Anexo 2

Laboratorio 2
Para todos los pasos descritos a continuación, deben elaborar un
informe con capturas de pantalla donde se evidencie todo el proceso de
instalación, recolección y análisis de la evidencia digital.
 Ingresar a la página
http://www.sleuthkit.org/autopsy/download.php, y descargue el
instalador de AUTOPSY para Windows.
 También puede usar el Kali Linux o el Caine, este último es más
enfocado a análisis forense, pero ambos traen herramientas para
análisis y extracción de metadata.
 Buscar herramientas para el descifrado de contraseñas de archivos
de su preferencia.
 Usar herramientas para revisión de metadata de archivos. Ejemplo:
Exiftool.

Proceso de recolección: Los pasos descritos a continuación, donde

se genere un archivo que sea de importancia para la cadena de
custodia (¿Quién hizo? ¿Qué hizo? ¿Cuándo lo hizo? ¿Cómo lo hizo?),
debe generarse su respectivo Hash SHA-512 y estampa de tiempo.
Se recomienda (no es obligatorio su uso), las siguientes herramientas:
 Hash: rhash ó Quickhash
 Estampa de tiempo: Pagina web de freeTSA (Si conoce otra,
puede hacerlo con ella).

 Cargue en la aplicación la imagen que tiene como nombre

evidencia dentro del entorno de aprendizaje práctico, actividades
prácticas Fase 5.
 Con la aplicación instalada realice una recolección y análisis de la
evidencia digital y describa brevemente los hallazgos tales como:
1. Información de la metadata de las imágenes.
2. Asegurarse que las metadatas de dichas imágenes no estén
alteradas. Describir cuáles estaban alteradas si las hay
3. Escribir las imágenes que tienen coordenadas si las hay de las
dos últimas imágenes modificadas.
 4. Describir el proceso del hallazgo de la contraseña del archivo
comprimido.
5. Recuperar los archivos borrados.
 Escribir también el uso de herramientas diferentes a las
mencionadas que se usaron para el desarrollo de la práctica.
 Registrar el nombre del caso como práctica 1 y el nombre del
investigador: nombreapellido_numerodegrupo por ejemplo:
martincancelado_3. con los datos registrados capture la imagen
de la información registrada.

Entregas
Se debe entregar, en un archivo comprimido en la plataforma de
seguimiento y evaluación:
1. Informe en PDF con capturas de pantalla donde se evidencie todo
el proceso de instalación, recolección y análisis de la evidencia
digital.
2. Archivos involucrados en el proceso
a. Archivo de caso de Autopsy.
b. Archivos copia de los originales con evidencia digital
pertinente para cadena de custodia.
c. Hash de los archivos originales.
d. Archivos de estampa de tiempo de los archivos originales.