Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

Módulo Marco Tecnológico Pericial

Etapa V - Análisis e interpretación de los indicios probatorios. Reconstrucción y/o

simulación del incidente

Análisis de imágenes con Autopsy

GUIA NRO 05

Nombre y Apellido: DNI: .

Calificación: Fecha: de entrega

Aspectos preliminares

En determinados casos, uno de los pasos de la recolección de datos es la generación de la ima-

gen del dispositivo a analizar posteriormente en el laboratorio. Es necesario efectuar la
certificación de la imagen duplicada previo análisis de la misma.
El análisis de la imagen de cualquier dispositivo se puede realizar con herramientas en forma ais-
lada o a través de aplicaciones que contienen un conjunto de herramientas integradas las cuales
pueden ser propietarias o software libre. En esta guía se utilizará la herramienta Autopsy de Brian
Carrier, de licencia GPL. Esta herramienta requiere la instalación previa de Sleuth Kit. La interfaz Au-
topsy de gestión de pericias, puede utilizarse desde Linux, en el navegador de Internet o en Windows
como una aplicación independiente.

Objetivos

 Conceptual: Asimilar los contenidos relacionados con el análisis de las imágenes de los
dispositivos duplicados.
 Procedimental: Aplicar las herramientas pertinentes para efectuar el análisis de la imagen
duplicada.
 Actitudinal: Valorizar la importancia de la responsabilidad del PIF al realizar el análisis en la
imagen duplicada en contraposición con el análisis en el dispositivo original.

Recursos - Herramientas:

1. Manual de Informática Forense I – Capítulo 13 - Marco Tecnológico Pericial, Apén-

dice 5 – Manual de Autopsy
2. Manual de Informática Forense II, SEGUNDA PARTE - LA INFORMÁTICA FORENSE
EN LA PRÁCTICA - Capítulos 11 al 17.
3. Demo Autopsy para Linux, vínculo en el grupo de Informática Forense
(https://espanol.groups.yahoo.com/neo/groups/informatica-forense/links/all)
4. Utilizar las herramientas de generación de imágenes utilizadas en la Guia IIIa.

a. Comando dd.exe en Windows o dd en Linux.

b. Huemul - Guymager
c. Puede utilizar la herramienta ghost, con los parámetros que se detallan en
el Manual de Informática Forense del curso, o cualquier otra que asegure
la copia bit a bit
5. Autopsy, para analizar la información de la imagen del dispositivo duplicado
d. En Windows,
i. Descargar Autopsy para Windows,
http://www.sleuthkit.org/autopsy/download.php
e. En Linux, instalar previamente Sleuth Kit y luego Autopsy, los archivos se

Curso de Experto en Informática Forense Pág. 1-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

encuentran en el material enviado oportunamente.

f. Huemul,
i. Seleccionar el botón Menú | Herramientas Forenses | Etapa V
- Análisis e interpretación de los indicios probatorios.
Reconstrucción y/o simulación del incidente| Gestor de
Pericias o
ii.En el escritorio de Huemul, seleccionar Autopsy
6. Manual de Autopsy para Linux, descargar del grupo de informatica forense
7. Video de Autopsy para Linux presentado por los docentes en el marco de la
"6ta Jornada Ejecutiva de Derecho y Delitos Informáticos" (2012).
(https://www.youtube.com/watch? v=UzHVzi_aFUs)

Consignas

Efectuar la siguiente guía de ejercicios y documentar los resultados. Los cursantes

deberán enviar por correo electrónico los resultados obtenidos de los ejercicios a
Prof. Mg. María Elena Darahuge – darahuge@yahoo.com.ar

Situación A: Análisis de un diskette del tipo IBM con formato del tipo Fat 12
(Descomprimir el archivo imagen.zip que se encuentra en la carpeta Imagenes-/magenes-dd/.
Utilizar el archivo image.dd)

Cuestionario

1. ¿Quién es el proveedor de marihuana de Jacob y cuál es su dirección?

