INFORME DE INVESTIGACIN

INFORMTICA FORENSE

Fecha: 28/04/2016

CASO MVCT-LABORATORIO 4:
EXAMINADOR FORENSE: LUIS CARLOS QUIONES DIAZ , SERGIO ANDRES GONZALEZ
CASTRO.
CASO No.0004
SOLICITANTE: JOHN ROBERTH CORREA ZUNIGA
CARGO: Ingeniero

FECHA
FECHA
FECHA
FECHA

DE
DE
DE
DE

RECIBIDO: 14/04/2016
APERTURA: 20/04/2016
TERMINACIN: 25/04/2016
PRESENTACIN: 28/04/2016

TOTAL HORAS FORENSES:

Horas
S.O. EXAMINADO: Parrot
SISTEMA DE ARCHIVOS:
ARCHIVOS ANALIZADOS:
RUTA ARCHIVOS: /dev/sdc
Acciones realizadas: Clonacin de disco, Analisis con autopsy, Recuperacin de archivos
eliminados con foremost, anlisis de archivos eliminados y sus sectores obtencin de
password.
Fecha 1: 18:00 Horas-22:00 Horas
Fecha 2: 17:00 Horas-22:00 Horas
Fecha 3: 01:00 Horas-23:00 Horas
Fecha 4: 15:00 Horas-22:00 Horas
RECOMENDACIONES GENERALES
RECOMENDACIONES GENERALES

Se realizara copia al disco original entregado por el docente, esto con el fin de garantizar la
integridad de los datos contenido en el disco, se realizara en analisis sobre el disco copiado,
adems se realizara firmas de los discos, para demostrar que el disco se copi
correctamente y la evidencia no fue alterada en el momento de la clonacin.

Pgina 1 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

El disco analizar se encuentra en la plataforma virtual de la Universidad Uniminuto,

acontinuacion se puede observar la direccion url y la ruta de acceso para obtener el disco.

Dentro del curso Informtica forense que es denominado por el numeral 9230 se puede ver
una carpeta llamada Disco-Imagen en la cual se encuentra la imagen del disco original, este
tiene como nombre (Disk1-t4.vhd).

Se inicia la descarga de dicho disco.

Una vez descargado lo montaremos en nuestra maquina parrot la cual es una suit de utilidad
para estudiar casos de forense.
Pgina 2 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

En la siguiente imagen se muestran los disco ya montados en la mquina virtual, en primer

disco tiene como nombre parrot clonar este disco contiene los archivos nativos del sistema
operativo, el segundo disco tiene como nombre Disk1-t4 este es el disco el cual se va a
clonar para realizar el analisis, el tercer disco tiene como nombre Copia4 en este se
almacenara la copia del disco Disk1-t4.

Ya montado el disco e inicializado el sistema parrot, se debe ingresar como usuario root,
abrimos una terminal y consultaremos los discos que se encuentran. El disco sdb es el
original donde se encuentra la informacin, este tiene una particin que podemos observar
llamada sdb1. Otro disco que observamos es el sdc el cual es donde se realiza la copia de
seguridad del disco original.
Con el siguiente comando se listan los disco montados en el sistema ls /dev/sd*

Pgina 3 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Realizaremos la clonacin del disco empleando la herramienta dd, el primer paso es verificar
que el disco c se encuentre sin datos, le asignaremos ceros a los sectores del disco cada
1M. Cuando se termine nos mostraras los registros ledos y copiados que para este caso
corresponden a 4097 y 4096 respectivamente. En la siguiente lnea no muestra la cantidad
de informacin copiada, el tiempo que demoro el proceso y la velocidad con la que se realiz
el proceso.
Utilizando la misma herramienta realizaremos la copia del disco original sdb al sdc el cual va
ser nuestro disco analizar. La sintaxis dd if = /dev/sdb bs = 1M of = /dev/sdc nos indica que
se copiara el disco sdb al sdc pasando archivos cada 1M, de igual manera no mostrara lo
registros ledos y escritos.

Pgina 4 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Ya realizada la clonacin, listaremos nuevamente el directorio donde se encuentra los discos

con el comando ls, se puede observar que en disco sdc tiene una particin sdc1, esto debido
a que este en una copia del disco sdb.

El disco se firmara utilizando la herramienta md5sum, se realizara primeramente al disco sdc

y respectivamente al disco, este procedimiento se realizara para garantizar que los discos
son iguales y tienen la misma informacion. Esta firma evita que se haga uso inadecuado del
contenido del disco.

El analisis del disco se realiz bajo la herramienta llamada autopsy, esta es una de las
mejores herramientas para el analisis de evidencia digital, la cual permite diversos tipos de
analisis ya que toma diferentes capturas del disco analizado.
La ubicacin de dicha herramienta se encuentra en el directorio de Forensia.

Pgina 5 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Al ejecutar esta herramienta muestra sus servicios desde el navegador de forma local,
cuando se ejecuta nos muestra un enlace en cual nos re direcciona a la pgina en el
navegador.

Pgina 6 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

La herramienta crea un registro de evidencia en la siguiente ruta /var/lib/autopsy, tambien

indica el tiempo exacto cuando se realiz la llamada a la herramienta y por defecto utiliza el
puerto 9999; esta es ejecutada mediante el navegador.
Ya teniendo una copia exacta del disco a analizar, procedemos a la creacin del caso
forense, damos ejecucin del Autopsy Forensic Browser da jueves 21 de abril a las 13
horas y 26 minutos.

Pgina 7 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Se da inicio a nuestro caso desde la herramienta Autopsy New Case

En el siguiente formulario se agreg el nombre del caso Recuperacin, descripcin del caso
Analisis de Disco y por ltimo se agregaron los nombres de los investigadores forenses
a.Luis Quiones b.Sergio Gonzalez
Pgina 8 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Agregamos el nombre del Host que vamos analizar en este caso el nombre asignado es
Taller-4, se agrega la zona horaria.

En la anterior imagen nos muestra el nombre del caso y el nombre que se le asign al host.
Procedemos agregar la imagen del disco clonado para el analisis.
Pgina 9 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Se agreg la ruta del disco clonado, como se dijo anterior mente el disco original no se toca
ya que la evidencia puede ser alterada, trabajaremos sobre el disco /dev/sdc este contiene
una copia bit a bit del disco original.
En la parte dos Type trabajamos con la opcin Disk ya que analizaremos el disco completo,
se contina con el proceso.
A continuacin llegamos a los detalles de los archivos de la imagen clonada, este nos da
varias opciones para calcular o verificar la firma MD5 que tiene el disco analizar, para nuestro
caso verificaremos las firmas que se produjeron anteriormente en el copiado. Tambien se
puede obtener que el sistema de ficheros del disco contiene un formato de fat32.

Pgina 10 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Se procede a verificar el MD5 del disco /dev/sdc

Pgina 11 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

La herramienta Autopsy verifica en el md5, indica que contienen la misma firma y tiene el
mismo formato de ficheros fat32.

Aqu se termina en el proceso de preparacion del disco; daremos inicio analizar el disco.

Pgina 12 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Aqu seleccionaremos el volumen el cual queremos analizar.

Analizaremos la unidad C:/ esta es la que contiene el sistema de archivos en fat32.

Para iniciar el analizis pulsamos clic en File Analysis.

Pgina 13 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Al ingresar al anlisis, podemos evidenciar cada uno de los archivos temporales,

permanentes, eliminados o averiados, que se encuentran en la imagen clonada del disco
original.

Los archivos que se encuentran en color rojo son los archivos recuperados por la
herramienta, autopsy permite crear para cada archivo una firma de MD5, tambien podemos
filtrar informacion por sus diferentes tipos de analisis de datos. Los contenidos de archivos
pueden ser visualizados en formato raw, hexadecimal o en cadenas ASCII extrados.

Pgina 14 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Iniciamos el analisis de todos los directorios que encontr el autopsy, ingresamos al

directorio que tiene por nombre $FAT1, este no muestra ningn tipo de contenido,
verificamos su metadatos, aqu es donde muestra el contenido Md5 y SHA-1, algunos
detalles especficos tamao, nombre, atributos, fechas de creacin, modificacin y ultimo
acceso.

Pgina 15 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Ingresamos al directorio que tiene por nombre $FAT2, este no muestra ningn tipo de
contenido, verificamos su metadatos, este directorio no tiene permisos de lectura; aqu
muestra el contenido Md5 y SHA-1, algunos detalles especficos tamao, nombre, atributos,
fechas de creacin, modificacin y ultimo acceso.

Pgina 16 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Ingresamos al directorio que tiene por nombre $MBR, este no muestra ningn tipo de
contenido, verificamos su metadatos, este directorio no tiene permisos de lectura; aqu
muestra el contenido Md5 y SHA-1, algunos detalles especficos tamao, nombre, atributos,
fechas de creacin, modificacin, ultimo acceso; este directorio no contiene ningn Sectors.

Pgina 17 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Ingresamos al directorio $OrphanFiles la herramienta se encarga de mostrar dos archivos

recuperados uno tiene como nombre JOHN_C~1.DOC y el otro LABORA~1

Este directorio no tiene permisos de lectura, mostramos los detalles, peso nombre, atributos,
fechas de creacin y modificacin.

Pgina 18 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Analizamos el archivo LOBORA~1 el cual tiene un peso de 10240 su fecha de creacin fue el
11de abril de 2016 a las 18horas y 17 minutos. Este archivo no tiene permisos de lectura, a
continuacin analizaremos los Sectors de este archivo.

Pgina 19 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Empezamos con el sector 16406 donde nos muestra una cadena de caracteres Hex
Contents, en este sector muestra unos cuantos caracteres pero no se puede observar ningn
tipo de evidencia.

Pgina 20 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Avanzamos revisando los sectores del archivo y llegamos al sector 16410, 16412, 16413,
16414, 16415, 16416, 16417 este ya nos muestra la totalidad del texto que contiene el
documento.
En el sector 16417 se puede evidenciar la contrasea.

