Trabajo Sobre Analisis Forense Informatico

Iñaki Pueyo Basterrechea
Trabajo Obligatorio Técnico Ciberseguridad

febrero de 2021
SEAS, Estudios Superiores Abiertos

ZARAGOZA
Trabajo obligatorio Código: FC_1045-03
Página: 2/95
Técnico Ciberseguridad
FC-1002-01
Página: 3/95
ÍNDICE
ÍNDICE……………………………………………………………………………… 3
PRÓLOGO…………………………………………………....................................... 5
Propuesta de trabajo………………………………………......................................... 5
Objetivos del trabajo………………………………………........................................ 7
INTRODUCCIÓN………………………………………........................................... 8
Principio de Locard……………………………………….......................................... 8
Características de nuestro análisis………………………........................................... 8
Fases de nuestro análisis…………………………………………………………….. 9
Cadena de custodia………………….………………………………………………. 12
DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU

ALMACENAMIENTO…………….……………………………………………….. 14
Recolección de evidencias………….……………………………………………….. 14
Consideraciones de privacidad y legales……………………………………………. 15
Procedimiento de recolección………….……………………………………………. 15
Herramientas necesarias………….………………………………………………….. 16
INICIO DEL PROCESO……….…………………………………………………… 17

Preservación………………………………………………......................................... 17
Adquisición……………………………………………….......................................... 18
Análisis……………………………………………………………………………..... 20
RAM………………………………………………………………………..... 20
Kali Linux Volatility……………………………………………........ 20
Parrot Security (Volatility, Autopsy, Guymanager) ………………… 23
Windows 10 Enterprise Volatility, FTK imager, HxD, Autopsy,
Stelar Repair…………………………………………………………. 28
Parrot Security. Burp Suite Community Edition…………………….. 35
RESUMEN…………………………………………………………... 39
HD………………………………………………………………………........ 40
Adquisición Imagen………………………………………………........ 40
Búsqueda de correos..……………………………………………....... 44
Reparación de correos. Stelar Repair for Outlook……….………...... 48
Análisis HD Autopsy……………………………………………........ 52
Pst-Outlook………………………………………………………....... 63
OSINT………………………………………………………….......... 71
Solución al ejercicio……………………………………………......... 75
Documentación…………………………………………………………………….... 76
Informe ejecutivo……………………………………………………………………. 79
ANEXOS………………………...………………………….………………………. 83
Anexo I Acuerdo de confidencialidad……………………………………….. 83
Anexo II Registro de Cadena de Custodia…………………………………... 86
FC-1002-01
Página: 4/95
Criterios de evaluación…………...………………………….………………………. 92
Ficha de Corrección del Trabajo...………………………….……………………….. 93
Formato de presentación...………………………….……………………………….. 94
Desarrollo de trabajo...………………………….…………………………………… 95
FC-1002-01
Página: 5/95
PRÓLOGO
En los actuales momentos, en la actividad cotidiana y empresarial se cometen muchos

delitos desde robos, hasta estafas masivas, en algunos casos con el uso de equipos
tecnológicos. Este trabajo tiene como objetivo principal analizar las diferentes técnicas
y métodos para detectar los diferentes delitos informáticos a través de las ciencias
forenses basadas en la informática. Involucrando documentos, ficheros, registros, datos,
etc., contenido en un soporte informático y siendo susceptible de tratamiento digital.
Se analiza en detalle cómo realizar la investigación forense en unos de los sistemas

operativos con más usuarios actualmente, como lo es el sistema operativo Windows y
su memoria Ram.
El análisis de la memoria RAM será conseguir obtener la actividad reciente de un

determinado usuario en un equipo que se desea analizar en el contexto de un análisis
forense digital, haciendo referencia a un conjunto de procedimientos de recopilación y
análisis de evidencias que se realizan con el fin de responder a un incidente relacionado
con la seguridad informática y que, en ocasiones, deben de servir como pruebas ante el
empresario que nos contrata como a un tribunal. Mediante este procedimiento se
pretende responder a las siguientes preguntas: ¿qué?, ¿dónde?, ¿cuándo?, ¿por qué?,
¿quién? y ¿cómo?.
En nuestro caso, somos contratados por la empresa X para investigar un supuesto

