Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Taller n21 Practica Nro 1 Infor Forense 09-12-2020

    Cargado por

    Edison Maldonado
    18 vistas9 páginas
    Este documento describe una práctica de laboratorio sobre la recuperación de archivos eliminados. El estudiante debe calcular el hash SHA1 de un archivo proporcionado, obtener metadatos como el nombre, fecha de creación y tamaño de un archivo eliminado llamado "Madrid.jpg" usando Winhex, y luego recuperar el archivo eliminado con la herramienta de recuperación de archivos en Winhex.

    Descripción original:

    Practica Nro 1 Infor Forens

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe una práctica de laboratorio sobre la recuperación de archivos eliminados. El estudiante debe calcular el hash SHA1 de un archivo proporcionado, obtener metadatos como el nombre, fecha de creación y tamaño de un archivo eliminado llamado "Madrid.jpg" usando Winhex, y luego recuperar el archivo eliminado con la herramienta de recuperación de archivos en Winhex.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    18 vistas9 páginas

    Taller n21 Practica Nro 1 Infor Forense 09-12-2020

    Cargado por

    Edison Maldonado
    Este documento describe una práctica de laboratorio sobre la recuperación de archivos eliminados. El estudiante debe calcular el hash SHA1 de un archivo proporcionado, obtener metadatos como el nombre, fecha de creación y tamaño de un archivo eliminado llamado "Madrid.jpg" usando Winhex, y luego recuperar el archivo eliminado con la herramienta de recuperación de archivos en Winhex.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 9

    Asignatura Datos del alumno Fecha

    Apellidos: Maldonado Otavalo


    Informática Legal
    Nombre: Edison Andrés

    Actividades

    Trabajo: Recuperación de ficheros eliminados

    El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado


    para recuperar información eliminada. Durante el desarrollo de la misma, has de
    recuperar de manera manual, tal y como se explica el archivo eliminado dentro de una
    partición FAT32 y visualizar los metadatos asociados a dicho archivo.

    Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el


    apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
    entradas del directorio raíz de una partición FAT. El artículo está disponible en:
    http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29

    Para realizar la práctica, se puede utilizar el software que crea conveniente, aunque se
    recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
    que permita el cálculo de hashes). Para el análisis de los metadatos puede utilizar
    ExifTool, o la herramienta online Metashield Analyzer1.

    Para realizar la práctica se debe hacer lo siguiente:

    1. Calcular el SHA1 del archivo facilitado para realizar la práctica


    (VHD03.E01).
    Para realizar el primer punto de la tarea se debe abir el archivo de disco duro
    entregado, en el programa winhex, el cual presenta la siguiente pantalla
    Abrimos la ruta donde se encuentra el archivo

    1
    https://metashieldanalyzer.elevenpaths.com/

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos


    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal
    Nombre: Edison Andres

    Ejecutamos WinHex:

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos


    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal
    Nombre: Edison Andrés

    Proceder a calcular Hash tanto MD5 como SHA-1, en la opción Herramientas y


    Calcular Hash

    Luego aparace la siguiente vetana de resultados:

    MD5 = 96A11C5AE458E32A41A907577FF8B7FE

    SHA-1 = C46824C453E639F6771CF45F3008C1A98CAC5C3C

    Concluimos que la imagen de SHA-1 y MD5 no son los mismos.

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos


    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal
    Nombre: Edison Andrés

    2. Obtener mediante Winhex y haciendo uso de las plantillas


    incluidas: o Nombre y extensión del archivo eliminado: ?adrid.jpg
    o Fecha de creación: 04/05/2015 14:16:37,7
    o Fecha de modificación: 04/05/2015 14:15:30
    o Fecha de último acceso: 04/05/2015
    o Tamaño del archivo: 4,5 MB
    o Clúster inicial: Clúster 3; Sector 8193
    o El offset inicial: 400200
    o El offset final del archivo: 87CB39

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos


    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal 10/12/2020
    Nombre: Edison Andrés

    Ubicar la ruta para el archivo

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos


    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal
    Nombre: Edison Andrés

    Mirar si el montaje se realizó con éxito.

    Se puede visualizar el disco UNIR K:


    Abrir el nuevo disco instalado desde el programa WinHex, como información adicional
    se debe ejecutar el programa en modo administrador, el mismo que debe dar el siguiente
    resultado visual.
    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal
    Nombre: Edison Andres

    Aparece un archivo oculto llamado ¿adrid.jpj.

    Se debe dar doble clic en el archivo ?adrid.jpg, ahí se muestra un detalle solo del
    archivo, se copia los caracteres finales para la búsqueda respectiva en la unidad
    UNIR (K:)

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos


    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal
    Nombre: Edison Andrés

    3. Recuperación del Archivo.


    Para realizar este trabajo se debe ingresar el programa WinHex, luego ir a la opción
    Herramientas, Herramientas de disco, luego el sub menú recuperación de archivos.

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos


    Asignatura Datos del alumno Fecha
    Apellidos: Maldonado Otavalo
    Informática Legal
    Nombre: Edison Andrés

    La imagen de visualización es la siguiente:

    Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos

    También podría gustarte