AuTitulohttp://eFecha Autor:Titulohttp://eFecha Autor:Titulohttp://mFecha [3] ATituloId. de http://Fecha [4] AuTfno. Titulohttps:/Fecha [5] AuTitulohttp://hFecha [6] AuTitulohttp://wFecha [7] AuTitulohttp://m
mática Forense
gina | 124
xo A. Ref
Autor: Andre: Europe Su
als www.comscde consulta
utor: Wikipe: Request Foes.wikipediade consulta
: Wikipedia : IETF es.wikipediade consulta
: The Blog's : Los explormarketingeinde consulta
Autor: Micro: Las solicituartículo: 887support.micrde consulta
utor: Univerinformación: Protocolos//webmail.unde consulta
utor: Copyri: Apache Mohttpd.apachede consulta
utor: Lance : Decoding ewww.forensde consulta
utor: Juan Bo: Los navegamarketingein
e sobre Servic
ferencias
ew Lipsmanurpasses No
core.com/pre: 20 Diciemb
edia or Commenta.org/wiki/R: 22 Mayo 2
a.org/wiki/IE: 22 Mayo 2Team con f
radores más nternet.blog: 22 Mayo 2
soft, 30 Octuudes de SMT777 rosoft.com/k: 15 Diciemb
rsidad de Zan: (34) 976-7 de acceso anizar.es/mail: 25 Diciemb
ight 2009 Thodule mod_le.org/docs/2: 15 Diciemb
Mueller, 23 encoded IIS sickb.com/20: 15 Diciemb
orzi, The Bloadores más unternet.blog
cios de Red.
s.
n orth Americ
ess/release.abre 2008
ts Request_For_2009
ETF 2009 fuente en wwutilizados spot.com/20
2009
ubre de 2006TP: cambio
kb/88777/esbre 2008
aragoza (Ped761001) al Buzón de cl_protocolosbre 2008
he Apache Slog_forensic.2/mod/modbre 2008
Julio 2007.logs
007/07/decobre 2008
og`s Team utilizados spot.com/20
ca In Instant
sp?id=800
_Comments
ww. OneStat
007/02/los-na
6 Versión: 1admitidos po
dro Cerbuna
correo s.php
oftware Fouc d_log_forens
ding-encode
007/02/los-na
Ing. Victor
t Messenger
.com
avegadores-
1.1 or la puerta d
a 12, 50009
undation.
sic.html
ed-iis-logs.ht
avegadores-
r Adrian Hern
r Users, com
ms-utilizado
de enlace.
ZARAGOZ
tml
ms-utilizado
nández Jimén
mScore Stu
os.html
ZA-ESPAÑA
os.html
ez.
udy
A |
Inform
Pág
Fecha [8] AuWaits,Titulowww.Fecha [9] Auan ExoTitulohttp://cFecha [10] ATituloRespoAnalyhttp://wFecha [11] ATitulohttp://wFecha [12] ATitulohttp://tFecha [13] ATechnTituloPublichttp://cFecha [14] ATitulohttp://gFecha [15] AFrystyJune 1Titulo
mática Forense
gina | 125
de consulta
utores: Richa, Elizabeth S: First Respocert.org/archde cosulta:
utor: Arca Syodus Commu: Incident Rcsrc.nist.govde consulta
Autor: Cal W: Computer
onse Inquiry ysis www.cert.orde consulta
Autor: Richar: First Respowww.cert.orde consulta
Autor: Octavi: La mensajetavmsn.sourde consulta
Autor: Nationnology Admi: Guide to
cation 800-86csrc.nist.govde consulta
Autor: Unive: Artículo: Cgseguridad.ude consulta
Autor: R. Fyk, W3C/MI1999 : RFC2616 -
e sobre Servic
: 15 Diciemb
ard Nolan, MSchweinsberonders Guidhive/pdf/05h28 Enero 20
ystems, Inc. unications Cesponse Funv/nissc/2000: 28 Diciemb
Waits, Joseph Forensics: Rvs. Memory
rg/archive/pd: 28 Diciemb
rd Nolan, Coonders Guidrg/archive/pd: 28 Diciemb
io Álamo Saería Instantárceforge.net/: 30 Diciemb
nal Institute inistration Uo integrating6) v/publication: 25 Diciemb
ersidad Del CCómo enviarunicauca.edu: 15 Diciemb
Fielding, UCIT, L. Masin
- Hypertext
cios de Red.