incidente con uno de sus empleados y la obtención de pruebas irrefutables.
Propuesta de Trabajo
Se nos ha contratado por la empresa X para investigar un incidente con uno de sus
empleados.
Sabemos que dicho empleado está conspirando para atacar a la empresa junto con
otra persona, conocida como Dr. Evil.
FC-1002-01
Página: 6/95
La empresa necesita pruebas irrefutables de la conspiración del empleado y para ello
necesita que nosotros encontremos las claves para poder acusarle.
Dentro de nuestro cometido está encontrar el sitio donde se van a reunir para
conspirar, así como la contraseña que van a utilizar para identificarse.
Para todo ello, se nos pide:
1. Sabiendo que el ordenador del empleado está encendido, explica el proceso

que seguirías para obtener los artefactos del equipo (volcado de memoria,
imagen de disco, archivos interesantes para la investigación…) Deberás
explicar desde que llegas frente al equipo hasta que terminas con la
adquisición de datos y estás listo para empezar a trabajar con ellos en tu
laboratorio. Para poder acceder a una nota más alta, deberás explicar la
diferencia de procedimiento cuando la máquina se encuentra
encendida/apagada, es física/virtual y cuando se encuentra ubicada o no en
cloud, realizando el proceso en máquinas preparadas por el alumno y
mostrando el proceso seguido.
2. Utilizando los dos archivos que habrías obtenido en el punto 1 con el volcado
de memoria y la imagen de disco duro, extrae toda la información que
puedas sobre la máquina que vas a analizar mostrando cómo la obtienes:
procesos en ejecución, conexiones de red, sistema operativo, usuarios.
3. Sabemos que el empleado descontento ha intercambiado correos con Dr. Evil

para planificar el ataque. Sabemos a ciencia cierta que utiliza una cuenta del
dominio “aratech.es” y que accede tanto por webmail como por Outlook.
Estamos seguros de que en el correo se encuentra una pista fundamental para
obtener los datos que necesitamos. Deberás encontrar dicha pista. Para ello
te proporcionamos el volcado de memoria, así como la imagen de disco que
habrías obtenido en el punto 1.
Pista: sabemos que el empleado, aun sabiendo que es una mala práctica de
seguridad, reutiliza las contraseñas.
4. Una vez obtenidas las pistas deberás hacer uso de OSINT y tu capacidad
FC-1002-01
Página: 7/95
investigadora para obtener la localización y la contraseña para poder
suplantar al empleado en la reunión con el Dr. Evil y detener así sus planes.
5. Por último, deberás realizar un informe pericial de qué pruebas y cómo

las has obtenido para poder presentarlo cuando acusemos al empleado,
siendo lo más riguroso posible para evitar una posible contrapericial.
Observaciones
Para la realización del trabajo NO se pueden utilizar programas de fuerza bruta,

programas de eliminación de contraseñas y similares. Todos los procesos que se
lleven a cabo tienen que realizarse manualmente por el alumno sin ayuda de
software específico.
Objetivos del Trabajo
• Conocer el procedimiento de adquisición de artefactos, así como el protocolo

que se va a seguir para obtener evidencias digitales.
• Aprender a utilizar herramientas para la adquisición y el tratamiento de

evidencias digitales.
• Aprender a manejar fuentes abiertas de información y relacionar datos.
• Desarrollar capacidades para solventar problemas de manera autónoma y sin

ayuda de software de terceros.
• Conocer el proceso de realización de informes periciales.
FC-1002-01
Página: 8/95
INTRODUCCIÓN
Principio de Locard
En nuestro trabajo, seguiremos el Principio de Locard. A la hora de realizar un

análisis forense digital es fundamental tener presente el principio de intercambio de
Locard, el cuál sentó las bases de la ciencia forense, y que dice lo siguiente:
“siempre que dos objetos entran en contacto transfieren parte del material que
incorporan al otro objeto”. Esto significa que cualquier tipo de delito, incluidos los
relacionados con la informática que son los que nos atañen, dejan un rastro por lo
que mediante el proceso de análisis forense se pueden obtener evidencias.
Ilustración 1 Principio de Locard
Características de nuestro análisis
El procedimiento de nuestro análisis forense debe poseer las siguientes

características:
FC-1002-01
Página: 9/95
• Verificable: se debe poder comprobar la veracidad de las conclusiones
extraídas a partir de la realización del análisis.
• Reproducible: se deben poder reproducir en todo momento las pruebas

realizadas durante el proceso.
• Documentado: todo el proceso debe estar correctamente documentado y debe

realizarse de manera comprensible y detallada.
• Independiente: las conclusiones obtenidas deben ser las mismas,

independientemente de la persona que realice el proceso y de la metodología
utilizada.
Fases de nuestro análisis
Ilustración 2 Fases del análisis forense digital

