Tabla de contenido

INTRODUCCION................................................................................................................... 3
OBJETIVOS:.......................................................................................................................... 4
Objetivo General................................................................................................................... 4
Objetivo especifico.............................................................................................................. 4
HERRAMIENTAS FORENSE................................................................................................5
EXIFTOOL............................................................................................................................. 7
Proceso de instalación de ExifToolGUI..............................................................................7
FTK Imager.......................................................................................................................... 10
Pasos de instalación:.........................................................................................................10
Autopsy............................................................................................................................... 32
Instalación........................................................................................................................... 32
HASHMYFILES.................................................................................................................... 42
PROCESO DE INSTALACIÓN DE HASHMYFILES............................................................42
CONCLUSION..................................................................................................................... 47
INTRODUCCION

Cuando se habla de informática forense se refiere a la ciencia de adquirir, preservar,

obtener y presentar datos que han sido procesados electrónicamente y guardados
en soportes informáticos. La importancia de la Informática Forense nace de la
necesidad que hay del ser humano para garantizar la preservación y garantizar la
seguridad de la información digital, cuando un sistema es vulnerado la informática
forense es quien se encarga de detectar y rastrear de como se ha conseguido burlar
el sistema y el nivel de daño que ha ocasionado. 

La Informática Forense actúa como lo adverso ante el surgimiento de los delitos

informáticos, de una manera mediante la cual obtener la evidencia digital que sea
válida dentro de un proceso legal. Para obtener esta evidencia digital se hace uso
de herramientas de software para realizar todas las operaciones necesarias al
momento de extraer la información, con el fin de mantener la integridad de los datos
y del procesamiento de los mismos.

En el presente trabajo se desarrolla la funcionalidad e importancia de las

herramientas forense referentes a los delitos informáticos, Bajo este contexto es
necesario tener la capacidad, herramientas y habilidades para demostrar cualquier
ilícito realizado, a su vez prevenir estos.

Por lo tanto, la iniciativa del presente trabajo es brindar conocimiento en el manejo

de herramientas forense que funcione para el mejor tratamiento de la evidencia
digital y asegurando el procesamiento de ésta en cuanto a su identificación,
preservación, extracción, análisis.
OBJETIVOS:

Objetivo General

Establecer el funcionamiento y las diferencias de las herramientas forense utilizados

en presente practica de análisis.

Objetivo especifico

 Determinar las características de las herramientas forense.

 Definir el concepto asociado a cada herramienta forense.

 Identificar la importancia la importancia de la conservación de integridad en la

evidencia.
HERRAMIENTAS FORENSE

¿Qué hace un analista forense?

Como ciencia que pueden usarse en el sistema legal, los analistas

forenses examinan y analizan datos digitales. Utilizan técnicas para reunir y
preservar evidencia de un dispositivo informático particular de una manera
adecuada para su presentación en un tribunal de justicia.

Para ellos son necesarias, las herramientas de la informática forense ayudan a los

investigadores a extraer esas pruebas cruciales de los dispositivos electrónicos para
que puedan presentarse a las autoridades. Entonces, cuando se realiza una
investigación forense, para cualquier propósito, deben utilizarse
las herramientas correctas.

Entendido lo anterior se presenta una serie de herramientas forense utilizadas para

la solución de la presenta actividad que consiste el análisis de 3 muestras de
imagen ISO. Denominadas pruebas1, prueba2, prueba3.

Las Herramientas elegidas para la realización de la practica son:

EXIFTOOL: es una herramienta que permite la exploración de metadatos, de

diferentes orígenes, muestra una información muy completa de esta. Por esa razón
se considera que es perfecta para explorar los archivos y los metadatos de esta en
su estado original, si el peligro de poder modificar nada del archivo.

FTK IMAGER: Es una herramienta muy completa a la hora de realizar análisis

forenses y sobre todo es muy fácil de usar y consume pocos recursos. Posee
muchas opciones, la naturaleza amigable y funcional se adapta perfectamente al
objetivo de la práctica.

