Asignatura Datos del alumno Fecha

Apellidos:
Análisis forense
Nombre:

Actividades

Trabajo: Recuperación de ficheros eliminados

El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado

a lo largo del tema. Durante el desarrollo has de recuperar, de manera manual, el
archivo eliminado, dentro de una partición FAT32 y visualizar los metadatos asociados
a dicho archivo.

Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el

apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
entradas del directorio raíz de una partición FAT. El artículo está disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29

Para realizar la práctica, puedes utilizar el software que creas conveniente, aunque se
recomienda utilizar: AccessData FTK Imager, en su versión 3.1.x y WinHex, en su
versión 16.6. Para el análisis de los metadatos puedes utilizar ExifTool, o la herramienta
online Metashield Analyzer.
Otras Herramientas:
- HashMyFiles
En el documento a entregar debe indicar:
1.- Calcular el SHA1 del archivo facilitado para realizar la práctica (VHD03.E01).

2.- Obtener mediante Winhex:

2.1.- Nombre y extensión del archivo eliminado:

Nombre:

Extensión:

Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense
Nombre:

2.2.- Fecha de creación, modificación.

Fecha de creación:
Fecha de modificación:

2.3.- Tamaño del archivo:

3.- Recuperar el archivo eliminado mediante FTK Imager (Dispone de versiones para Linux y
MacOS):

4.- Calcular el SHA1 del archivo recuperado.

5.- Obtener los metadatos asociados al archivo recuperado con Metashiel analyzer

Actividades