Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GUIA NRO 05
Aspectos preliminares
Objetivos
Conceptual: Asimilar los contenidos relacionados con el análisis de las imágenes de los
dispositivos duplicados.
Procedimental: Aplicar las herramientas pertinentes para efectuar el análisis de la imagen
duplicada.
Actitudinal: Valorizar la importancia de la responsabilidad del PIF al realizar el análisis en la
imagen duplicada en contraposición con el análisis en el dispositivo original.
Recursos - Herramientas:
Curso de Experto en Informática Forense Pág. 1-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
Consignas
Situación A: Análisis de un diskette del tipo IBM con formato del tipo Fat 12
(Descomprimir el archivo imagen.zip que se encuentra en la carpeta Imagenes-/magenes-dd/.
Utilizar el archivo image.dd)
Cuestionario
Pasos a seguir:
$ cat image.zip.md5
b676147f63923e1f428131d59b1d6a72 *image.zip
2. Segundo paso: Creación del caso en Autopsy Utilizar el manual de Autopsy y crear el caso:
Curso de Experto en Informática Forense Pág. 2-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
Agregar la imagen
Autopsy guarda las imágenes en un directorio separado del Casillero de Evidencia. Se recomienda
que en el directorio de imágenes se cree un directorio donde se alojará la imagen de éste caso en
particular, la imagen debe estar descomprimida: image.dd
Tipo: Disco
Con el fin de ahorrar espacio en el disco de la computadora donde se efectuará el análisis se im-
portará como acceso directo
Nota: Autopsy no podrá determinar automáticamente el tipo de sistema del volumen al tratarse
de un diskette, éste ocupa solo un volumen, cuyo tipo es Dos
Detalles de la imagen
El único hash que se posee es el del archivo comprimido, no del archivo image.dd, por lo que el
PIF deberá Seleccionar calculate, para calcular el hash y no se señalará la opción de: Verificación
del hash después de importar la imagen de la partición
Permite ingresar el punto de montaje y el tipo de archivo. En este caso es un diskette por lo
tanto el punto de montaje es: A:, y el tipo de sistema de archivo: Fat12.
Luego de crear el Caso, de agregar el host y de agregar la imagen, Autopsy despliega el Gestor del
Host para que el PIF comience el análisis de la imagen.
a. Previo al análisis de la imagen el PIF creará unos índices de búsqueda de palabras cla-
ves:
i. Seleccionar el hipervínculo details, del Gestor de Host de Autopsy.
ii. En el formulario de detalles de la imagen el PIF podrá habilitar las ca-
denas de búsqueda y los sectores no asignados, al extraer esta información en
la creación del índice mejorará el rendimiento en la búsqueda de palabras cla-
ves.
La extracción de las cadenas ASCII y Unicode y la extracción de secto-
res no asignados en sistemas de archivos grandes lleva un tiempo
Curso de Experto en Informática Forense Pág. 3-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
Name:image-
0-0 Volume
Id:vol1 Parent
Volume Id:img1
Image File For-
mat:raw Mount-
ing Point:A:/
File System Type:fat12
External Files
ASCII Strings:image-0-0-
fat12.asc Unicode
Strings:image-0-0-fat12.uni
File Type:
PC formmatted floppy with no filesystem
MD5 of content:
f49ed788acc2753e5a1736808dcdd138 *-
SHA-1 of content:
dcc13088a8389d974bc544ac32d6fccb4c904fba *-
Details:
Curso de Experto en Informática Forense Pág. 4-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
Sectors:
451
Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la infor-
mación ingresada al crear el caso.
v. Considerando que se extrajo mayor cantidad de sectores que los que ocupa
el archivo JPEG, es necesario visualizar los sectores restantes extraídos en un
visor de Hexadecimal. Los mismos se pueden visualizar con Autopsy en la
opción Hex (display)
Recorriendo el archivo desde abajo hacia arriba se encuentran referen-
cias al archivo ‘Scheduled Visits.xls’, con la firma ‘PK’ en el offset
0x3e00 (desplazamiento). Esto puede significar que el archivo se en-
cuentra contenido dentro de un archivo comprimido, con el nombre pro-
bable de (‘Scheduled Visits.exe’).
Además es posible ver en el offset 0x3d20 el texto ‘pw=goodtimes’.
Las imágenes JPEG utilizan una firma de fin de archivo de ‘ff d9’, la cual
se puede ver en el offset 0x3cdf.
Correlacionando la firma de fin de archivo JPEG y el hecho de que el me-
tadato del archivo ‘Scheduled Visits.exe’, indica que el archivo tiene
asignado los sectores 104 y 105, la imagen tendría asignado los 31
sectores mencionados anteriormente (ver h.i), es decir desde el 73
hasta el 104. Se puede realizar como lo explicado en h.ii o a través del
Curso de Experto en Informática Forense Pág. 5-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
comando dd:
Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la información in-
gresada al crear el caso.
