Está en la página 1de 3

Taller de Co mputo Forense

Prctica 2
Anlisis de caso
Se sorprende a un apersona en su casa que aparentemente se dedica a la
venta de estupefacientes
Se le detecta una usb y se procede al anlisis
Para iniciar el anlisis forense:
2. Copiar la evidencia, para trabajar con la copia.
cp <evidencia> <copia>
3. Verificar la huella digital de la copia
md5sum -c imagen.md5
4. Identificar el sistema de archivos del que procede esa imagen
file <copia>
5. Hay que montar la imagen en modo de slo lectura
mount -o loop,ro <copia> /mnt/img1 //As root
6. Revisar archivos existentes
ls /mnt/img1
7. Checar archivos borrados
debugfs -w <copia>
debugfs: ls -ld //Si hay archivos borrados los inodo no los
muestra
debugfs: lsdel // Muestra la informacin de los archivos
borrados
debugfs: stat <[inodo]> //Muestra las estadsticas del archivo
debugfs: dump_unused //Saca un archivo desde inodo y fuera
del debugfs
debugfs: undel <[inodo]> <archivo>
debugfs: quit
8. Identificar si los archivos tienen datos ocultos a travs de Esteganografa
steghide info <arch> // para saber si tiene datos ocultos
steghide extract sf <arch> //Para extraer archivo oculto
9. Truecrypt es el programa ms utilizado para cifrar datos
truecrypt text mount <arch_encriptado> <dir> //As root
10. Revisar los archivos montados
11. Los PDFs tambin pueden tener informacin oculta, para ver si tienen algo, hay que
montar el archivo pdf.
mount_pdf <pdf> <dir> //as root
12. Copiar los archivos para posterior anlisis
13. Desmontar las imgenes
truecrypt text dismount <dir> //As root
umount <dir> //as root del pdf
14. Volver a buscar algo encriptado con el nuevo descubrimiento
ANEXO I.
Algunos comandos de Linux
cat
dd
debugfs
file
man
more
mount
mount_pdf
su
sudo
steghide
truecrypt
umount