Publicación:
Automatización de la adquisición de evidencias para el análisis forense: un enfoque práctico

Vista sencilla de ítem
dc.contributor.authorGarcía Fernández, David
dc.contributor.directorTobarra Abad, María de los Llanos
dc.contributor.directorRobles Gómez, Antonio
dc.date.accessioned2025-07-11T14:41:14Z
dc.date.available2025-07-11T14:41:14Z
dc.date.issued2021-07
dc.description.abstractEl objetivo principal del proyecto es investigar, dentro del marco del análisis forense, la posibilidad de adquirir evidencias de forma automática y remota, con especial énfasis en la adquisición de memoria. Esta capacidad de adquisición automatizada y en remoto sería realmente interesante para compañías con redes extensas y/o diversas sedes al permitir delegar y centralizar la tarea de adquisición en un único punto de su estructura, al tiempo que supondría un ahorro de costes en tiempo y desplazamientos. A este tipo de redes distribuidas habría que añadir también el efecto del aumento del teletrabajo. Cada vez más empleados trabajan desde su casa, en algunos casos todos los días, o más habitualmente en esquemas de trabajo híbridos que combinan días en la oficina con días de teletrabajo. En estos casos se vuelve a poner de relevancia la conveniencia de disponer de la capacidad de adquisición remota y automatizada. Para alcanzar la automatización se utilizarán herramientas de automatización para la administración de sistemas ya existentes en el mercado. Entre las alternativas disponibles, Ansible será la opción elegida. Las razones para su elección incluyen entre otros puntos: Su condición de software de código abierto, la extensa comunidad que da soporte tanto a la herramienta, como a la documentación disponible, y su propuesta sin agentes en los endpoints, lo que minimiza la configuración previa que estos necesitan. La adquisición se realizará también utilizando herramientas ya existentes y probadas. Estas herramientas deben mantener el valor probatorio de las evidencias que se adquieran. Se buscarán aquellas más convenientes entre las disponibles dependiendo del tipo de evidencia a adquirir y del sistema operativo del endpoint. Por ejemplo, para la adquisición de memoria se experimentarán las opciones de LiME para sistemas Linux y WinPmem en el caso de sistemas Windows, mientras que para la adquisición de información del sistema de archivos en Linux se explorará la alternativa de Sleuthkit. Esta investigación se realizará utilizando una única máquina física, sobre la que se habilitará un laboratorio basado en una red virtual creada con Virtual Box. En dicha red virtual se incluirán tanto la máquina desde la que se quieren automatizar las adquisiciones como los endpoints de los que se quiere recuperar evidencias. El grupo de endpoints se conformará por diferentes máquinas con diferentes sistemas operativos, y diferentes versiones de los mismos, con el objetivo de analizar la viabilidad de la adquisición en diferentes escenarios, ya que se entiende que las redes distribuidas descritas al principio de este resumen no son homogéneas en el mundo real.es
dc.description.abstractThe main objective of the project is to investigate, within the framework of forensic analysis, chances of acquiring evidences automatically and remotely, with special emphasis on memory acquisition. This automated and remote acquisition capacity would be really interesting for companies with extensive networks and/or various geographical locations, as it allows them to delegate and centralize the acquisition task at a single point in their structure, while saving time and travel costs. . To this type of distributed networks we should also add the effect of the increase in teleworking. More and more employees are working from home, in some cases every day, or more often in hybrid work schemes that combine days in the office with days of teleworking. In these cases, the convenience of having the capacity for remote and automated acquisition becomes relevant again. In order to achieve this goal, it will be used already existing on the market automation tools for the administration of systems. Among the available alternatives, Ansible will be the chosen option. The reasons for its choice include, among other points: Its condition as open source software, the extensive community that supports both the tool and the available documentation, and its proposal without agents on the endpoints, which minimizes the previous configuration that these they need. The acquisition will also be carried out using already existing and proven tools. These tools must maintain the probative value of the evidence that is acquired. The most convenient among those available will be searched for depending on the type of evidence to be acquired and the operating system of the endpoint. For example, for memory acquisition, LiME for Linux systems and WinPmem for Windows systems will be experimented with, while for Linux file system information acquisition, the Sleuthkit alternative will be explored. This research will be carried out using a single physical machine, on which a laboratory based on a virtual network created with Virtual Box will be enabled. This virtual network will include both the machine from which you want to automate the acquisitions and the endpoints from which you want to retrieve evidence. The group of endpoints will be made up of different machines with different operating systems, and different versions thereof, with the aim of analyzing the viability of the acquisition in different scenarios, since it is understood that the distributed networks described at the beginning of this summary do not they are homogeneous in the real world.en
dc.identifier.citationGarcía Fernández, David. Trabajo Fin de Máster: "Automatización de la adquisición de evidencias para el análisis forense: un enfoque práctico". Universidad Nacional de Educación a Distancia (UNED) 2025
dc.identifier.urihttps://hdl.handle.net/20.500.14468/29424
dc.language.isoes
dc.publisherUniversidad Nacional de Educación a Distancia (UNED). E.T.S. de Ingeniería Informática
dc.relation.centerE.T.S. de Ingeniería Informática
dc.relation.degreeMáster universitario en Ciberseguridad
dc.rightsinfo:eu-repo/semantics/openAccess
dc.rights.uriAtribución-NoComercial-SinDerivadas 4.0 Internacional
dc.subject1203.17 Informática
dc.subject.keywordsanálisis forensees
dc.subject.keywordsautomatizaciónes
dc.subject.keywordsadquisición de evidenciases
dc.subject.keywordsAnsiblees
dc.subject.keywordsLiMEes
dc.subject.keywordsSleuthkites
dc.subject.keywordsWinPmemes
dc.subject.keywordsPowershelles
dc.subject.keywordsForensic Analysisen
dc.subject.keywordsautomatizationen
dc.subject.keywordsevidences acquisitionen
dc.subject.keywordsAnsibleen
dc.subject.keywordsLiMEen
dc.subject.keywordsSleuthkiten
dc.subject.keywordsWinPmemen
dc.subject.keywordsPowershellen
dc.titleAutomatización de la adquisición de evidencias para el análisis forense: un enfoque prácticoes
dc.typeotroses
dc.typeotheren
dspace.entity.typePublication
Archivos
Bloque original
Mostrando 1 - 1 de 1
Miniatura
Nombre:
GarcíaFernández_David_TFM_ANTONIO ROBLES GOMEZ.pdf
Tamaño:
1.97 MB
Formato:
Adobe Portable Document Format
Descargar
Bloque de licencias
Mostrando 1 - 1 de 1
No hay miniatura disponible
Nombre:
license.txt
Tamaño:
3.62 KB
Formato:
Item-specific license agreed to upon submission
Descripción:
Descargar
Colecciones
Trabajos de fin de máster (TFM)