El archivo parece haber sido creado el 16/04/2002 a las 08:30:00, modificado el
16/04/2002 a las 09:42:00 y abierto con éxito en un procesador de texto.
a. Seleccionar la opción File Analysis para visualizar el contenido del archivo Sche-
duled Visits.exe , Autopsy lo reconocerá como un archivo comprimido del tipo
.zip
b. La información del metadato del archivo se visualiza en el enlace 11 de la colum-
na del metadato. El tamaño del archivo es de 1000 bytes y ocupa los sectores
104 y 105.
c. Para extraer el contenido de los sectores se puede utilizar Autopsy o el comando dd
Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la infor-
mación ingresada al crear el caso.
d. Al intentar abrir el archivo con una aplicación para descomprimir archivos .zip, apa-
rece el error ´End-of-centraldirectory signature not found’, indicando que el archivo
está incompleto
e. Considerando que en la extracción inicial de sectores del archivo JPEG se toma-
ron los sectores asignados desde el 73 al 108, se encontró el texto ‘Scheduled Vi-
sits.xls´ en el último sector, por lo tanto sería importante extraerla información de
los sectores 104 a 108 y luego intentar descomprimirlo.
f. La extracción se podrá realizar desde Autopsy o con el comando dd.
Curso de Experto en Informática Forense Pág. 6-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
Nota. Ajustar la ruta de los directorios para el if= y el of=, acorde a la infor-
mación ingresada al crear el caso.
g. Al intentar descomprimir el archivo se solicita una clave, en este caso sería necesaria
una herramienta para descifrar la clave. No obstante en el espacio desperdiciado
del archivo JPEG analizado, se encontró la cadena de texto: ‘pw=goodtimes’,
por lo que debe probarse primero con la clave goodtimes.
h. Aplicando el comando file sobre el archivo ‘Scheduled Visits.xls’, se confirma
que el archivo es de Microsoft Office Excel.
Conceptos previos:
Windows XP : C\Documents&Settings\%Usuarios%
Windows 7 y 8: C:\%Usuarios%
a. Outlook: pst
b. Outlook express: eml
c. Windows mail
a. Historiales:
XP %userprofile%\Local Settings\History\ History.IE5
Win7 %userprofile%\AppData\Local\Microsoft\Windows\ History\History.IE5
Win7 %userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet
Files
Win7\%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE
5
Index.dat: :\Users\%userprofile%\\AppData\Local\Microsoft\Windows\History
Curso de Experto en Informática Forense Pág. 7-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
g. History:
Windows 7: C:\Users\%userprofile%\AppData\Local\Temp\ \History\History.IE5
4. Archivos recientes:
a. C:\Users\%userprofile%\AppData\Roaming\Microsoft\Office\Reciente\index.dat
Aquí se encuentran los archivos de tipo .lnk, que son los accesos directos o enlaces
simbólicos a los archivos generados en forma reciente con el paquete de oficina Mi-
crosoft Office.
5. Papelera de reciclaje;
a. Windows 7: C:\$RECYCLE.BIN. Al eliminar un archivo de extensión por ejemplo
.ico, es renombrado como %Rxxx.ico y se crea para cada usuario la papelera de reci-
claje con el SID, correspondiente (S-1-5-23xxxxxnúmeros. En la papelera se encuentran
dos tipos de archivos:
$I almacena la ruta original del archivo y los metadatos del
mismo (aproximadamente 510 bytes de tamaño)
$R., almacena en el contenido del archivo original.
Al analizarlo con un visor en hexadecimal, el primer bloque de 8 bytes,
del encabezado del archivo se corresponde un 1, en hexadecimal. El siguien-
te bloque de 8 bytes muestra el tamaño del archivo borrado. Los 8
bytes siguientes muestran la fecha que tenía el archivo borrado. Los últimos
8 bytes se encuentran en formato ASCII y se puede identificar la ruta de ori-
gen del archivo y su nombre original. Al restaurar un archivo borrado, se utili-
zan los archivos $I que contiene la ruta y los metadatos y el $R que posee el
contenido del archivo.
Herramientas individuales
http://sourceforge.net/projects/odessa/files/Rifiuti/20040505_1/
Cuestionario:
Curso de Experto en Informática Forense Pág. 8-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge
Universidad Tecnológica Nacional Facultad Regional Avellaneda
b. Direcciones ip
c. Direcciones url
d. Archivos de oficina
e. Archivos de imágenes, audio y video
f. Palabras clave
g. Archivos recientes
h. Impresiones recientes
i. Papelera de reciclaje
j. Generar un informe con los datos MAC (modificación, acceso y creación) de los archivos
Situación C: Analizar la imagen del tipo “E01” de un servidor Windows 7. (Autopsy en Linux
o en Windows)
Cuestionario:
Situación D:
Un sistema operativo
Una descarga o volcado de memoria
Un dispositivo móvil
Efectuar el análisis de cada imagen acorde a lo realizado en los ejercicios anteriores y documentar
los resultados.
Curso de Experto en Informática Forense Pág. 9-9 Prof. Esp. Arellano González – Prof. Mg. Darahuge