bre 2008
Marie Baker,rg de to Computhb003.pdf 009
Company ndamentals C/proceedingbre 2008
Ayo AkinyeResults of Liy Image
df/08tn017.pbre 2008
olin O’Sullivde to Computdf/FRGCF_vbre 2008
antana ánea, el proto/pdf/presentabre 2008
of StandardsU.S. Departm
g Forensic
ns/nistpubs/8bre de 2008
Cauca r correos falsu.co/documebre 2008
C Irvine, J. nter, Xerox,
Transfer Pro
, Jake Branso
ter Forensics
Class s/papers/917
ele, Richardve
van, Jake Brter Forensicsv1.3.pdf
ocolo Messeacion%20el%
s and Technoment of Comm
Technique
800-86/SP80
sos entos/articulo
Gettys, CoP. Leach, M
otocol -- HTT
Ing. Victor
on, Josh Ham
s: Advanced
7slide.pdf
d Nolan, Larr
ranson, Cal Ws
nger (msnp)%20protocol
ology merce es into Inc
00-86.pdf
o_fakemail.t
ompaq/W3CMicrosoft, T
TP/1.1
r Adrian Hern
mmerstein, K
d Topics
ry Rogers. A
Waits. Marzo
) lo%20messe
ident Respo
txt
, J. Mogul,. Berners-Le
nández Jimén
Kris Rush, C
Agosto 2008.
o 2005
enger.pdf
onse (Spec
, Compaq, ee, W3C/MI
ez.
Cal
.
ial
H. IT.
Inform
Pág
Fecha [16] ATitulohttp://wFecha [17] ATitulohttp://wFecha [18] ATitulohttp://wFecha [19] ATitulohttp://wFecha [20] AId. de Titulosesiónhttp://Fecha [21] ATitulohttp://wFecha [22] ATitulohttp://wFecha [23]AuRamosTituloEditorPrimer
mática Forense
gina | 126
de consulta
Autor: MELB: Introducciówww.elhackde consulta
Autor: Jorge : index.dat, www.seguride consulta
Autor: Keith: Web Browwww.securide consulta
Autor: Keith: Web Browwww.securide consulta
Autor: Microartículo: 907: Recibe un
n en un sitio Wsupport.micrde consulta
Autor: cibern: Manual dewww.cibernde consulta
Autor: NIRS: Freeware Uwww.nirsoftde consulta
utor: Picouts, Varón An: Hacking y
rial: Alfa Omra Edición M
e sobre Servic
: 15 Diciemb
BOURNE ITón a la informker.net : 28 Diciemb
Alejandro Masegurando idaddigital.in: 10 Enero 2
h J. Jones, Rowser Forensic
tyfocus.com: 15 Diciemb
h J. Jones, Rowser Forensic
tyfocus.com: 16 Diciemb
osoft, 03 Nov7479 mensaje de
Web usandorosoft.com/k: 28 Diciemb
netia.com cabeceras H
netia.com/he: 25 Diciemb
SOFT. NET Utilities for Wft.net/utils/in: 26 Diciemb
to, Ramos ntonio Ángel
Seguridad emega Ra-Ma México Dicie
cios de Red.