Constará de las siguientes fases:
• Preservación: corresponde a la fase en la que se debe garantizar que no se

pierdan las evidencias que deben ser recopiladas para su posterior análisis. El
desconocimiento puede provocar que se pierda información relevante y que
podría resultar decisiva para la resolución del incidente. Aspectos críticos
como que no se apaguen los equipos para poder preservar la información
volátil o la correcta rotulación de los elementos a analizarse realizan durante
esta fase.
Así mismo, se debe mantener un registro continuo de las operaciones que se

van realizando sobre el material a analizar con el fin de mantener la validez
jurídica de las evidencias que se recopilen a posteriori, en el caso de que sea
necesario. Si los materiales deben ser transportados, se debe realizar con
FC-1002-01
Página: 10/95
sumo cuidado, evitando que la información sea alterada o que se vea expuesta
a temperaturas extremas o campos electromagnéticos.
• Adquisición: Esta es la fase en la que se centra este trabajo, y la que se

explicará con mayor detalle, y corresponde a la etapa en la que se recopilan
las evidencias. Una evidencia puede ser definida como cualquier prueba que
pueda ser utilizada en un proceso legal, aunque no siempre sea así.
Características de las evidencias:

o Admisible: debe tener valor legal.
o Auténtica: debe ser verídica y no haber sufrido manipulación alguna.
Para ello, deben haberse sacado los correspondientes hashes con el fin
de asegurar la integridad.
o Completa: debe representar la prueba desde un punto de vista
objetivo y técnico, sin valoraciones personales, ni prejuicios.
o Creíble: debe ser comprensible.
o Confiable: las técnicas utilizadas para la obtención de la evidencia no
deben generar ninguna duda sobre su veracidad y autenticidad.
Pueden ser clasificadas en dos tipos:
• Evidencia física: hace referencia al material informático como por ejemplo:

discos duros, pendrives, etc.
• Evidencia digital: corresponde a la información almacenada en las evidencias

electrónicas.
• Algunos ejemplos de evidencias digitales son:
o Fichero en disco.
o Proceso en ejecución.
o Log.
o Archivos temporales.
o Entradas de registro.
FC-1002-01
Página: 11/95
• Análisis: a la hora de realizar el análisis de la información recopilada se
deberá tener presente el tipo de incidente al que se pretende ofrecer respuesta.
En este del caso puede resultar útil analizar en profundidad diferentes
aspectos como:
o Sistema Operativo.
o Archivo de paginación (Pagefile.sys): es un fichero que permite

optimizar el uso de la memoria RAM ya que el sistema operativo
envía ahí temporalmente la información que no sea necesaria en ese
momento para los procesos en ejecución y posteriormente la recupera
en el caso de que alguno la solicite.
o Papelera de reciclaje.
o Procesos activos.
o Tráfico de red.
o Usuarios.
Es fundamental que todo el proceso sea realizado desde un punto de vista

objetivo, sin descartar lo que para el analista pueda ser considerado como
obvio.
• Documentación: un aspecto fundamental en el proceso del análisis forense

es el de la documentación por lo que se debe realizar dicha fase de una
manera muy metódica y detallada. Se realizarán, entre otras, las siguientes
acciones:
o Fotografiar las pruebas.
o Cadena de custodia.
o Documentar todos y cada uno de los pasos realizados durante el

proceso, manteniendo una bitácora con fechas y horas de cada acción
realizada sobre las evidencias.
o Elaborar dos tipos de informe de conclusiones: uno ejecutivo y uno

técnico.
FC-1002-01
Página: 12/95
• Presentación: la fase de presentación de la información es tan importante o
más que las anteriores ya que se deben hacer accesibles y comprensibles las
conclusiones que se han obtenido del proceso del análisis forense.
Para ello, es recomendable seguir las siguientes pautas:
o Preparar una presentación de manera pedagógica que sea fácilmente

comprensible.
o Detallar las conclusiones.
o Explicar de manera clara el proceso que se ha llevado para la

obtención de las evidencias.
o Evitar las afirmaciones no demostrables o los juicios de valor.
o Elaborar las conclusiones desde un punto de vista objetivo.
Hay que tener presente que las fases no son secuenciales sino que están
entrelazadas entre sí. Por ejemplo, la fase de documentación comienza en la fase
de preservación.
Ilustración 3 Orden de copias para las pruebas recolectadas
Cadena de custodia
Los traspasos de posesión, qué son los cambios en la titularidad de la responsabilidad

