INFORMATICA FORENSE

FASE 2- APLICACIÓN DE METODOLOGÍAS PARA LA RECOLECCIÓN

DE INFORMACIÓN

PRESENTADO POR:

YUDERLY ESNEIDER ALVAREZ CAMPOS – CÓD: 1075264122

Código: 233012_9

TUTOR:
MARTÌN CAMILO CANCELADO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA.

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
NEIVA
MARZO
2020
 INTRODUCCION

El presente trabajo es orientar a cada uno de los participantes hacia donde irá dirigido
la cual se basa en el uso de herramientas específicas para realizar análisis de
recolección de información sobre la virtualización de un sistema operativo Windows
10 usando virtualbox.
 DESARROLLO DE LA ACTIVIDAD

1. Instalación software - Virtual Box

Es un software de virtualización para arquitecturas. Actualmente es desarrollado por Oracle

Corporation como parte de su familia de productos de virtualización. Por medio de esta
aplicación es posible instalar sistemas operativos adicionales, conocidos como sistemas
invitados, dentro de otro sistema operativo anfitrión, cada uno con su propio ambiente
virtual.

Descargamos la herramienta Virtual Box para la creación de la máquina virtual que

utilizaremos en esta actividad.

URL de descarga: https://www.virtualbox.org/wiki/Downloads

 2. Descargar SO – Windows 10

URL de descarga: https://www.microsoft.com/es-es/software-download/windows10

 3. Creación de la Máquina Virtual

En este paso se realizará la creación de la máquina virtual.

Le damos nuevo para crear la máquina virtual.

Elegimos el SO y el nombre que queremos en nuestra máquina.

Elegimos la capacidad de nuestra máquina virtual (Especificaciones deseadas) y le damos
crear, continuamos la instalación.
Configuramos la capacidad del disco duro y elegimos la opción crear.

Así quedó creada nuestra maquina creada con las especificaciones necesarias para
continuar el proceso.
Seleccionamos el disco que habíamos creado anteriormente para nuestra máquina virtual y
damos clic en iniciar.
 4. Instalación Sistema Operativo.

Organizamos la configuración con para que el sistema arranque con él. Iso.

Para proceder, damos clic en iniciar y esperamos unos segundos.

Al cabo de unos segundos, se nos mostrará una pantalla color negra con el logo de
Windows y luego una ventana donde nos permitirá configurar el idioma y método de
entrada con el cual queremos instalar nuestro SO.
 Y procedemos a dar clic en Instalar ahora.

Luego de instalar, nos saldrá una pantalla para activar el SO Windows, en este caso, le
daremos clic en la opción “No tengo una clave de producto.”

Seleccionamos la opción Windows 10 pro y damos clic en siguiente, continuamos los pasos
y aceptamos las condiciones y los términos.

En este paso, decidimos donde queremos instalar el Windows y también si deseamos crear
particiones.

Esperamos a que finalice la instalación de Windows.

El sistema se reiniciará para instalar todas las configuraciones realizadas y realizar la
inicialización de los servicios, preparación de dispositivos.
5. Configuración Usuario y contraseña.
Al realizar todas las configuraciones solicitadas para la instalación, continuamos con la
creación del usuario con su contraseña.

Al finalizar este proceso, es sistema realizará un proceso que tomará unos segundos y al
finalizar, nos mostrará la siguiente pantalla.

Ensayamos si quedó el usuario bien configurado.

Así se ve nuestra máquina virtual con el SO.
6. Descarga e Instalación del navegador Firefox.
Firefox, es un navegador web libre y de código abierto desarrollado coordinado por
la Corporación Mozilla y la Fundación Mozilla. Usa el motor Gecko para renderizar páginas web.

URL de descarga: https://www.mozilla.org/en-US/firefox/new/

Realizamos la descarga y la instalación del navegador.

 7. Descarga e Instalación del WinRAR.

WinRAR sirve para acceder al contenido de archivos comprimidos y también para poder
crear este tipo de archivos.

URL de descarga: https://www.winrar.es/descargas

Realizamos la descarga y la instalación de la herramienta.

Para la instalación aceptamos el acuerdo de la licencia y elegimos las extensiones que

queremos asociar con nuestro WinRAR.
Así queda cuando la instalación ha sido exitosa.
 8. Descarga e Instalación del FOXIT.

Foxit Reader es un lector PDF multilingüe. Tanto la versión completa, como la básica pueden
descargarse gratis. Este software es notable por su corto tiempo para cargar y el tamaño
pequeño de sus archivos.

URL de descarga: https://www.foxitsoftware.com/es-la/downloads/

Realizamos la descarga y la instalación de la herramienta.