bre 2009-03
T,LTD.D/B/Amática foren
bre 2008
Mieres nuestra privnfo/index.ph2009
ohyt Belani 3cs, Part 1
m/infocus/182bre 2008
ohyt Belani cs, Part 2
m/infocus/183bre 2008
viembre 200
e error "no so Internet Exkb/907479/ebre 2008
HTTP aders_manubre 2008
Windows dex.html bre 2008
Fernando, Ll en Internet
embre 2007
-17
A. Silverhacnse en entorn
acidad hp?option=co
30 Marzo 20
27
11 Mayo 20
32
06, Versión:
e puede moxplorer 6 s
ual/status_co
Lorente, Pér
Ing. Victor
ck 06 Septiemnos Window
ontent&task
005
05
1.4
strar la pági
de_1.php
rez Iñaki, G
r Adrian Hern
mbre 2006 ws 2ª parte
=view&id=1
ina" cuando
García-Mora
nández Jimén
170
intenta inici
an, Jean Pau
ez.
iar
ul,
Inform
Pág
[24] ATitulohttp://wus/nsloFecha
mática Forense
gina | 127
Autor: Micro: Nslookup www.microsookup.mspxde consulta
e sobre Servic
soft, 2009
soft.com/resx?mfr=true
20 Enero 20
cios de Red.
sources/docu
009
umentation/w
Ing. Victor
windows/xp/
r Adrian Hern
/all/proddocs
nández Jimén
s/en-
ez.
Inform
Pág
Anex Para ela exteanexo El objobtene Para pcontardescar VMwaVMwaJava RVMwa(http:/ La herhttp:// Una vimagecomo
mática Forense
gina | 128
xo B. Vi
este apartadoensión dd, hexplicar est
jetivo de ester una maqui
poder ejecutar con la herrgar el siguie
are Server Fare Worksta
Runtime Envare Disk Mo//www.vmwa
rramienta Lisourceforge.
vez que se ten, se debe sse muestra e
e sobre Servic
irtualizaci
o, es necesarihay varias fte proceso, p
te anexo es ina virtual en
ar una imagrramienta Lente software
ull Install (htion 5.5 (pru
vironment (hount Utility. are.com/dow
ve View pue.net/project/s
enga el softwseleccionar en la figura
cios de Red.
ión de una
io haber obteformas de crpor lo que pa
explicar de n VMware a
en de tipo dLive View, e e instalarlo
http://www.vueba 340 díahttp://www.ja
wnload/eula/
ede descargashowfiles.ph
ware instalala opción "L
a imagen.
enido una imrear esta im
artiremos de
forma brevea partir de un
dd como si fantes de in
o:
vmware.comas). ava.com/getj
/diskmount_
arse en: hp?group_id
do, al ejecutLaunch My
Ing. Victor
magen bit a bmagen, pero
la existencia
e, el procesona imagen de
fuera un sistnstalar esta
m).
java).
_ws_v55.htm
d=175252
tar Live VieImage" y p
r Adrian Hern
bit, la cual deno es el ob
a de esta ima
o que se debe tipo dd.
tema en vivoherramienta
ml).
ew, se debe presionar el
nández Jimén
eberá contenbjetivo de esagen.
be seguir pa
o, es necesara es necesar
seleccionar botón "Star
ez.
ner ste
ara
rio rio
la rt",
Inform
Pág
Con eimageun am
mática Forense
gina | 129
ste proceso n que se sele
mbiente real d
e sobre Servic
será suficienecciono, perde operación
cios de Red.
Fig
nte para quermitiendo rean.
gura 54. Live Vie
e se ejecute ualizar un aná
Ing. Victor
ew
una maquinaálisis del sis
r Adrian Hern
a virtual en Vtema objeto
nández Jimén
VMware dede estudio,
ez.
la en
Inform
Pág
Anex
FQDNde cómllamadpermite IETF: Internecontribencami NIST: InstitutComercompeforma URL: Usecuendocum URI: UTambié RFC: Snotas sellas inprotocoen casouna proen unaelimina IETF: organizingenieinstituc EXIM:fue desistema
mática Forense
gina | 130
xo C. Glo
N: Un FQDN (mputo y el nomdo «user1» y e identificar a
El IETF (Inteet) es una orgbuir a la ininamiento, se
El Instituto te of Standarrcio de los Etencia industrque mejoren
URL significncia de caracte
mentos e imáge
URI significaén se suele ut
Son las siglassobre Internetndividualmenolo de la red o de ser aceptopuesta de RFa RFC o no. arse aunque e
(Internet Enzación internería de Interción formada
: (EXperimenesarrollado poas Unix y Wi
e sobre Servic
osario.