2. ¿Qué información crítica está disponible dentro del archivo ‘coverpage.jpg’ y cuál es el moti-
vo de su criticidad?
3. Si es que existen, ¿qué otras escuelas aparte e Smith Hill frecuenta Joe Jacobs?
4. Por cada una de los archivos, ¿qué procesos fueron tomados por el sospechoso
para enmascararlo de otros procesos?
5. ¿Qué procesos fueron utilizados con éxito para examinar el contenido completo de cada archi-
vo?
6. Utilizar el modelo de informe pericial del Curso de Experto en Informática Forense y com-
pletar los elementos correspondientes a:
a. Elementos ofrecidos
b. Operaciones realizadas
c. Conclusiones
d. Anexos
e. Nota: genere los resultados de las operaciones realizadas utilizando los reportes
que produce la herramienta Autopsy.

Pasos a seguir:

1. Prmer paso: Obtención de la imagen a utilizar y validación image.zip MD5 =

b676147f63923e1f428131d59b1d6a72 ( image.zip ) Comprobación de la integridad de la imagen

$ md5sum image.zip > image.zip.md5

$ cat image.zip.md5

b676147f63923e1f428131d59b1d6a72 *image.zip

$ md5sum -c image.zip.md5 im-

age.zip: OK

2. Segundo paso: Creación del caso en Autopsy Utilizar el manual de Autopsy y crear el caso:

Curso de Experto en Informática Forense Pág. 2-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

Ingresar una nomenclatura de identificación de las pericias similar a la mencionada en el Libro de

Informática Forense del curso.
Nombre: Caso1
Descripción: scan del mes 24
Nombre del perito informático forense: colocar las iniciales

En el casillero de evidencia se creará una carpeta del caso Añadir el Host

No ingresar zona horaria, ni ajuste de hora, se desconoce si en el momento de crear el diskette la
fecha fue alterada.
Dejar en blanco los campos relacionados con las bases de datos de Hash.
En el casillero de evidencia se creará la estructura del caso incorporando el host.aut

Agregar la imagen

Autopsy guarda las imágenes en un directorio separado del Casillero de Evidencia. Se recomienda
que en el directorio de imágenes se cree un directorio donde se alojará la imagen de éste caso en
particular, la imagen debe estar descomprimida: image.dd
Tipo: Disco
Con el fin de ahorrar espacio en el disco de la computadora donde se efectuará el análisis se im-
portará como acceso directo
Nota: Autopsy no podrá determinar automáticamente el tipo de sistema del volumen al tratarse
de un diskette, éste ocupa solo un volumen, cuyo tipo es Dos

Detalles de la imagen

El único hash que se posee es el del archivo comprimido, no del archivo image.dd, por lo que el
PIF deberá Seleccionar calculate, para calcular el hash y no se señalará la opción de: Verificación
del hash después de importar la imagen de la partición

Detalles del sistema de archivo

Permite ingresar el punto de montaje y el tipo de archivo. En este caso es un diskette por lo
tanto el punto de montaje es: A:, y el tipo de sistema de archivo: Fat12.

Al oprimir agregar imagen, debe aparecer el siguiente resultado:

Calculating MD5 (this could take a while)

Current MD5: AC3F7B85816165957CD4867E62CF452B
Testing partitions
Linking image(s) into evidence locker
Image file added with ID img1

Volume image (0 to 0 - fat12 - A:) added with ID vol1

Luego de crear el Caso, de agregar el host y de agregar la imagen, Autopsy despliega el Gestor del
Host para que el PIF comience el análisis de la imagen.

