Módulo de adquisición de evidencias forenses en Rust

Abstract

La adquisición de evidencias forenses en ciberseguridad es un proceso crítico para garantizar la integridad y validez de las pruebas digitales, y se lleva a cabo siguiendo procedimientos y técnicas especializadas para asegurar la legalidad y fiabilidad de la evidencia recopilada. En particular en el trabajo aquí presentado se ha centrado en conseguir cualquier tipo de evidencia o rastro dejado por un evento o actividad en Windows relacionada con la seguridad de los sistemas informáticos. es decir, determinar qué artefactos se desean extraer. Para realizar este trabajo ha sido necesario hacer un estudio detallado de los diferentes artefactos de Windows y seleccionar aquellos que mejor se adaptaban a los objetivos del presente trabajo, teniendo en cuenta que también se buscaba aportar al campo de la investigación forense en ciberseguridad. Como resultado de todo el estudio anterior se ha diseñado e implementado una herramienta/biblioteca para obtener evidencias forenses a partir de artefactos de Windows.

The acquisition of forensic evidence in cybersecurity is a critical process to ensure the integrity and validity of digital evidence, and is carried out following specialized procedures and techniques to ensure the legality and reliability of the evidence collected. In particular, the work presented here has focused on getting any type of evidence or trace left by an event or activity in Windows related to the security of computer systems. i.e., determine what artifacts you want to extract. To carry out this work it has been necessary to make a detailed study of the different Windows artifacts and select those that best suited the objectives of this work, taking into account that it also sought to contribute to the field of cybersecurity forensic investigation. As a result of all the previous study, a tool/library has been designed and implemented to obtain forensic evidence from Windows artifacts.