Verificación y Autenticaión de Evidencia Hash Cryptographico • Verifica un archivo con MD5 • Como funciona MD5 and SHA hashes • Usa hash con fotografia forense 2
3 Regla de mejor Evidencia Para comprobar el contenido de un escritura, grabación, o fotografia, el original escritura, grabación, of fotografia es requerido, otra que como proveido por estas reglas o acto del congreso. Federal Rules of Evidence, rule 1002 Sin embargo, en practica federal, una copia exacta del original lleva la mismo peso que el original otra que su autenticidad esta en questión. http://en.wikipedia.org/wiki/Best_evidence_rule • El original es el mejor evidencia. – Disco Duro Original, 35mm pelicula – Hay limite (No puede llevar el cadaver al corte.) • Como comprobar la copia es exacta – El ojo humano. (No muy bueno.) – Calculos Hash • MD5
• • • • Utilidades Forenses MD5Calc- Verifica que una copia es exacta FTKImager- Herramienta par examinación forense ProDiscover Basic 6.11- Irfanview 4.00- Editador de imagenes. 4
Capture a Forensic Image 5
6
7
8
9
FTK Imager Carga archivo de imagenes Elige este 10
Select Folder •Click Browse and navigate to DesktopCFE8- jpeg-search. Find 8-jpeg- search.dd •Selecciona el archivo y Finish. 11
Hash Archivos deEvidencia . (Como verificar fotos digitales) 12
Sample Hash List 13
14 MD5 Utility CD photo hash. Same photo on desktop. Open file dialogue. Hash text. (Cute but useless.)
IRFANVIEW 15
Guardar un Mejoramiento Irfanview siempre pregunta por nombre para prevenir sobreescribiendo 16
ProDiscover Basic 17
Capture an Image 18
19
20
Habilidades del Laboratorio • Busqueda – Espacio “Slack” – Espacio Libre • Producción de Evidencia • Testigo Experto 21
RECURSOS WWW.THEIAI.ORG Digital Evidence Committee FAQ )Preguntas Frequentes 22
23
? ? ? ? Conclusión Recuerda Probar las herramientas Documentar el trabajo. Siempre trabaja con copia. Nunca con el original. Conoce sus limites. 24