Elegimos la plataforma deseada y el idioma en que queremos nuestro Lector de PDF.

Luego de la descarga, procedemos con la instalación, acá nos muestra una ventana con el
idioma que deseamos utilizar.

Continuamos con los pasos de la instalación, según las configuraciones deseadas y

procedemos a seleccionar por último la opción instalar.
Al finalizar el proceso de instalación de forma exitosa, así se verá la herramienta FOXIT
instalada.

9. Descarga e Instalación del Microsoft Office.

Microsoft Office es una suite ofimática que abarca el mercado completo en Internet e
interrelaciona aplicaciones de escritorio, servidores y servicios para los sistemas
operativos Microsoft Windows, Mac OS X, iOS y Android.

URL de descarga: https://es.ccm.net/download/descargar-10329-office-2016-professional

Comenzamos la instalación del Microsoft Office.

Aceptamos los términos y condiciones para iniciar con la instalación y luego en la

siguiente ventana seleccionamos Install Now.
Al finalizar la instalación, ingresamos a alguno de los productos de la suite y verificamos
que abran correctamente y el licenciamiento.

10. Descarga e Instalación KMSPico.

KMSPico es un programa ilegal que se ofrece para activar Windows 10 y otras versiones de
los sistemas operativos Windows gratuitamente.

URL de descarga: https://es.ccm.net/download/descargar-10329-office-2016-professional

Procedemos a realizar la descarga del KMSpico y posteriormente a la instalación.

Continuamos la instalación siguiendo los pasos, la aceptación de términos, locación donde

deseamos el programa etc.
Para realizar la activación de nuestro sistema operativo y de nuestra suite de office, que
ambas las tenemos sin licencia, este programa nos ayuda a realizar la activación de forma
gratuita, sin embargo, para realizar este proceso, si se tiene instalado algún antivirus,
debemos desactivar la protección para poder realizar exitosamente la instalación, también,
en las descargas los navegadores lo clasifican como archivo altamente potencial, por lo que
debemos aceptar el archivo en las descargar para poder que finalice correctamente.

Para ejecutar la
aplicación en el menú
seleccionamos
KMSpico y cuando se
abra la aplicación
damos clic en el botón
rojo en la parte
inferior izquierda.
Realizamos la validación de nuestro SO para confirmar la activación del producto.

E Igualmente validamos la activación nuestra Suite Office.

 11. Descarga de archivos y eliminación.

Realizamos la descarga de los 10 archivos solicitados en este caso:

 2 archivos texto
 2 archivos Excel
 4 archivos Word
 2 archivos PDF

Y procedemos a borrar 3 de estos archivos descargados.

 12. Configuración Red – IP estática.

Para una red Ethernet, selecciona Ethernet y, a continuación, elige la red Ethernet a la que
estás conectado.

Este es un proceso sencillo y rápido y además, siempre se puede volver al estado anterior y
asignarle a la IP para que sea dinámica.
Lo primero que tenemos que hacer es entrar en Configuración, a través del menú Inicio de
Windows. Una vez aquí accedemos a Red e Internet.
Seleccionamos la red Wi-Fi o Ethernet, seleccionamos cambiar opciones del adaptador, luego
damos clic a la tarjeta de red y seleccionamos la opción Propiedades.
La ventana que se abrirá, elegimos la opción llamada Protocolo de Internet versión 4 (
 13. Captura FTKimager.

Después de tener instalado el FTKimager, procederemos a realizar la captura del disco.

Para esto, en el menú seleccionamos la opción File y luego la opción créate disk image.

Seleccionamos el radio button que dice logical Drive, luego de esto seleccionamos la opción
Rae (dd) y completamos la información que nos solicitan (opcional)

En la siguiente ventana le daremos clic en add y llenamos la información solicitada.

Nos aparecerá una ventana del proceso de creación de la imagen y por último la
información de la misma.
 14. Revisión imagen virtual.

Luego de instalar la herramienta Autopsy, procederemos a realizar el análisis.

Luego de dar clic a nuevo caso, se nos abrirá una ventana donde nos solicitará la información
como nombre del caso, el directorio donde queremos que quede guardado y seleccionamos
el tipo que deseamos y continuamos el proceso
 Extracción de información no-volatil

 Examining file systems

Para extraer la información de este ítem, nos dirigimos al menú del sistema y digitamos
“cmd” en la barra de búsqueda.

Cuando nos cargue nuestra consola digitaremos en ella el comando “CD” y la ruta de la cual
queremos realizar la extracción, en este caso C:\Program Files.

El comando quedaría así: CD C:\Program Files

Luego cuando ya nos encontremos en el directorio que queremos, procederemos a digitar el

comando: dir/o:d

Este nos dará la extracción de la información que tenemos en ese directorio.

