Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMTICA FORENSE
Fecha: 28/04/2016
CASO MVCT-LABORATORIO 4:
EXAMINADOR FORENSE: LUIS CARLOS QUIONES DIAZ , SERGIO ANDRES GONZALEZ
CASTRO.
CASO No.0004
SOLICITANTE: JOHN ROBERTH CORREA ZUNIGA
CARGO: Ingeniero
FECHA
FECHA
FECHA
FECHA
DE
DE
DE
DE
RECIBIDO: 14/04/2016
APERTURA: 20/04/2016
TERMINACIN: 25/04/2016
PRESENTACIN: 28/04/2016
Se realizara copia al disco original entregado por el docente, esto con el fin de garantizar la
integridad de los datos contenido en el disco, se realizara en analisis sobre el disco copiado,
adems se realizara firmas de los discos, para demostrar que el disco se copi
correctamente y la evidencia no fue alterada en el momento de la clonacin.
Pgina 1 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Dentro del curso Informtica forense que es denominado por el numeral 9230 se puede ver
una carpeta llamada Disco-Imagen en la cual se encuentra la imagen del disco original, este
tiene como nombre (Disk1-t4.vhd).
Una vez descargado lo montaremos en nuestra maquina parrot la cual es una suit de utilidad
para estudiar casos de forense.
Pgina 2 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Ya montado el disco e inicializado el sistema parrot, se debe ingresar como usuario root,
abrimos una terminal y consultaremos los discos que se encuentran. El disco sdb es el
original donde se encuentra la informacin, este tiene una particin que podemos observar
llamada sdb1. Otro disco que observamos es el sdc el cual es donde se realiza la copia de
seguridad del disco original.
Con el siguiente comando se listan los disco montados en el sistema ls /dev/sd*
Pgina 3 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Realizaremos la clonacin del disco empleando la herramienta dd, el primer paso es verificar
que el disco c se encuentre sin datos, le asignaremos ceros a los sectores del disco cada
1M. Cuando se termine nos mostraras los registros ledos y copiados que para este caso
corresponden a 4097 y 4096 respectivamente. En la siguiente lnea no muestra la cantidad
de informacin copiada, el tiempo que demoro el proceso y la velocidad con la que se realiz
el proceso.
Utilizando la misma herramienta realizaremos la copia del disco original sdb al sdc el cual va
ser nuestro disco analizar. La sintaxis dd if = /dev/sdb bs = 1M of = /dev/sdc nos indica que
se copiara el disco sdb al sdc pasando archivos cada 1M, de igual manera no mostrara lo
registros ledos y escritos.
Pgina 4 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
El analisis del disco se realiz bajo la herramienta llamada autopsy, esta es una de las
mejores herramientas para el analisis de evidencia digital, la cual permite diversos tipos de
analisis ya que toma diferentes capturas del disco analizado.
La ubicacin de dicha herramienta se encuentra en el directorio de Forensia.
Pgina 5 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Al ejecutar esta herramienta muestra sus servicios desde el navegador de forma local,
cuando se ejecuta nos muestra un enlace en cual nos re direcciona a la pgina en el
navegador.
Pgina 6 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 7 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
En el siguiente formulario se agreg el nombre del caso Recuperacin, descripcin del caso
Analisis de Disco y por ltimo se agregaron los nombres de los investigadores forenses
a.Luis Quiones b.Sergio Gonzalez
Pgina 8 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Agregamos el nombre del Host que vamos analizar en este caso el nombre asignado es
Taller-4, se agrega la zona horaria.
En la anterior imagen nos muestra el nombre del caso y el nombre que se le asign al host.
Procedemos agregar la imagen del disco clonado para el analisis.
Pgina 9 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Se agreg la ruta del disco clonado, como se dijo anterior mente el disco original no se toca
ya que la evidencia puede ser alterada, trabajaremos sobre el disco /dev/sdc este contiene
una copia bit a bit del disco original.
En la parte dos Type trabajamos con la opcin Disk ya que analizaremos el disco completo,
se contina con el proceso.
A continuacin llegamos a los detalles de los archivos de la imagen clonada, este nos da
varias opciones para calcular o verificar la firma MD5 que tiene el disco analizar, para nuestro
caso verificaremos las firmas que se produjeron anteriormente en el copiado. Tambien se
puede obtener que el sistema de ficheros del disco contiene un formato de fat32.
Pgina 10 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 11 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
La herramienta Autopsy verifica en el md5, indica que contienen la misma firma y tiene el
mismo formato de ficheros fat32.
Aqu se termina en el proceso de preparacion del disco; daremos inicio analizar el disco.