(Fully Qualifmbre de domiel nombre de
a un equipo d
ernet Engineeganización inngeniería de eguridad. Fue
Nacional de rds) es una aEstados Unidrial en Estadola estabilidad
ca Uniform Reeres, de acuerenes en Intern
a Uniform Rtilizar como s
s en Ingles (Rt que comenznte es un docInternet (origtado pueda seFC a la IETFCada RFC t
el documento
ngineering Tanacional abiernet, actuando
ntal Internet Mor la Universndows.
cios de Red.
fied Domain Ninio asociadoe dominio «h
de cómputo, p
ering Task Fonternacional a
Internet, accreada en Es
Normas y Tagencia de lados. La misióos Unidos med económica y
esource Locardo a un formnet, por su loc
Resource Idensinónimo de U
Request For Czaron a publicumento cuy
ginalmente deer implementa, pero es éstatiene un títulse quede obs
ask Force / Gerta de normo en diversa
Mailer) es un sidad de Cam
Name) es un n a ese equipo
host1.com», eor el nombre
orce, en casteabierta de norctuando en stados Unidos
Tecnología (N Administrac
ón de este inediante avancy la calidad de
ator, es decir,mato estandarcalización.
ntifier es decURL.
Comments / pcarse en 196
yo contenido e ARPANET)ado sin ambiga la que decidlo y un númsoleto.
Grupo de Trmalización, quas áreas. Fue
agente de trambridge y pu
Ing. Victor
nombre que i. Por ejemploel FQDN serádel equipo y
ellano Grupo rmalización, diversas áre
s en 1996.
NIST por sución de Tecnnstituto es prces en metroloe vida.
, localizador , que se usa p
cir identific
petición de co9. Se abreviaes una propu
), que se expligüedades. Cuae finalmente
mero asignado
rabajo en Ingue tiene come creada en
ansporte de couede ser utili
r Adrian Hern
incluye el nomo, dado el equá «user1.hostno solo por s
de Trabajo eque tiene com
eas, tales co
s siglas en iología del Dromover la inogía, normas
uniforme de para nombrar
cador uniform
omentarios) san como RFCuesta oficial ica con todo dalquier personsi el documen
o, que no pue
geniería de Inmo objetivo
EE. UU. en
orreo (Mail Tizado en la
nández Jimén
mbre del equiuipo de cómput1.com», lo qsu IP.
en Ingeniería mo objetivos
omo transpor
nglés, Nationepartamento nnovación y y tecnología
recurso. Es urecursos, com
me de recurs
son una serie C. Cada una
para un nuedetalle para qna puede envnto se convieede repetirse
nternet) es ucontribuir a
n 1986, es u
ransport Agemayoría de l
ez.
ipo uto que
de el rte,
nal de la de
una mo
os.