  Registry Settings

Para este ítem, en la barra de herramientas, en la barra de búsqueda digitamos “Editor de

registro” o “Registry Editor” según el idioma configurado en nuestro SO.

Al seleccionarla en el menú, nos aparecerá la siguiente ventana.

Cuando estemos en la ventana anterior, empezamos a desplegar las carpetas que

necesitaremos, para ello empezaremos por la carpeta HKEY_LOCAL_MACHINE, dentro de
esta hay más subcarpetas, allí desplegamos la carpeta SYSTEM y de esta la carpeta
llamada CurrentControlSet y de esta la carpeta Control, como la siguiente imagen:
Luego de haber desplegado la carpeta Microsoft, buscamos la carpeta Session Manager y
dentro de esta la carpeta Memory Management y el archivo clearPageFileAtShutdown, le
damos doble click y procedemos a editarlo.

También podemos acceder directamente a la URL, digitándola en la barra superior.

Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sesión
Manager\Memory Management\clearPageFileAtShutdown
  Event

Windows Event Viewer muestra un registro de la aplicación y los diferentes mensajes del
sistema, incluidos errores, mensajes de información y advertencias. Es una herramienta útil
para resolver todo tipo de problemas diferentes de Windows.

Se debe tener en cuenta que incluso un sistema que funcione correctamente mostrará varias
advertencias y errores de registro que puede revisar con Event Viewer.

Los eventos se colocan en diferentes categorías, cada una de las cuales está relacionada con
un registro que Windows mantiene en eventos relacionados con esa categoría. Si bien hay
muchas categorías, la gran cantidad de solución de problemas que puede querer hacer
pertenece a tres de ellas:

Aplicación: el registro de la
aplicación registra eventos
relacionados con los componentes
del sistema de Windows, como
controladores y elementos de
interfaz integrados.
Sistema: el registro del sistema
registra eventos relacionados con
los programas instalados en el
sistema.

Seguridad: cuando el registro de

seguridad está habilitado (está
desactivado de forma
predeterminada en Windows),
este registro registra eventos
relacionados con la seguridad, como intentos de inicio de sesión y acceso a recursos.

Para ingresar a esto, en el menú de Windows en la barra de búsqueda digitamos “Visor de

Eventos” o “Event Viewer” según el idioma configurado y luego en la carpera registros de
Windows y la opción sistema, al lado derecho nos aparecerá una grid con los diferentes
eventos del sistema.

 Swap File

Swapfile.sys es una característica de Windows 10 que aprovecha el espacio en su disco duro

cuando su RAM se llena o puede usarse de una manera más eficiente.

Nos vamos a panel de control o en un explorador de archivos damos clic derecho –

propiedades encima de la opción “Este equipo”, en la ventana que se abre, elegimos la opción
protección del sistema-opciones avanzadas. En el apartado de rendimiento damos clic al
botón de configuración – opciones avanzadas – cambiar.
  Windows Search Indexer

Windows Search Indexer busca contenido en ubicaciones como su carpeta de inicio, el menú
Inicio, su cliente de correo electrónico y la lista de contactos. Esto permite que Windows
Search encuentre rápidamente los elementos que probablemente busque, como mensajes,
personas, documentos y archivos multimedia. Debido a que Search Indexer tiene la
capacidad de indexar propiedades de archivos, puede buscar texto dentro de documentos y
mensajes y Windows Search encontrará los archivos asociados.

La mejor manera de reducir la cantidad de tiempo de procesador que utiliza el servicio de

indexación es reducir la cantidad de archivos que se indexan.
  Hidden Partitions

Windows contienen al menos una partición oculta que es invisible cuando explora el disco duro
de su computadora. Windows a menudo crea una partición de sistema oculta que usa durante el
inicio, y los fabricantes de computadoras pueden incluir una partición de recuperación oculta que
se puede usar para restaurar su sistema operativo. Las particiones ocultas también pueden ser
creadas por usuarios que desean evitar que otros accedan a archivos privados o importantes.
Puede ver una lista completa de particiones, incluidas las particiones ocultas, utilizando la
herramienta integrada de administración de discos de Windows.

En el inicio buscamos la opción Administración de discos (Crear y formatear particiones de

disco duro).

Esto nos mostrará la herramienta Administración de discos, en esta ventana se visualiza una
lista de todas las particiones, tanto las ocultas como las normales.
 Lista de documentos

 PDF

 Office (Word – Excel)

 TXT
 CONCLUSIONES

 Conocer la metodología de trabajo individual planteada por el tutor que será aplicada
para implementarla de manera organizada, garantizando el cumplimiento de las
expectativas de cada uno de los participantes, estudiantes de la UNAD.