Pgina 12 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Los archivos que se encuentran en color rojo son los archivos recuperados por la
herramienta, autopsy permite crear para cada archivo una firma de MD5, tambien podemos
filtrar informacion por sus diferentes tipos de analisis de datos. Los contenidos de archivos
pueden ser visualizados en formato raw, hexadecimal o en cadenas ASCII extrados.
Pgina 14 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 15 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Ingresamos al directorio que tiene por nombre $FAT2, este no muestra ningn tipo de
contenido, verificamos su metadatos, este directorio no tiene permisos de lectura; aqu
muestra el contenido Md5 y SHA-1, algunos detalles especficos tamao, nombre, atributos,
fechas de creacin, modificacin y ultimo acceso.
Pgina 16 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Ingresamos al directorio que tiene por nombre $MBR, este no muestra ningn tipo de
contenido, verificamos su metadatos, este directorio no tiene permisos de lectura; aqu
muestra el contenido Md5 y SHA-1, algunos detalles especficos tamao, nombre, atributos,
fechas de creacin, modificacin, ultimo acceso; este directorio no contiene ningn Sectors.
Pgina 17 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Este directorio no tiene permisos de lectura, mostramos los detalles, peso nombre, atributos,
fechas de creacin y modificacin.
Pgina 18 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Analizamos el archivo LOBORA~1 el cual tiene un peso de 10240 su fecha de creacin fue el
11de abril de 2016 a las 18horas y 17 minutos. Este archivo no tiene permisos de lectura, a
continuacin analizaremos los Sectors de este archivo.
Pgina 19 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Empezamos con el sector 16406 donde nos muestra una cadena de caracteres Hex
Contents, en este sector muestra unos cuantos caracteres pero no se puede observar ningn
tipo de evidencia.
Pgina 20 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Avanzamos revisando los sectores del archivo y llegamos al sector 16410, 16412, 16413,
16414, 16415, 16416, 16417 este ya nos muestra la totalidad del texto que contiene el
documento.
En el sector 16417 se puede evidenciar la contrasea.
Pgina 21 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 22 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 23 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
La clave encontrada en el sector 16417 est escrita en hexadecimal, por lo que se debe
utilizar un convertidor para pasarla a codigo ASCII, para este caso utilizaremos la
herramienta HEX to ASCII Converter. Se escribe la clave el software traduce
automticamente. El traspaso de un formato a otro nos muestra que la clave es 123abc.
Pgina 24 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 25 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Durante el analisis que se realiz con autopsy se observaron varios documentos eliminados,
para la recuperacin de esto emplearemos la herramienta foremost, el cual se aplicara sobre
el disco de prueba que en este caso el sdc, al ejecutarse la el comando se le pasara por
parmetros -v el cual nos muestra la ejecucin del proceso de recuperacin, otro parmetro
es el -t con el cual especificamos los tipos de archivos es decir la extensin de los archivos
que se desean recuperar, para este caso se acompaara este parmetro con all el cual nos
recuperar todos los tipos de archivos borrados.
Terminado el escaneo y la recuperacin aplicada al disco sdc, se observa que se
recuperaron 3 archivos tipo .doc, cuyo peso tienen 15, 11, 60 KB, respectivamente.
Pgina 26 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Cuando se ejecuta la recuperacin con esta herramienta crea por defecto un directorio
general con el nombre output_dia_hora de la recuperacin, dentro de este se crea un
directorio para todo tipo de datos, los archivos examinados con autopsy son de extensin
.doc por esta razn nos dirigiremos al directorio que contenga los archivos .doc.
En el directorio doc encontramos tres archivos, los cuales son los que se especificaron en la
recuperacin.
Pgina 27 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
El resto de archivos recuperados, de igual manera se intent ver el contenido. Estos iguales
que el anterior se encontraba protegido por un password, se intent con la misma contrasea
encontrada y efectivamente nos funcion de igual manera por lo que se deduce que estos
archivos se establecieron como prueba.
Pgina 28 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 29 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
Pgina 30 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
Fecha: 28/04/2016
CONCLUSIONES
El anlisis forense es una de las ciencias que nos permite determinar y resolver, crmenes informticos.
Realizando diversos tipos de anlisis como recuperacin y extraccin de informacin pertinente para la
investigacin del delito informtico. Para el anlisis existen herramientas libres por ejemplo Autopsy,
las cuales nos permiten realizar un anlisis completo de la informacin.
Durante el desarrollo de este laboratorio se realizo el anlisis de varios archivos .doc, los cuales se
encontraban eliminados y contenan la informacin a la cual se quera llegar.
Pgina 31 de 32
INFORME DE INVESTIGACIN
INFORMTICA FORENSE
_____________________________
Nombre del Examinador Forense
Cargo Tec. Redes y Seg. informatica
Fecha: 28/04/2016
__________________________
Nombre del Examinador Forense
Cargo Tec. Redes y Seg. informatica
Pgina 32 de 32