3. Tercer paso: Análisis de la imagen

a. Previo al análisis de la imagen el PIF creará unos índices de búsqueda de palabras cla-
ves:
i. Seleccionar el hipervínculo details, del Gestor de Host de Autopsy.
ii. En el formulario de detalles de la imagen el PIF podrá habilitar las ca-
denas de búsqueda y los sectores no asignados, al extraer esta información en
la creación del índice mejorará el rendimiento en la búsqueda de palabras cla-
ves.
 La extracción de las cadenas ASCII y Unicode y la extracción de secto-
res no asignados en sistemas de archivos grandes lleva un tiempo

Curso de Experto en Informática Forense Pág. 3-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

considerable, en este caso se trata de 1,44 Mb por lo tanto se seleccio-

narán las dos opciones y generar MD5 para las cadenas de caracteres y
para los sectores no asignados.
a. Seleccionar Extract Strings, y luego la opción Image details
b. Seleccionar la opción Extract Unallocated,
c. La información de detalles de la imagen debe ser:

Name:image-
0-0 Volume
Id:vol1 Parent
Volume Id:img1
Image File For-
mat:raw Mount-
ing Point:A:/
File System Type:fat12

External Files
ASCII Strings:image-0-0-
fat12.asc Unicode
Strings:image-0-0-fat12.uni

Unallocated Sectors:image-0-0-fat12.unalloc ASCII Strings of Unallocat-

ed:image-0- 0-fat12.unalloc-blkls.asc
Unicode Strings of Unallocated:image-0-0-fat12.unalloc-blkls.uni

4. Cuarto paso: Análisis de la imágen JPEG

a. En el Gestor del host seleccionar Analyse

b. Seleccionar la opción File Analysis, la información se mostrará en el modo explora-
dor de archivos donde se visualizará el contenido completo de los archivos de la
imagen del diskette.
c. En el listado aparecen los siguientes archivos:
i. ‘cover page.jpgc’ (COVERP~1.JPG)
ii. ‘Jimmy Jungle.doc’ (_IMMYJ~1.DOC) – This file has been deleted.
iii. ‘Scheduled Visits.exe’ (SCHEDU~1.EXE)
d. Se verificará el contenido de cada uno de estos archivos que permita encon-
trar la información requerida para responder las preguntas solicitadas en el
cuestionario
e. En el modo de análisis al seleccionar el archivo ´cover page.jpgc’, se podrá
ver el contenido en la parte inferior de la ventana con la opción ASCII dis-
play:
i. En este caso Autopsy no reconoce el archivo como JPEG y los con-
tenidos devueltos no tienen la firma JFIF en el sexto byte del archi-
vo.
f. La información de metadato se puede observar al seleccionar el enlace 8 en la colum-
na de metadata donde se encuentra listado el archivo:
i. La información muestra el tamaño de archivo de 15.585 bytes y solo tiene
asignado un sector, el 451. El tamaño del sector en un diskette es de 512,
por lo tanto el espacio es insuficiente para alojar al archivo.

File Type:
PC formmatted floppy with no filesystem

MD5 of content:
f49ed788acc2753e5a1736808dcdd138 *-

SHA-1 of content:
dcc13088a8389d974bc544ac32d6fccb4c904fba *-

Details:

Curso de Experto en Informática Forense Pág. 4-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

Directory Entry: 8
Allocated
File Attributes: File, Ar-
chive Size: 15585
Name: COVERP~1.JPG

Directory Entry Times:

Written: Wed Sep 11 08:30:52 2002
Accessed: Wed Sep 11 00:00:00 2002
Created: Wed Sep 11 08:50:26 2002

Sectors:
451

g. Búsqueda de palabras claves. Para determinar si la información del metadato está

corrupta para el archivo de la imagen y verificar si los datos se encuentran en
cualquier otro lugar, es necesario hacer una búsqueda de la firma JFIF del archivo
JPEG.
i. Utilizar la opción Keyword search. La búsqueda encuentra una coincidencia
en el sector 73
ii. El contenido del sector se puede visualizar como ASCII o Hexadecimal
h. El metadato del archivo indica un tamaño de 15.585 bytes, requiriendo un total
de 31 sectores. La opción Data Unit permite visualizar los sectores asignados al ar-
chivo, seleccionando el botón Allocation List
i. El resultado muestra un listado de 500 (0-499) sectores por vez, indicando
los 36 sectores asignados (0-32, 73-108), 31 de los cuales pertenecen al
archivo ‘cover page.jpgc’ y los sectores no asignados o libres (33-72, 109 -).
ii. Extraer los 36 sectores, seleccionando Data Unit, ingresando el número de
sector inicial -73- y la cantidad de sectores asignados -36-, luego seleccio-
nar la opción Export Contents
iii. La exportación de los contenidos genera un archivo denominado vol1-
Sector73.raw, al tratarse de una imagen se puede visualizar el contenido
con un visor de imágenes.
iv. La exportación de los contenidos se puede realizar con el comando dd, en la
línea de comando en la consola ingresar:

