Directorios importantes para el análisis forense

| Última modificación: 8 de julio de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

El análisis forense es una de las disciplinas de la ciberseguridad que se encarga de analizar pruebas de delitos en informática forense.

Esta disciplina analiza sistemas operativos completos, dispositivos móviles u otras herramientas, como discos duros, entre otros, por medio de herramientas forenses específicas.

Existen algunos directorios importantes para el análisis forense en Linux que vale la pena mencionar. Aquí te hablamos sobre algunos.

Directorios importantes para el análisis forense

Directorio /var

El fichero determinante entre los directorios importantes para el análisis forense es el /var, ya que es el principal.

El /var se utiliza para almacenar, como su nombre indica, archivos variables, entre los cuales se encuentran los archivos de registro del sistema, archivos de correo electrónico, archivos temporales de la impresora, bases de datos y otros archivos generados por aplicaciones del sistema.

Subdirectorios de /var

Algunos de los subdirectorios de /var que también son importantes son:

  • /log. Este directorio se encuentra entre los directorios importantes para el análisis forense y contiene los logs del sistema. También almacena los archivos de registro del sistema y de las aplicaciones. Aquí se pueden encontrar registros de errores, mensajes del kernel y otros registros relevantes del sistema.
  • /mail. Este subdirectorio, que se encuentra entre los directorios importantes para el análisis forense, almacena los correos electrónicos de los usuarios que han sido entregados a sus cuentas.
  • /spool. Aquí se almacenan archivos temporales de la impresora y otros archivos de cola, como correos electrónicos que están siendo procesados para ser entregados a los usuarios.
  • /tmp. Dentro se almacenan archivos temporales de aplicaciones y páginas web visitadas, lo que puede ayudar a mejorar la velocidad de acceso a esos recursos en futuras visitas.

Otras carpetas y directorios importantes para el análisis forense (fuera de /var)

Existen otras carpetas y directorios importantes para el análisis forense que deberíamos conocer en nuestra área, que están fuera del directorio /var. Veamos:

  • /crash: esta carpeta contiene un volcado de memoria del sistema en el momento en el que ocurre una falla en el sistema. Cuando, por la razón que sea, se produce un bloqueo, un fallo en el sistema, esta carpeta almacena información sobre lo que el sistema ha podido recopilar acerca de este inconveniente.
  • /backups: si lo tenemos activado, esta es la carpeta en donde se guardan las copias de seguridad. Los backups son importantes para asegurar la integridad de los datos en caso de fallas del sistema, errores humanos, virus informáticos y otros problemas que puedan causar la pérdida de información importante.
    La carpeta /backups puede crearse en cualquier ubicación del sistema de archivos, pero es común que se encuentre en la raíz del sistema o en una unidad separada dedicada exclusivamente para el almacenamiento de backups.
  • /lock: aquí se guardan los bloqueos de ficheros. Esta es una carpeta de sistema utilizada por el kernel del SO para bloquear temporalmente el acceso a determinados recursos compartidos entre procesos. En otras palabras, cuando un proceso necesita acceder a un recurso compartido que ya está siendo utilizado por otro proceso, puede colocar un archivo de bloqueo en la carpeta /lock para evitar que otros procesos intenten acceder al mismo recurso al mismo tiempo. De esta manera, se evita que se produzcan conflictos y se asegura que los procesos puedan acceder a los recursos compartidos de forma segura.
  • /lib: aquí se guardan las librerías.
  • /run: se encuentran los procesos que en un momento dado habría en el sistema para que el siguiente inicio de sistema tarde menos (información sobre usuarios, dispositivos montados, configuración dns, redes). Aquellos con extensión .pid son los que han estado conectados.
  • /etc: contiene información sobre usuarios (passwd), claves cifradas de los usuarios (shadow), grupos de usuarios (group).
    Dentro de esta carpeta se puede encontrar:
    • /network: información sobre la configuración de red.
    • /init.d: todos los daemons (a veces denomimados demonios) y servicios que se arrancan (revisar por si hay alguno anómalo).
Directorios importantes para el análisis forense
password
shadow
sudo
  • Sistema de ficheros:
    • hostname: nombre del host.
    • hosts: correspondencia entre direcciones IP y dominios.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Ya hemos visto cuáles son algunos de los directorios importantes para el análisis forense y algunas de las carpetas que también son de gran relevancia en esta tarea. Si quieres seguir formándote en las distintas disciplinas de la seguridad informática, en KeepCoding tenemos nuestro Ciberseguridad Full Stack Bootcamp, la formación con la que puedes convertirte en un gran profesional IT con el acompañamiento de profesores expertos en el mundillo. ¡Pide más información y transforma tu vida profesional!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado