hacktricks/forensics/basic-forensic-methodology/README.md

# Metodología Forense Básica

{% hint style="success" %}
Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Apoya a HackTricks</summary>

* Revisa los [**planes de suscripción**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Comparte trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos de github.

</details>
{% endhint %}

## Creación y Montaje de una Imagen

{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %}
[image-acquisition-and-mount.md](../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md)
{% endcontent-ref %}

## Análisis de Malware

Este **no es necesariamente el primer paso a realizar una vez que tienes la imagen**. Pero puedes usar estas técnicas de análisis de malware de forma independiente si tienes un archivo, una imagen de sistema de archivos, imagen de memoria, pcap... así que es bueno **tener en cuenta estas acciones**:

{% content-ref url="malware-analysis.md" %}
[malware-analysis.md](malware-analysis.md)
{% endcontent-ref %}

## Inspección de una Imagen

Si te dan una **imagen forense** de un dispositivo, puedes comenzar **analizando las particiones, el sistema de archivos** utilizado y **recuperando** potencialmente **archivos interesantes** (incluso los eliminados). Aprende cómo en:

{% content-ref url="partitions-file-systems-carving/" %}
[partitions-file-systems-carving](partitions-file-systems-carving/)
{% endcontent-ref %}

Dependiendo de los sistemas operativos utilizados e incluso de la plataforma, se deben buscar diferentes artefactos interesantes:

{% content-ref url="windows-forensics/" %}
[windows-forensics](windows-forensics/)
{% endcontent-ref %}

{% content-ref url="linux-forensics.md" %}
[linux-forensics.md](linux-forensics.md)
{% endcontent-ref %}

{% content-ref url="docker-forensics.md" %}
[docker-forensics.md](docker-forensics.md)
{% endcontent-ref %}

## Inspección profunda de tipos de archivos específicos y Software

Si tienes un **archivo muy sospechoso**, entonces **dependiendo del tipo de archivo y del software** que lo creó, varios **trucos** pueden ser útiles.\
Lee la siguiente página para aprender algunos trucos interesantes:

{% content-ref url="specific-software-file-type-tricks/" %}
[specific-software-file-type-tricks](specific-software-file-type-tricks/)
{% endcontent-ref %}

Quiero hacer una mención especial a la página:

{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %}
[browser-artifacts.md](specific-software-file-type-tricks/browser-artifacts.md)
{% endcontent-ref %}

## Inspección de Volcado de Memoria

{% content-ref url="memory-dump-analysis/" %}
[memory-dump-analysis](memory-dump-analysis/)
{% endcontent-ref %}

## Inspección de Pcap

{% content-ref url="pcap-inspection/" %}
[pcap-inspection](pcap-inspection/)
{% endcontent-ref %}

## **Técnicas Anti-Forenses**

Ten en cuenta el posible uso de técnicas anti-forenses:

{% content-ref url="anti-forensic-techniques.md" %}
[anti-forensic-techniques.md](anti-forensic-techniques.md)
{% endcontent-ref %}

## Caza de Amenazas

{% content-ref url="file-integrity-monitoring.md" %}
[file-integrity-monitoring.md](file-integrity-monitoring.md)
{% endcontent-ref %}

{% hint style="success" %}
Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Apoya a HackTricks</summary>

* Revisa los [**planes de suscripción**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Comparte trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos de github.

</details>
{% endhint %}
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`# Metodología Forense Básica`

			`{% hint style="success" %}`
			`Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`<summary>Apoya a HackTricks</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`* Revisa los [planes de suscripción](https://github.com/sponsors/carlospolop)!`
			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Comparte trucos de hacking enviando PRs a los [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repos de github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`{% endhint %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Creación y Montaje de una Imagen`
GitBook: [master] 2 pages modified 2021-05-28 17:29:30 +00:00
GitBook: [#3475] No subject 2022-09-09 11:57:02 +00:00			`{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %}`
			`[image-acquisition-and-mount.md](../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md)`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% endcontent-ref %}`
GitBook: [master] 2 pages modified 2021-05-28 17:29:30 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Análisis de Malware`
GitBook: [master] 7 pages modified 2021-05-28 17:51:59 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`Este no es necesariamente el primer paso a realizar una vez que tienes la imagen. Pero puedes usar estas técnicas de análisis de malware de forma independiente si tienes un archivo, una imagen de sistema de archivos, imagen de memoria, pcap... así que es bueno tener en cuenta estas acciones:`
GitBook: [master] 7 pages modified 2021-05-28 17:51:59 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="malware-analysis.md" %}`
			`[malware-analysis.md](malware-analysis.md)`
			`{% endcontent-ref %}`
GitBook: [master] 7 pages modified 2021-05-28 17:51:59 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Inspección de una Imagen`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`Si te dan una imagen forense de un dispositivo, puedes comenzar analizando las particiones, el sistema de archivos utilizado y recuperando potencialmente archivos interesantes (incluso los eliminados). Aprende cómo en:`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="partitions-file-systems-carving/" %}`
			`[partitions-file-systems-carving](partitions-file-systems-carving/)`
			`{% endcontent-ref %}`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Dependiendo de los sistemas operativos utilizados e incluso de la plataforma, se deben buscar diferentes artefactos interesantes:`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="windows-forensics/" %}`
			`[windows-forensics](windows-forensics/)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="linux-forensics.md" %}`
			`[linux-forensics.md](linux-forensics.md)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="docker-forensics.md" %}`
			`[docker-forensics.md](docker-forensics.md)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`## Inspección profunda de tipos de archivos específicos y Software`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated ['forensics/basic-forensic-methodology/README.md', 'forensics 2024-02-09 01:28:22 +00:00			`Si tienes un archivo muy sospechoso, entonces dependiendo del tipo de archivo y del software que lo creó, varios trucos pueden ser útiles.\`
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Lee la siguiente página para aprender algunos trucos interesantes:`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="specific-software-file-type-tricks/" %}`
			`[specific-software-file-type-tricks](specific-software-file-type-tricks/)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Quiero hacer una mención especial a la página:`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %}`
			`[browser-artifacts.md](specific-software-file-type-tricks/browser-artifacts.md)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Inspección de Volcado de Memoria`
GitBook: [master] 46 pages modified 2021-05-28 17:27:17 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="memory-dump-analysis/" %}`
			`[memory-dump-analysis](memory-dump-analysis/)`
			`{% endcontent-ref %}`
GitBook: [master] 46 pages modified 2021-05-28 17:27:17 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Inspección de Pcap`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="pcap-inspection/" %}`
			`[pcap-inspection](pcap-inspection/)`
			`{% endcontent-ref %}`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`## Técnicas Anti-Forenses`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`Ten en cuenta el posible uso de técnicas anti-forenses:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="anti-forensic-techniques.md" %}`
			`[anti-forensic-techniques.md](anti-forensic-techniques.md)`
			`{% endcontent-ref %}`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Caza de Amenazas`
GitBook: [master] 3 pages modified 2021-09-06 15:03:23 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="file-integrity-monitoring.md" %}`
			`[file-integrity-monitoring.md](file-integrity-monitoring.md)`
			`{% endcontent-ref %}`
GitBook: [master] 3 pages modified 2021-09-06 15:03:23 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`{% hint style="success" %}`
			`Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`<summary>Apoya a HackTricks</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`* Revisa los [planes de suscripción](https://github.com/sponsors/carlospolop)!`
			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Comparte trucos de hacking enviando PRs a los [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repos de github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:00:36 +00:00			`{% endhint %}`