dd skip=73 bs=512 count=36 if=/evidence/Caso1/floppyhost/images/image.dd

of=/evidence/Caso1/floppyhost/output/coverpage.jpg

Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la infor-
mación ingresada al crear el caso.

v. Considerando que se extrajo mayor cantidad de sectores que los que ocupa
el archivo JPEG, es necesario visualizar los sectores restantes extraídos en un
visor de Hexadecimal. Los mismos se pueden visualizar con Autopsy en la
opción Hex (display)
 Recorriendo el archivo desde abajo hacia arriba se encuentran referen-
cias al archivo ‘Scheduled Visits.xls’, con la firma ‘PK’ en el offset
0x3e00 (desplazamiento). Esto puede significar que el archivo se en-
cuentra contenido dentro de un archivo comprimido, con el nombre pro-
bable de (‘Scheduled Visits.exe’).
 Además es posible ver en el offset 0x3d20 el texto ‘pw=goodtimes’.
 Las imágenes JPEG utilizan una firma de fin de archivo de ‘ff d9’, la cual
se puede ver en el offset 0x3cdf.
 Correlacionando la firma de fin de archivo JPEG y el hecho de que el me-
tadato del archivo ‘Scheduled Visits.exe’, indica que el archivo tiene
asignado los sectores 104 y 105, la imagen tendría asignado los 31
sectores mencionados anteriormente (ver h.i), es decir desde el 73
hasta el 104. Se puede realizar como lo explicado en h.ii o a través del

Curso de Experto en Informática Forense Pág. 5-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

comando dd:

dd skip=73 bs=512 count=31 if=/evidence/Caso1/floppyhost/images/image.dd

of=/evidence/Caso1/floppyhost/output/coverpage.jpg

Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde

a la información ingresada al crear el caso.

 Sin embargo, aún queda en el espacio desperdiciado –slack-, la ca-

dena
‘pw=goodtimes’ que se visualiza en el editor de hexadecimal.

5. Quinto paso: Análisis del archivo Jimmy Jungle.doc

a. Seleccionar el archivo en el modo File Analysis, Autopsy reconoce el archivo como

un documento de Microsoft Office
b. El metadato del archivo se puede ver en el enlace 5 de la columna de metadato de la lis-
ta de archivos e indica que este archivo fue borrado y ocupaba inicialmente los sectores
33 a 72. El documento tenía un tamaño de 20.480 bytes.
c. Relacionando el tamaño del archivo con el rango de los sectores, se determina que pa-
ra recuperar una copia del archivo borrado se deberán extraer 40 sectores
(512*40=20.480 bytes)
d. La extracción de los sectores se puede realizar con Autopsy o con el comando dd, y lue-
go abierta en el procesador de texto correspondiente.

dd skip=33 bs=512 count=40 if=/evidence/Caso1/floppyhost/images/image.dd

of=/evidence/Caso1/floppyhost/output/jimmyjungle.doc

Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la información in-
gresada al crear el caso.
El archivo parece haber sido creado el 16/04/2002 a las 08:30:00, modificado el
16/04/2002 a las 09:42:00 y abierto con éxito en un procesador de texto.