AUTOPSY: es una herramienta completa muy variada, que tiene unas

características que se pueden encontrar en las herramientas de paga, también
debido a su metodología es perfecta para el análisis de imagen forense que se
realizaran en la práctica.
HASHMYFILES: Es una herramienta forense muy sencilla que está orientada la
validación de hash. Y precisamente por esta función fue escogida para utilizar en
esta práctica
EXIFTOOLGUI
programa que te permitirá
crear, modificar o eliminar
los metadatos de tus
fotografías o imágenes o
archivos de los cuales se
pueda obtener metadatos
nos permite visualizar los
metadatos de una gran
cantidad de formatos de
imágenes, como AWR,
ASF, SVG, TIFF, BMP,
CRW, PSD, GIF, XMP, JP2,
JPEG, DNG y unos cuantos
más.
Software Gratuito
Vista en plataforma tanto
en CMD como grafico
extrae lo más profundo de
los datos Exif
crea archivos que también
se enumeran en los niveles
de soporte para EXIF,
IPTC, XMP, ICC_Profile y
otros tipos de metadatos
para cada formato de
archivo.
TABLA COMPARATIVA
FTK Imager
es una herramienta para
realizar réplicas y
visualización previa de
datos
permite examinar archivos
y carpetas en discos duros
locales, unidades de red,
CD / DVD y revisar el
contenido de imágenes
forenses o volcados de
memoria.
Software Gratuito
Vista en plataforma tanto
en CMD como grafico
exporta archivos y carpetas
de imágenes forenses al
disco, revisar y recuperar
archivos que se eliminaron
de la Papelera de reciclaje
(siempre que sus bloques
de datos no se hayan
sobrescrito) y montar una
imagen forense para ver su
contenido en el Explorador
de Windows.
crear la imagen forense
desde un disco duro u otro
dispositivo electrónico
Autopsy
permite la identificación y
descubrimiento de
información relevante en
fuentes de datos como
imágenes de discos duros,
memorias USB, capturas de
tráfico de red, o volcados
de memoria de
computadoras.
Se puede analizar los
discos de Windows y UNIX
y sistemas de archivos
(NTFS, FAT, UFS1 / 2, Ext2
/ 3).
Software Gratuito
Vista en plataforma tanto en
CMD como grafico
de imágenes forenses al
disco, revisar y recuperar
archivos que se eliminaron
de la Papelera de reciclaje
(siempre que sus bloques
de datos no se hayan
sobrescrito) y montar una
imagen forense para ver su
contenido en el Explorador
de Windows.
crear la imagen forense
desde un disco duro u otro
dispositivo electrónico
EXIFTOOL

Definición:

Es una biblioteca de Perl independiente de la plataforma más una aplicación de

comandos para leer, escribir y editar meta información en una amplia variedad de
archivos. ExifTool admite muchos formatos de metadatos diferentes, incluidos ECIF,
GPS, IPTC, XMP, JFIF, GeoTIFF, ICC Profile, Photoshop, IRB, FlashPix, AFCP e
ID3, Lyrics3, así como las notas del fabricante de muchas cámaras digitales de
Canon, Casio, entre otras.

EXIFTOOLGUI

El objetivo principal de ExifToolGUI es:

 Ver todos los metadatos que reconoce ExifTool,

 Capacidad de editar las etiquetas de metadatos más utilizadas,
 Capacidad por lotes (cuando corresponda), significa: puede seleccionar
varios archivos y modificarlos a la vez.

La idea básica detrás de la GUI es que sea simple. Por lo tanto, solo se
implementan esas opciones, que creo que son esenciales para la mayoría de los
usuarios.

Proceso de instalación de ExifToolGUI.

1. Se descarga Exiftool ejecutable para Windows y ExifToolGUI. se crea una carpeta

en el Disco local (C:) y se agregan los archivos ya descomprimidos.

 Cambiar el nombre de (exiftool (-k)) a exiftool.

 Ejecutar como administrador el archivo ExifToolGUI.
2. Después de haber ejecutado ExifToolGUI aparecerá su interfaz. En la parte
izquierda aparecen las carpetas y archivos, donde se seleccionan los archivos a
analizar, en este caso son: Prueba1, Prueba2 y Prueba3.

3. Seleccionamos la primera imagen (Prueba1). En la parte derecha aparecerán

todos los metadatos de la primera imagen iso (Prueba1).

4. Seleccionamos (Prueba2) y obtenemos sus metadatos.

5. Seleccionamos (Prueba3) y la herramienta ExifTool nos proporciona los
metadatos de la imagen iso.

Los metadatos que obtenemos de cada una de las imágenes iso con la herramienta
ExifTool son:
  Nombre del archivo.
 Directorio.
 Tamaño de archivo.
 Fecha de modificación del archivo.
 Fecha de acceso del archivo.
 Fecha de creación del archivo.
 Tipo de archivo.
 Tipo de extensión del archivo.
 Sistema.

FTK Imager.

FTK Imager de AccessData es una herramienta para realizar réplicas y visualización

previa de datos, la cual permite una evaluación rápida de evidencia electrónica para
determinar si se garantiza un análisis posterior con una herramienta forense como
AccessData Forensic Toolkit. FTK Imager también puede crear copias perfectas
(imágenes forenses) de datos de computadora sin realizar cambios en la evidencia
original.

FTK Imager permite hacer diversas tareas algunas de ellas son las siguientes:

● Crear imágenes forenses de discos duros locales, discos lógicos,

dispositivos de almacenamiento remotos, dispositivos móviles,
memorias flash, discos Zip, CD y DVD, carpetas completas o archivos
individuales de diversos lugares.
● Además, se puede visualizar y extraer el contenido de las imágenes
forenses almacenados en un ordenador local o en una unidad de red.
● FTK Imager permite realizar la exportación de archivos y carpetas para
tratarlos en forma individual, visualizar y recuperar archivos que han
sido borrados del disco o de una papelera de reciclaje, pero que aún no
han sido sobrescritos en la unidad.
● Crear hashes MD5 y SHA-1 para asegurar y preservar la integridad de
archivos y de la imagen que generamos.

Pasos de instalación:

1. descarga del instalador.

2. Permitir permiso de acceso, para preparar la instalación
3. Posteriormente clic en siguiente o Next.

4. Aceptar los términos de licencia.

5. Definir la ruta de destino

de la instalación
Clic en “Install” para instalar FTK Imager.

Una vez finalizada la instalación damos en “Finish”.

La herramienta es muy sencilla de instalar solo es necesario permitir los cambios y
aceptar los términos y solo es dar clic.

Para analizar las imágenes iso, es necesario importar estas mismo por medio de la
opción que nos ofrece la herramienta:

aparecerá la siguiente interfaz y damos en “File” y luego en “Add Evidence Item”.

Ahora seleccionar el tipo de evidencia, en este caso seleccionaremos “Image File” y

clic en “Siguiente”.
Se busca la ISO que anteriormente descargo, en este caso “prueba1.iso” y clic en
“Finish”.

Ahora se observa que aparece la ISO antes seleccionada.

Cuando ingresamos a la ISO se puede observar que solo muestra un archivo

llamado “File2.txt”.
Dentro de FTK se puede observar todo el contenido, hasta los archivos ocultos,
donde se observar que cuenta con 5 carpetas.
El primer archivo oculto que se encuentra en la primera carpeta llamada “ISO9660
Orphan Test (ISO9660)” el archivo se llama “FILE1.TXT”.

Si se desea observar el contenido de archivo solo es necesario seleccionarlo y en la

parte inferior aparecerá el contenido de este.

En la carpeta llamada “ISO9660 Orphan Test (Rock Ridge)” contiene el segundo

ARCHIVO OCULTO llamado “File1.txt”, y para observar se realiza el mismo
procedimiento.
Ahora si se desea o se necesita la exportación de un archivo en concreto se
selecciona el archivo y clic en la opción “Export Files”.

Se selecciona la ruta donde se desea guardar la descarga, y clic en aceptar.

Se ejecuta el archivo txt y se puede observar que el contenido es el mismo que
mostraba la herramienta.

Se realiza el mismo procedimiento en el archivo “File2.txt” de la carpeta llamada

“ISO9660 Orphn 1 (Joliet)”.

También se puede exportar toda la lista del directorio con la opción “Export Directory
Listing”.
En el documento descargado contiene la lista de todos los archivos de la ISO, se
puede verificar cuando fueron creados los archivos, cuando fueron modificados y si
fueron eliminados.
El Hash con el que la imagen ISO “prueba1.iso”, fue presentado es el siguiente.

La opción “Verify Drive/Image”, nos permite verificar y comprobar la integridad del

Imagen ISO. Esta opción se encarga de verificar si hay algún cambio el elemento
analizado.

Y se puede observar los valores hash que son totalmente idénticos, eso quiere decir
que durante el análisis no se alteró la evidencia.
De la misma forma se realizan los mismos pasos que la imagen ISO anterior. Se
exporta la ISO “prueba2.iso”, y clic en “Finish”.

Al ingresar a la imagen ISO prueba2, se puede observar que un solo muestra un

archivo llamado “File2.txt”.
Dentro de FTK se puede observar todo el contenido, hasta los archivos ocultos,
donde se observar que cuenta con 5 carpetas.

En la primera carpeta llamada “ISO9660 Orphan Test 2 (ISO9660)” posee el primer

ARCHIVO OCULTO, llamado “FILE1.TXT”.
En la parte inferior se puede observar el contenido del archivo del segundo
ARCHIVO OCULTO llamado “File1.txt”.

El archivo llamado “File2.txt”, que es el que permanecía a la vista si estar oculto, se

desea observar o descargar los archivos se procede a realizar los pasos
anteriormente mostrados.
Por lo tanto, se procede a descargar la lista de directorios con sus respectivos
metadatos pertenecientes a la Imagen ISO prueba2., que verificar cuando fueron
creados los archivos, cuando fueron modificados y eliminados.

El Hash con el que la imagen ISO “prueba2.iso”, fue presentado es el siguiente.

Para verificar el hash, se realizan los pasos anteriormente mostrado, el resultado es
valores hash idénticos es decir que la evidencia no ha sido manipulada.
De la misma forma se realizan los mismos pasos que la imagen ISO anterior. Se
exporta la ISO “prueba3.iso”, y clic en “Finish”.

Cuando ingresamos a la ISO prueba3, se puede observar que solo muestra un

archivo llamado “File1.txt”.
Dentro de FTK se observa todo el contenido, hasta los archivos ocultos, donde se
encuentran 5 carpetas.
En la carpeta “ISO09660 Endian Test (ISO9660)” se muestra el primer ARCHIVO
OCULTO llamado “FILE1.TXT”.

Se procede a descargar el archivo para observar el contenido del este.

En la carpeta “ISO09660 Endian Test (Rock Ridge)” se encuentra el siguiente

archivo llamado “File1.txt”.
De la misma forma se observa el contenido del archivo “File1.txt”.

Y por último la carpeta “ISO9660 Edian (Joliet)”, dentro se observa el contenido del
archivo “file1.txt”
Por lo tanto, se procede a descargar la lista de directorios con sus respectivos
metadatos pertenecientes a la Imagen ISO prueba3., que verificar cuando fueron
creados los archivos, cuando fueron modificados y eliminados.

El Hash con el que la imagen ISO “prueba2.iso”, fue presentado es el siguiente.

Para verificar el hash, se realizan los pasos anteriormente mostrado, el resultado es
valores hash idénticos es decir que la evidencia no ha sido manipulada.
Autopsy

Según la página oficial www.autopsy.com. Autopsy es la principal plataforma

forense digital de código abierto de extremo a extremo. Creado por Basis
Technology con las características principales que espera de las herramientas
forenses comerciales, Autopsy es una solución de investigación de disco duro
rápida, completa y eficiente que evoluciona con sus necesidades.

Modos de análisis

Un análisis de muerte se produce cuando un sistema de análisis específicos se

utiliza para examinar los datos de un sistema sospechoso. En este caso, la autopsia
y las herramientas Sleuth se ejecutan en un entorno de confianza, por lo general en
un laboratorio. Autopsy y TSK apoyo básico testigo, perito, y los formatos de archivo
AFF.

Un análisis en directo se produce cuando el sistema sospechoso está siendo

analizado, mientras que se está ejecutando. En este caso, Autopsy y las
herramientas Sleuth se ejecutan desde un CD en un entorno de confianza. Se utiliza
con frecuencia durante la respuesta a incidentes, mientras que el incidente está
siendo confirmado. Después de que se confirme, el sistema puede ser adquirido y
realizado un análisis de muerte.

Instalación.

La instalación de Autopsy se realiza mediante unos pocos pasos se instala

fácilmente el software:
Selecciona la ubicación para la instalación de Autopsy.

Iniciamos la instalación.
Se esperan unos segundos en lo que acaba la carga.

Y clic en finalizar, como se muestra, la instalación es muy básica y no tendría por

qué dar problemas.
Una vez acabado se busca el icono de Autopsy que ahora debe aparecer en el
escritorio y se accede, se esperan unos segundos a que carguen los módulos, no
tarda más de un minuto.

Creamos un nuevo caso.

Se asigna un nombre al caso y la ubicación de donde se guardará.

Ahora seleccionar la opción “Disk Image or VM File” ya que lo que se desea es

montar una imagen para extraer la evidencia.

Clic en Browser y se busca la ubicación de la imagen, dato importante, si no

reconoce el tipo de extensión que fue creada la imagen seleccione la opción “Todos
los Archivos” en tipo de archivo.
Si posee un Hash, este se le coloca en el espacio especificado.

Clic en Next y esperamos que el sistema cargue los archivos, y clic en finalizar, al
terminar, debería mostrar una ventana con toda la información sustraída, en este
caso se usó la Iso “Prueba1.iso, Prueba2.iso, Prueba3.iso”.
Prueba1.iso

Prueba2.iso
Prueba3.iso

Se verificar el HASH, clic derecho sobre el nombre de la imagen y se busca “view

summary information”
Dentro, se busca la venta llamada “Container” y se verifica el HASH.

Hash Prueba1.iso

Hash Prueba2.iso
Hash Prueba3.iso

Comparando los Hash con los proporcionados y todos son los mismos sin ningún
cambio.
HASHMYFILES

En el caso que la herramienta forense que se utilizan no puede verificar o validar la

integridad del elemento analizado, HASHMYFILES es una herramienta que sirve
para la validación de hash.

Definición:

HashMyFiles es una pequeña utilidad que le permite calcular los hashes MD5 y
SHA1 de uno o más archivos en su sistema. Puede copiar fácilmente la lista de
hashes MD5 / SHA1 en el portapapeles o guardarlos en un archivo de texto / html /
xml.

HashMyFiles también se puede iniciar desde el menú contextual del Explorador de

Windows y mostrar el hash MD5 / SHA1 del archivo o carpeta seleccionados.

Requisitos del sistema:

Esta utilidad funciona en Windows 2000 / XP / 2003 / Vista / Windows 7 / Windows 8

/ Windows 10. Las versiones anteriores de Windows no son compatibles.

PROCESO DE INSTALACIÓN DE HASHMYFILES.

1. Se descarga la herramienta HashMyFiles.

2. Se permite que el programa realice cambios en el equipo.

3. Se abrirá la interfaz de la herramienta HashMyFiles.

4. En la pestaña Options - Hash Types aparecen los diferentes tipos de hash que la
herramienta puede calcular.
5. Clic en Add files y seleccionamos los archivos prueba1, prueba2, y prueba 3.

6. Ejecutado el proceso aparecerá el hash de los tres archivos seleccionados.

Resultados encontrados.

Comparando el hash MD5, se observa que los archivos no han sido manipulados.

Hash Iniciales.
Hash Finales.
CONCLUSION.

Se puede concluir que la importancia definir de manera correcta y precisa la

herramienta forense involucrada en un análisis forense es de vital importancia ya
que este será el medio por el cual se obtendrás las evidencias, y la etapa más
crítica donde un movimiento en falso puede alterar la integridad del elemento a
analizar, desacreditando la validez de esta.

Además de elegir la herramienta correcta también hay que tener conocimiento

previo de la funcionalidad de la herramienta, y las limitantes de esta misma.