# Sistema operativo Linux

#### Captura de memoria RAM

Requisitos:

- Aceso al sitema
- Privilegios de administrador
- Dispositivo USB con almacenamiento mayor a la RAM

Herramientas:

- LiME (Linux Memory Extractor)
- Volatility

#### Análisis forense al tráfico de red (Local)

Requisitos:

- Acceso al sistema
- Privilegios de administrador

Herramientas:

- Wireshark
- NetworkMiner
- PcapXray

#### Analisis forense al trafico de red (Remoto)

Requisitos:

- Logs de switches, routers, and firewalls

Herramientas

- Análisis manual

#### Copia forense del disco de almacenamiento de datos ( Sin apagar el sistema)

Requisitos:

- Acceso al sistema
- Privilegios de root
- Dispositivo usb con almacenamiento mayor al disco a analizar

Posibles herramientas:

- Solo se identificaron herramientas para el sistema operativo Windows

#### Copia forense del disco de almacenamiento de datos ( Servidor Apagado)

Requisitos

- Acceso fisico al disco de almacenamiento
- Dispositivo usb con almacenamiento mayor al disco a analizar

Posibles herramientas

- dc3dd
- dd
- FTK Imager

#### Otras técnicas

##### Ver los puertos abiertos y proceso asociados

```bash
lsof -i -P
```

##### Ver los archivos abiertos por un proceso

```bash
lsof -p <pid>
```

##### Ver los últimos logeos

```bash
last
```

##### Quién está logeado actualmente

```bash
who
w
```

##### Ver el historial de comandos

```bash
more ~/.bash_history
```

##### Investigar proceso sospechoso

```bash
cd /proc/<pid>
strings ./exe
```

#### Fuentes:

- Learn Computer Forensics: A beginner’s guide to searching, analyzing, and securing digital evidence
- Digital Forensics and Incident Response - Second Edition