de la conservación de una evidencia, por ejemplo, si se entrega una evidencia a un
compañero para que haga copias , la almacene o la traslade, dichos traspasos tienen que
registrar cuando y donde tuvieron lugar, quién entregaba la evidencia y quién la recibirá
y el receptor deberá encargarse a partir de ese momento, tanto de la evidencia, como de
su cadena de custodia y como no podía ser de otra forma las medidas de custodia y
preservación de la evidencia que se apliquen también deben documentarse en la cadena
FC-1002-01
Página: 13/95
de custodia, al fin y al cabo, la cadena de custodia es un registro cronológico de
actividades, incidentes y responsabilidades respecto de cada evidencia.
Es importante realizar todas las anotaciones descritas en la fase de identificación de

las evidencias para que esta fase sea aún más sólida. Con todos los elementos
documentados será mucho más fácil tener un control de todas las evidencias que
disponemos y poder realizar una traza de todas las pruebas adquiridas
Mientras los dispositivos estén en el laboratorio y no se estén manipulando es

importante tenerlos embalados con etiquetas informativas que contengan al menos datos
como un identificador único para cada elemento, nombre del técnico responsable del
material, la descripción del mismo. También es relevante el propietario del mismo y en
qué lugar fue confiscado, así como fecha y hora del evento. Finalmente se podrán anotar
otras observaciones que puedan resultar útiles para los investigadores y que aporten
cualquier otro dato.
En función de la naturaleza de los equipos. confiscados habrá que tomar una serie de
cuidados adicionales. En caso de discos ópticos o magnéticos, por ejemplo discos duros,
CD, cintas de copias de seguridad o similares, estos se deberán proteger contra
electricidad estática y se guardarán en bolsas antiestáticas para evitar pérdida o daño en
los datos contenidos. Se procederá de la misma forma con placas electrónicas que
pudieren verse afectadas por descargas de electricidad estática o sean sensibles a la
manipulación.
Además se tendrá en cuenta de proteger los bienes para el transporte desde el lugar
de los hechos hasta el laboratorio con los medios necesarios para evitar golpes o
proteger de caídas fortuitas.
El lugar de almacenamiento también debe reunir unas mínimas de condiciones de

seguridad, no sólo de acceso físico a las evidencias, sino también ambientales. No se
podrán almacenar dispositivos electrónicos en sitios húmedos o con temperaturas
extremas o con exceso de polvo y suciedad.
La documentación de la cadena de custodia deberá contener también todos los

lugares por donde ha pasado la evidencia y quién ha realizado su transporte y su acceso.
FC-1002-01
Página: 14/95
DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y

SU ALMACENAMIENTO
En el documento http://www.ietf.org/rfc/rfc3227.txt recoge las «directrices para la

recopilación de evidencias y su almacenamiento» y puede llegar a servir como estándar
de facto para la recopilación de información en incidentes de seguridad.
Recolección de evidencias
Seguiremos los siguientes puntos:
• Capturar una imagen del sistema tan precisa como sea posible.
• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza

horario local o UTC.
• Minimizar los cambios en la información que se está recolectando y eliminar los

agentes externos que puedan hacerlo.
• En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero

recolección y después análisis.
• Recoger la información según el orden de volatilidad (de mayor a menor).
• Tener en cuenta que por cada dispositivo la recogida de información puede

realizarse de distinta manera.
El orden de volatilidad hace referencia al período de tiempo en el que está accesible

cierta información. Por este motivo se debe recolectar en primer lugar aquella
información que vaya a estar disponible durante el menor período de tiempo, es decir,
aquella cuya volatilidad sea mayor.
FC-1002-01
Página: 15/95
Consideraciones de privacidad y legales
Hay que asegurarse que toda la información recopilada durante el proceso sea tratada
dentro del marco legal establecido, manteniendo la privacidad exigida. Los ficheros log
están incluidos en este apartado ya que pueden almacenar patrones de comportamiento
del usuario del equipo.
Se debe tener presente que la legislación es diferente en cada país por lo que las
evidencias pueden ser admitidas en un país y en otro no. En todo caso dichas evidencias
deben tener una serie de características comunes:
• Admisible: se debe cumplir las normas de la legislación vigente con el fin de
que las evidencias tengan validez judicial.
• Auténtica: se debe poder probar que la evidencia corresponde al incidente en
cuestión.
• Completa: debe corresponder a la información completa y no a una visión
parcial.
• Confiable: no debe existir ninguna duda acerca de cómo se ha obtenido la
evidencia y la posterior manipulación que pueda arrojar dudas sobre su
autenticidad y veracidad.
• Creíble: debe de ser verosímil y fácilmente comprensible por un tribunal.
Procedimiento de recolección
El procedimiento de recolección debe de ser lo más detallado posible, procurando