6. Quinto paso: Análisis del archivo Scheduled Visits.exe

a. Seleccionar la opción File Analysis para visualizar el contenido del archivo Sche-
duled Visits.exe , Autopsy lo reconocerá como un archivo comprimido del tipo
.zip
b. La información del metadato del archivo se visualiza en el enlace 11 de la colum-
na del metadato. El tamaño del archivo es de 1000 bytes y ocupa los sectores
104 y 105.
c. Para extraer el contenido de los sectores se puede utilizar Autopsy o el comando dd

dd skip=104 bs=512 count=2 if=/evidence/Caso1/floppyhost/images/image

of=/evidence/Caso1/floppyhost/output/ scheduledvisits.exe

Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la infor-
mación ingresada al crear el caso.

d. Al intentar abrir el archivo con una aplicación para descomprimir archivos .zip, apa-
rece el error ´End-of-centraldirectory signature not found’, indicando que el archivo
está incompleto
e. Considerando que en la extracción inicial de sectores del archivo JPEG se toma-
ron los sectores asignados desde el 73 al 108, se encontró el texto ‘Scheduled Vi-
sits.xls´ en el último sector, por lo tanto sería importante extraerla información de
los sectores 104 a 108 y luego intentar descomprimirlo.
f. La extracción se podrá realizar desde Autopsy o con el comando dd.

Curso de Experto en Informática Forense Pág. 6-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

dd skip=104 bs=512 count=5 if=/evidence/Caso1/floppyhost/images/image

of=/evidence/Caso1/floppyhost/output/ scheduledvisits.exe

Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la infor-
mación ingresada al crear el caso.

g. Al intentar descomprimir el archivo se solicita una clave, en este caso sería necesaria
una herramienta para descifrar la clave. No obstante en el espacio desperdiciado
del archivo JPEG analizado, se encontró la cadena de texto: ‘pw=goodtimes’,
por lo que debe probarse primero con la clave goodtimes.
h. Aplicando el comando file sobre el archivo ‘Scheduled Visits.xls’, se confirma
que el archivo es de Microsoft Office Excel.

Conceptos previos:

1. Ubicación de los usuarios en Windows:

 Windows XP : C\Documents&Settings\%Usuarios%
 Windows 7 y 8: C:\%Usuarios%

2. Archivos de correo electrónico:

a. Outlook: pst
b. Outlook express: eml
c. Windows mail

3. Archivos de extensión *.dat

a. Historiales:
XP %userprofile%\Local Settings\History\ History.IE5
Win7 %userprofile%\AppData\Local\Microsoft\Windows\ History\History.IE5
Win7 %userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet
Files
 Win7\%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE
5
Index.dat: :\Users\%userprofile%\\AppData\Local\Microsoft\Windows\History

b. Navegador Mozilla Firefox, ubicación del Historial

IE %userprofile%\Application Data\Mozilla\ Fire-
fox\Profiles\nombre_del_perfil.default\places.sqlite
 Windows7 :C:\Users\ %userprofile
%\AppData\Roaming\Mozilla\Firefox\Profiles\jyh8b6z0.default
c. Archivos Temporarles de Internet (Temporary Internet Files)
Windows 7: C:\Users\%userprofile%\AppData\Local\Temp\Temporary Internet
Files\Content.IE5 \index.dat
d. Cookies:
 Windows 7: C:\Users\%userprofile%\AppData\Local\Temp\Cookies \index.dat
e. Cookies – Internet Explorer
Windows XP: C:\Users\%userprofile%\Cookies
Windows 7: C:\Users\%userprofile
%\AppData\Roaming\Microsoft\Windows\Cookies\Low
f. Cookies Mozilla Firefox:
Windows XP: C:\Documents and Settings\%userprofile%\Application Da-
ta\Mozilla\Firefox\Profiles\nombre_del_perifil.default\cookies.sqlite
Windows 7:
C:\Users\alekta\AppData\Roaming\Mozilla\Firefox\Profiles\jyh8b6z0.default\c
ooki es.sqlite