Pgina 21 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Pgina 22 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Pgina 23 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

La clave encontrada en el sector 16417 est escrita en hexadecimal, por lo que se debe
utilizar un convertidor para pasarla a codigo ASCII, para este caso utilizaremos la
herramienta HEX to ASCII Converter. Se escribe la clave el software traduce
automticamente. El traspaso de un formato a otro nos muestra que la clave es 123abc.

Pgina 24 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Corporacin Universitaria Minuto de Dios.

Anlisis Forense
Recuperacin de datos con la herramienta Autopsy.
Por. Msc- John Correa
Para desarrollar el Laboratorio #4, se requiere utilizar los procedimientos vistos
en los anteriores talleres de clonacin de discos duros para garantizar que la
evidencia digital se mantenga en su estado original.
Una vez el estudiante ha logrado clonar el disco duro entregado por el docente, se
requiere el uso de la herramienta (Autopsy), para recuperar un archivo que ha
eliminado.
El fichero que se debe recuperar tiene la extensin *.doc y ademas tiene un
contrasea de seguridad generada en sha1 el cual se debe extraer y presentar en
formato de texto plano, para luego utilizarla para poder desplegar el archivo *.doc
propuesto.
Condiciones de entrega:
El desarrollo del laboratorio se debe desarrollar individualmente y documentar
todos los procedimientos que se realizaron para lograr recuperar la informacin, es
importante tener presente que todas las pruebas y ejecucin de herramientas se
deben ejecutar sobre la copia realizada del disco que ha entregado el docente no
sobre el disco original.
En el aula virtual encontrar un directorio llamado Disco-Laboratorio-4 y en el
encontrar el disco virtual que debern utilizar para desarrollar el laboratorio.
La fecha de entrega del documento con las evidencias el da Jueves 21 de Abril en
horario de clase, no existe otra fecha para la recepcin de dicho documento.
El informe a entregar debe cumplir con todas las directivas de un informe tcnico
de la cadena de custodia.
Nota: No se reciben trabajos en formato digital.

Pgina 25 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Durante el analisis que se realiz con autopsy se observaron varios documentos eliminados,
para la recuperacin de esto emplearemos la herramienta foremost, el cual se aplicara sobre
el disco de prueba que en este caso el sdc, al ejecutarse la el comando se le pasara por
parmetros -v el cual nos muestra la ejecucin del proceso de recuperacin, otro parmetro
es el -t con el cual especificamos los tipos de archivos es decir la extensin de los archivos
que se desean recuperar, para este caso se acompaara este parmetro con all el cual nos
recuperar todos los tipos de archivos borrados.
Terminado el escaneo y la recuperacin aplicada al disco sdc, se observa que se
recuperaron 3 archivos tipo .doc, cuyo peso tienen 15, 11, 60 KB, respectivamente.

Pgina 26 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Cuando se ejecuta la recuperacin con esta herramienta crea por defecto un directorio
general con el nombre output_dia_hora de la recuperacin, dentro de este se crea un
directorio para todo tipo de datos, los archivos examinados con autopsy son de extensin
.doc por esta razn nos dirigiremos al directorio que contenga los archivos .doc.

En el directorio doc encontramos tres archivos, los cuales son los que se especificaron en la
recuperacin.

Pgina 27 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Se intenta observar el contenido del documento con el nombre 00018486.doc, el cual se

encuentra protegido por una password, la cual fue encontrada durante el anlisis de los
documentos con la herramienta autopsy. Ingresamos la contrasea 123abc, la cual nos
permite el acceso para la visualizacin del archivo.
Segn el archivo analizado con autopsy, el contenido que mostraba en cada uno de los
sectores, es el que se encuentra en el archivo cuya numeracin corresponde 00018486.doc
por tal razn se deduce que este archivo es el documento clave en la investigacin realizada.

El resto de archivos recuperados, de igual manera se intent ver el contenido. Estos iguales
que el anterior se encontraba protegido por un password, se intent con la misma contrasea
encontrada y efectivamente nos funcion de igual manera por lo que se deduce que estos
archivos se establecieron como prueba.
Pgina 28 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Pgina 29 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

Pgina 30 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

Fecha: 28/04/2016

CONCLUSIONES
El anlisis forense es una de las ciencias que nos permite determinar y resolver, crmenes informticos.
Realizando diversos tipos de anlisis como recuperacin y extraccin de informacin pertinente para la
investigacin del delito informtico. Para el anlisis existen herramientas libres por ejemplo Autopsy,
las cuales nos permiten realizar un anlisis completo de la informacin.
Durante el desarrollo de este laboratorio se realizo el anlisis de varios archivos .doc, los cuales se
encontraban eliminados y contenan la informacin a la cual se quera llegar.

Pgina 31 de 32

INFORME DE INVESTIGACIN
INFORMTICA FORENSE

_____________________________
Nombre del Examinador Forense
Cargo Tec. Redes y Seg. informatica

Fecha: 28/04/2016

__________________________
Nombre del Examinador Forense
Cargo Tec. Redes y Seg. informatica
Pgina 32 de 32