de de
evo que viar erte
ni
una la
una
nt) los
Inform
Pág
Anex
FIGURA 1FIGURA 2FIGURA 3FIGURA 4FIGURA 5FIGURA 6FIGURA 7FIGURA 8FIGURA 9FIGURA 1FIGURA 1FIGURA 1FIGURA 1FIGURA 1FIGURA 1FIGURA 1FIGURA 1FIGURA 1FIGURA 1FIGURA 2FIGURA 2FIGURA 2FIGURA 2FIGURA 2FIGURA 2
...FIGURA 2FIGURA 2FIGURA 2FIGURA 2FIGURA 3FIGURA 3FIGURA 3FIGURA 3FIGURA 3FIGURA 3FIGURA 3FIGURA 3FIGURA 3FIGURA 3FIGURA 4FIGURA 4FIGURA 4
mática Forense
gina | 131
xo D. Índ
1. PORCENTAJE D2. MODELO DEL F
3. ENVIÓ DE CORR4. MODELO DE CO
5. CABECERA DE U6. CABECERAS DE7. TRACEROUTE P8. IECOOKIES VIE9. IEHISTORYVIEW10. IECACHEVIEW11. FAVORITESVI12. MYLASTSEAR13. VISOR DE SUC14. BUSQUEDA C15 IMÁGENES EN
16 GUARDAR CON17. OPCIÓN PARA
18. OPCIÓN PARA
19MSN MESSEN
20. MESSENPASS21. RESULTADOS 22. HTTP://DOW23. HTTP://WWW
24. HTTP://WWW
25. HTTP://LISTA.......................26. HTTP://WWW
27. HTTP://WWW
28. HI5.COM .....29. SEXDVD200030.RESULTADOS C31. RESULTADOS 32. RESULTADOS 33. RESULTADOS 34. RESULTADOS 35. RESULTADOS 36. RESULTADOS 37.RESULTADOS C38.RESULTADOS C39 MYLASTSEARC
40. MSNPASS ..41. RESULTADOS 42. RESULTADOS
e sobre Servic
dice de F
E HOGARES CON E
FUNCIONAMIENTO
REO CON LOS COM
OMUNICACIÓN EN
UN CORREO ELECT
HTTP PARA WW
PARA IPN.MX .....EW. ..................W. ...................W. ....................EW ..................RCH. .................CESOS. ..............ON RETRIEVER 2.CONTRADAS CON
NVERSACIONES DE
A GUARDAR HISTO
A GUARDAR HISTO
NGER LIVE 8.0 .....S. .....................BELARC ADVISOR
WNLOAD.5617.COW.ELLECHINA.COMW.GJSMYY.CN .....ADO.MERCADOLIB
.......................W.SEXDVD2000.CW.SONICO.COM/ .......................0.COM ..............CON IECACHEVIEENCONTRADOS C
ENCONTRADOS C
ENCONTRADOS C
CON MOZILLAHICON MOZILLAHICON MOZILLAHICON PASSFOX. ...CON DORK ........CH ...........................................CON VISOR DE SUCON VISOR DE SU
cios de Red.
iguras.
EQUIPO DE CÓMP
O DE SMTP .......MANDOS BÁSICOS
N UN ENVÍO DE CO
TRÓNICO. ...........WW.ESIMECU.IPN..................................................................................................................................................................0 ....................LA HERRAMIENTA
ESDE LA VENTANA
ORIAL DE CONVER
ORIAL DE CONVER
.......................
.......................R. .....................OM....................M/DECORATION/B.......................RE.COM.MX/CON.......................COM/INDEX.PHP?.....................................................................EW ...................CON PASCO 1 ......CON PASCO 2 ......CON PASCO 2 ......STORYVIEW 1. ...STORYVIEW 2. ...STORYVIEW 3. ...............................................................................................UCESOS 1. ..........UCESOS 2 ...........
PUTO 2001‐2005....................... SMTP ............ORREO ELECTRÓNI
.......................MX. .........................................................................................................................................................................................................A RETRIEVER. .....A DE CONVERSACIÓ
RSACIONES. ........RSACIONES. ....................................................................................................BEAUTYFULHOME
.......................NSOLAS‐VIDEOJUE.......................?ID=T14591655................................................................................................................................................................................................................................................................................................................................................................................
Ing. Victor
5 ...................................................................ICO. ..............................................................................................................................................................................................................................................................................ÓN. ............................................................................................................................................................/CAIHONG ...............................EGOS/_DISPLAYTY.......................57 ....................................................................................................................................................................................................................................................................................................................................................................................................
r Adrian Hern
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................YPE_G_OTHERFI..............................................................................................................................................................................................................................................................................................................................................................................................................................
nández Jimén
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................ILTERID_MPAGO............................................................................................................................................................................................................. 1..................... 1..................... 1..................... 1..................... 1..................... 1..................... 1..................... 1..................... 1..................... 1
ez.