Curso de Experto en Informática Forense Pág. 7-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

g. History:
Windows 7: C:\Users\%userprofile%\AppData\Local\Temp\ \History\History.IE5
4. Archivos recientes:
a. C:\Users\%userprofile%\AppData\Roaming\Microsoft\Office\Reciente\index.dat
 Aquí se encuentran los archivos de tipo .lnk, que son los accesos directos o enlaces
simbólicos a los archivos generados en forma reciente con el paquete de oficina Mi-
crosoft Office.
5. Papelera de reciclaje;
a. Windows 7: C:\$RECYCLE.BIN. Al eliminar un archivo de extensión por ejemplo
.ico, es renombrado como %Rxxx.ico y se crea para cada usuario la papelera de reci-
claje con el SID, correspondiente (S-1-5-23xxxxxnúmeros. En la papelera se encuentran
dos tipos de archivos:
$I almacena la ruta original del archivo y los metadatos del
mismo (aproximadamente 510 bytes de tamaño)
$R., almacena en el contenido del archivo original.
Al analizarlo con un visor en hexadecimal, el primer bloque de 8 bytes,
del encabezado del archivo se corresponde un 1, en hexadecimal. El siguien-
te bloque de 8 bytes muestra el tamaño del archivo borrado. Los 8
bytes siguientes muestran la fecha que tenía el archivo borrado. Los últimos
8 bytes se encuentran en formato ASCII y se puede identificar la ruta de ori-
gen del archivo y su nombre original. Al restaurar un archivo borrado, se utili-
zan los archivos $I que contiene la ruta y los metadatos y el $R que posee el
contenido del archivo.

Herramientas individuales

 Windows File Analyser, http://www.mitec.cz/wfa.html

 LNK examiner, http://www.simplecarver.com/free/

 Spool viewer, http://splviewer.sourceforge.net/

 PST viewer, http://www.pstwalker.com/download.html

 Photorec, recuperación de archivos borrados, particiones da-

ñandas http://www.cgsecurity.org/Download_and_donate.php/testdisk-7.0.win64.zip

 Filescavenger, recuperación de archivos borrados,

http://es.ccm.net/download/start/descargar- 17000-file-scavenger-portable

 Rfiutti, analizar la papelera de windows. https://github.com/abelcheung/rifiuti2

 http://sourceforge.net/projects/odessa/files/Rifiuti/20040505_1/

 Ejemplo de uso en Linux http://www.aldeid.com/wiki/Rifiuti2#Example

Situación B: Efectuar la adquisición de una imagen de un sistema operativo Windows XP / Server

2000, y analizar la imagen del tipo “E01” con la aplicación de gestión de pericias Autopsy pa-
ra Linux o Windows.

Cuestionario:

1. Obtener la siguiente información, efectuar búsquedas específicas y documentar los resul-

tados con la herramienta de reporte de Autopsy:
a. Mensajes de correo electrónico.

Curso de Experto en Informática Forense Pág. 8-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
 Universidad Tecnológica Nacional Facultad Regional Avellaneda

CURSO EXPERTO EN INFORMÁTICA FORENSE

b. Direcciones ip
c. Direcciones url
d. Archivos de oficina
e. Archivos de imágenes, audio y video
f. Palabras clave
g. Archivos recientes
h. Impresiones recientes
i. Papelera de reciclaje
j. Generar un informe con los datos MAC (modificación, acceso y creación) de los archivos

Situación C: Analizar la imagen del tipo “E01” de un servidor Windows 7. (Autopsy en Linux
o en Windows)

Cuestionario:

1. Obtener la siguiente información, efectuar búsquedas específicas y documentar los resul-

tados con la herramienta de reporte de Autopsy:
a. Mensajes de correo electrónico.
b. Direcciones ip
c. Direcciones url
d. Archivos de oficina

e. Archivos de imágenes, audio y video

f. Historial de navegación, archivos index.dat
g. Archivos recientes
h. Impresiones recientes
i. Papelera de reciclaje
j. Palabras clave tales como: “pst”, “Windows mail”
k. Generar un informe con los datos MAC (modificación, acceso y creación) de los archivos

Situación D:

 En los siguientes sitios http://dftt.sourceforge.net/, http://www.cfreds.nist.gov

 Descargar una imagen correspondiente a:

 Un sistema operativo
 Una descarga o volcado de memoria
 Un dispositivo móvil

 Efectuar el análisis de cada imagen acorde a lo realizado en los ejercicios anteriores y documentar
los resultados.

Curso de Experto en Informática Forense Pág. 9-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge