Práctica forense de Linux: Guía para investigadores digitales

Opiniones de los lectores

Las reseñas destacan que la 'Deadbox Linux Forensics Guide' está bien organizada y es informativa para los usuarios familiarizados con el análisis forense, especialmente en sistemas operativos Windows. El libro enseña eficazmente los entresijos de la realización de análisis forenses deadbox en Linux, al tiempo que mantiene un nivel accesible para los lectores. Ha sido considerado un recurso adecuado para fines educativos y elogiado por su claridad y utilidad.

Contenido bien organizado, construye el conocimiento de manera efectiva, adecuado tanto para usuarios ocasionales como para entornos educativos, gran claridad y utilidad, valioso para la investigación forense digital.

No se menciona explícitamente, pero los usuarios sin experiencia previa en Linux pueden encontrar ciertos temas difíciles.

(basado en 3 opiniones de lectores)

Título original:

Practical Linux Forensics: A Guide for Digital Investigators

Contenido del libro:

Un recurso para ayudar a los investigadores forenses a localizar, analizar y comprender las pruebas digitales encontradas en los sistemas Linux modernos tras un delito, incidente de seguridad o ciberataque.

Practical Linux Forensics se sumerge en los detalles técnicos del análisis de imágenes forenses postmortem de sistemas Linux que han sido mal utilizados, abusados, o el objetivo de ataques maliciosos. Ayuda a los investigadores forenses a localizar y analizar las pruebas digitales encontradas en escritorios Linux, servidores y dispositivos IoT. A lo largo del libro, aprenderá a identificar artefactos digitales que puedan ser de interés para una investigación, sacar conclusiones lógicas y reconstruir la actividad pasada a partir de incidentes. Aprenderá cómo funciona Linux desde la perspectiva de la investigación forense digital y cómo interpretar las pruebas de los entornos Linux. Las técnicas mostradas pretenden ser independientes de las plataformas y herramientas de análisis forense utilizadas.

Aprenda a:

Extraer pruebas de dispositivos de almacenamiento y analizar tablas de particiones, administradores de volúmenes, sistemas de archivos populares de Linux (Ext4, Btrfs y Xfs) y cifrado.

Investigar evidencias de los registros de Linux, incluyendo el syslog tradicional, el diario systemd, los registros del kernel y de auditoría, y los registros de dæmons y aplicaciones.

Reconstruir el proceso de arranque de Linux, desde los cargadores de arranque (UEFI y Grub) y la inicialización del kernel, hasta los archivos de unidad systemd y los objetivos que conducen a un inicio de sesión gráfico.

Realizar análisis de energía, temperatura y el entorno físico de una máquina Linux, y encontrar evidencia de suspensión, hibernación, apagados, reinicios y bloqueos.

Examinar el software instalado, incluidos los instaladores de distribuciones, los formatos de paquetes y los sistemas de gestión de paquetes de Debian, Fedora, SUSE, Arch y otras distribuciones.

Realizar análisis de la configuración de hora y configuración regional, internacionalización, incluida la configuración de idioma y teclado, y geolocalización en un sistema Linux.

Reconstruir sesiones de inicio de sesión de usuario (shell, X11 y Wayland), escritorios (Gnome, KDE y otros) y analizar llaveros, carteras, papeleras, portapapeles, miniaturas, archivos recientes y otros artefactos del escritorio.

- Analizar la configuración de red, incluyendo interfaces, direcciones, gestores de red, DNS, artefactos inalámbricos (Wi-Fi, Bluetooth, WWAN), VPNs (incluyendo WireGuard), cortafuegos y configuraciones proxy.

Identificar rastros de dispositivos periféricos conectados (PCI, USB, Thunderbolt, Bluetooth), incluidos almacenamiento externo, cámaras y móviles, y reconstruir la actividad de impresión y escaneado.