13 22 23 24 25 44 56 57 61 64 71 73 76 78 78 79 80 80 81 81 86 89 90 91 O91 92 93 94 95 98 99 99 100 102 103 103 104 105 106 106 107 108
Inform
Pág
FIGURA 4FIGURA 4FIGURA 4FIGURA 4FIGURA 4FIGURA 4FIGURA 4FIGURA 5FIGURA 5FIGURA 5FIGURA 5FIGURA 5
mática Forense
gina | 132
43. BÚSQUEDA D44. RESULTADO D45. RESULTADO D46. BÚSQUEDA D47.CORREO ELECT48. RESULTADO W49. RESULTADO N50. RESULTADO T51. RESULTADO C52. RESULTADO C53 APLICACIÓN P54. LIVE VIEW ...
e sobre Servic
DE ARCHIVOS. ......DE LA BÚSQUEDA
DE LA BÚSQUEDA
DE CONVERSACION
TRÓNICO CON MO
WHOIS 1. ..........NSLOOKUP 1. .....TRACEROUTE 1. ..CON WHOIS 2. ....CON NSLOOKUP 2ROPUESTA ................................
cios de Red.
.......................EN MESSENGERC
EN MESSENGERC
NES. ..................OZILLA. .........................................................................................................2. ...................................................................
.......................CACHE 1. ...........CACHE 2. ..........................................................................................................................................................................................................................
Ing. Victor
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
r Adrian Hern
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
nández Jimén
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
..................... 1
ez.
109 110 110 111 112 114 114 115 116 116 119 129
Inform
Pág
Anex TABLA 1TABLA 2TABLA 3TABLA 4TABLA 5TABLA 6TABLA 7TABLA 8TABLA 9TABLA 10TABLA 1TABLA 1TABLA 13TABLA 14TABLA 15TABLA 16TABLA 17TABLA 18
mática Forense
gina | 133
xo E. Índ
. HERRAMIENTAS
. OPCIONES EN LÍ
. OPCIONES EN LÍ
. OPCIONES EN LÍ
. OPCIONES EN LÍ
. OPCIONES EN LÍ
. OPCIONES EN LÍ
. OPCIONES EN LÍ
. OPCIONES EN LÍ
0. OPCIONES EN
1. OPCIONES EN
2. MODO EN LÍNE
3. OPCIONES EN
4. INFORME DE C5. IDENTIFICACIÓ6. HERRAMIENTA
7. HERRAMIENTA
8. HERRAMIENTA
e sobre Servic
dice de ta
PARA LA BÚSQUE
NEA DE COMAND
NEA DE COMAND
NEA DE COMAND
NEA DE COMAND
NEA DE COMAND
NEA DE COMAND
NEA DE COMAND
NEA DE COMAND
LÍNEA DE COMAN
LÍNEA DE COMAN
EA DE COMANDOS
LÍNEA DE COMAN
CALIDAD LEGAL. ..N DEL EQUIPO DE
AS DISPONIBLES PA
AS DISPONIBLES PA
AS DISPONIBLES PA
cios de Red.
ablas.
EDA DE EVIDENCIA
OS PARA MAIL PAOS, IECOOKIESVIOS, MOZILLACOOOS IEHISTORYVIEOS PARA MOZILLA
OS, IECACHE VIEOS, MOZILLACACOS PARA IE PASS DOS PARA PASSWDOS PARA FAVORS MYLASTSEARCHDOS PARA MESSE
.......................E CÓMPUTO. .......ARA RECOLECCIÓN
ARA RECOLECCIÓN
ARA LA RECOLECC
A .....................ASSVIEW. .........IEW. ................OKIESVIEW. .......EW. ..................AHISTORYVIEW. EW. ..................CHEVIEW. .........VIEW. .............
WORDFOX. .........RITESVIEW. ........H. ....................ENPASS...........................................................N DE EVIDENCIA EN
N DE EVIDENCIA EN
IÓN DE EVIDENCIA
Ing. Victor
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................N WEB. ............N CORREO ELECTR
A EN MSN MESS
r Adrian Hern
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................RÓNICO. ............ENGER. .............
nández Jimén
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
ez.
49 51 58 59 60 62 63 65 67 69 70 72 81 84 87 87 88 88
