FASE 2 - APLICACIÓN DE METODOLOGÍAS PARA LA RECOLECCIÓN DE

INFORMACIÓN

HAROLD GARCIA VARGAS

CÓDIGO: 1119889647
GRUPO: 233012_10

ING. MARTÍN CAMILO CANCELADO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
INFORMÁTICA FORENSE
VILLAVICENCIO
2020
 ACTIVIDADES PARA DESARROLLAR

1. Descargar e instalar una máquina virtual (VirtualBox)

2. Descargar el sistema operativo Windows 10

3. Instalar el sistema operativo Windows 10 dentro de la máquina virtual, se prefiere
que las capacidades sean mínimas de 60 gigas de espacio en disco y de 2 gigas de
ram a 2 procesadores, con tipo de tarjeta de red bridge o tipo puente.
4. El sistema operativo debe tener un usuario con el apellido del estudiante y una
contraseña de la capacidad mínima permitida de la instalación del sistema operativo
6 con el nombre del estudiante, que no pase de 6 dígitos.
5. Ya iniciado el Windows deben instalar al Windows 10 lo siguiente: • Winrar
 MSOffice versión mínima 2013
 FOXIT
 Mozilla FireFox
 NO INSTALAR ANTIVIRUS
6. Descargar el KMSpico cualquier versión desde la 10.0, tener cuidado, e instalarlo
dentro del Windows.

7. Debe descargar 10 archivos dentro de mis documentos y abrirlos, estos archivos

son: 2 excel, 4 docs, 2 txt y 2 pdf, de los cuáles deben borrar 3 de los documentos.
8. Asignar una IP estática con el número del portátil del gerente.
9. Deben navegar en Firefox y en Edge o internet explorer de mínimo 10 páginas web
e ingresar a una cuenta de correo y enviar 2 correos.
Al tener instalada la máquina virtual y haber realizado los diferentes pasos, realizar las
siguientes actividades:

1. Realizar una captura mediante el FTKimager del disco duro completo de la máquina
virtual, esto crea una imagen bit a bit, este debe estar instalado en la máquina virtual.

Se instala la herramienta FTKimager y se realiza la creación de la imagen de disco duro:

En esta sección se puede observar la table de resultados, con el nombre, numero de

sectores, se observa si la verificación del resultado coincide, y si se evidencio algún sector
defectuoso:
Carpeta donde se guardo la imagen:

En el siguiente archivo de texto se ubica toda la información detallada de los realizado:

2. Para la revisión de la imagen virtual se usa la herramienta Autopsy.
3. Para análisis de Metadata usar exiftool.

4. Utilizar el documento referencia Windows Forensics I – Chapter 4 del documento EC-

Council – Computer Forensics.

INDIVIDUALES

Dentro del apartado individual cada estudiante por separado debe entregar los puntos
realizados de la instalación de la máquina virtual hasta el punto 9. Teniendo como apoyo la
lectura sugerida de las referencias dentro de la unidad 1 realizar lo siguiente:
1. Extraer la información no-volátil que consiste en los siguientes items:
• Examining File Systems
El comando permite al investigador examinar:
• La fecha y hora de la instalación del sistema operativo.
• Los paquetes de servicio, parches y subdirectorios que se actualizan automáticamente a
menudo.

• Registry Settings
• Event
• Index.dat File
• Connected Devices
• Slack Space
• Herramienta: DriveSpy
• Swap File
• Windows Search Index
• Hidden Partitions
• Hidden ADS

2. Extraer la lista de todos los documentos docs y derivados, PDFs y txt incluyendo los
eliminados.
  Utilizando el software Autopsy se extrae la lista de los documentos y derivados del
disco incluyendo los eliminados de la siguiente manera:

Ubicamos el usuario del equipo:

 Se revisan las diferentes capetas que contiene el usuario como son, música,
imágenes, documentos, videos, ect.
 Como se observa en la siguiente imagen se evidencian todos los diferentes archivos
que el usuario tenía guardados en la carpeta documentos, los documentos que se
muestran con una X son los que ya habían sido eliminados y los cuales también se
pueden recuperar.
 En la siguiente imagen se muestra como se extraen o recuperan todos lo archivos
incluso los eliminados:

 Se elige donde guardar estos archivos, en este caso cree una carpeta denominada
evidencias fase 2:
Así tenemos los archivos descargados en el Pc del investigador o examinador