que no sea ambiguo y reduciendo al mínimo la toma de decisiones.
• Reproducible. Los métodos utilizados para recolectar evidencias deben de
ser transparentes y reproducibles. Se debe estar preparado para reproducir con
precisión los métodos usados, y que dichos métodos hayan sido testados por
expertos independientes.
• Pasos:
FC-1002-01
Página: 16/95
o Listar qué sistemas están involucrados en el incidente y de cuáles de
ellos se deben tomar evidencias.
o Establecer qué es relevante. En caso de duda es mejor recopilar
mucha información que poca.
o Fijar el orden de volatilidad para cada sistema.
o Obtener la información de acuerdo al orden establecido.
o Comprobar el grado de sincronización del reloj del sistema.
o Según se vayan realizando los pasos de recolección preguntarse qué
más puede ser una evidencia.
o Documentar cada paso.
o No olvidar a la gente involucrada. Tomar notas sobre qué gente estaba
allí, qué estaban haciendo, qué observaron y cómo reaccionaron.
o Cadena de custodia.
o Se debe almacenar la información en dispositivos cuya seguridad haya
sido demostrada y que permitan detectar intentos de acceso no
autorizados.
Herramientas necesarias
Existen una serie de pautas que deben de ser seguidas a la hora de seleccionar las
herramientas con las que se va a llevar a cabo el proceso de recolección:
• Se deben utilizar herramientas ajenas al sistema ya que éstas pueden haberse
visto comprometidas.
• Se debe procurar utilizar herramientas que alteren lo menos posible el
escenario, evitando, en la medida de lo posible, el uso de herramientas de
interfaz gráfico y aquellas cuyo uso de memoria sea grande.
• Los programas que se vayan a utilizar para recolectar las evidencias deben
estar ubicados en un dispositivo de sólo lectura (CDROM, USB, Unidad
Externa, etc.).
• Se debe preparar un conjunto de utilidades adecuadas a los sistemas
operativos con los que se trabaje.
FC-1002-01
Página: 17/95
• El kit de análisis debe incluir, entre otros, los siguientes tipos de
herramientas:
o Programas para listar y examinar procesos.
o Programas para examinar el estado del sistema.
o Programas para realizar copias bit a bit.
INICIO DEL PROCESO
Nos ha requerido la empresa X para investigar un incidente de seguridad informática

con uno de sus empleados.
Nos informan de las sospechas de que un empleado descontento que junto con otra
persona, conocida como Dr. Evil están conspirando, contra la empresa. Nuestro
cometido será encontrar pruebas “irrefutables” que nos indiquen el lugar donde se
reunirán, conociendo a ciencia cierta que la cuenta pertenece a un dominio llamado
“aratech.es”.
Tras conversación exponiendo los hechos y sospechas, se firman los contratos de

Confidencialidad, Forense Informática (indicando los tiempos de ejecución y entrega),
Personas de contacto, Cadena de Custodia de evidencias, Listado de evidencias y Acto
Notarial (Si fuera necesario para juicio).
Preservación
Una vez que el empleado ha salido por la tarde y con la disculpa de un

mantenimiento y actualización remoto de los sistemas informáticos, deja su puesto de
trabajo encendido. Esto es importante por la diferencia que hay entre equipos
encendidos o equipos apagados ya que hay que
operar de manera distinta. Lo que se hace es
fotografía del estado de la escena para saber cómo
está todo y luego se investiga cada evidencia y
capturándolas de una en una. El objetivo principal
de este tipo de análisis es la recuperación de datos
Ilustración 4 Mesa de trabajo empleado
FC-1002-01
Página: 18/95
de las unidades de memoria como discos duros, RAM o memoria USB. Si el equipo está
encendido no hay que apagarlo, si está apagado no hay que encenderlo.
Se verifica marca y modelo del PC, conectado a la red corporativa mediante cable
red, sin conexión a impresora por cable.
Es importante mantener el equipo encendido, la memoria RAM es volátil y se

perdería el fichero de paginación que se crea cuando se va llenando la memoria RAM,
lo que hace el sistema operativo es volcarlo al fichero pagefile.sys; y una vez que lo
vuelca, va a permitir tener una memoria virtual. En un equipo encendido el volcado
sería que después de haber producido el volcado de memoria con las herramientas
dedicadas a éste propósito, y se procede a desenchufar el cable y como no se ha
apagado correctamente el ordenador, disponemos del fichero pagefile.sys; pero si se
apaga correctamente, es decir Inicio → Apagar, el fichero pagefile.sys se borra. Lo que
no cabe en la memoria RAM va directo al fichero pagefile.sys y este fichero hay que
tenerlo previsto para el tema de la paginación y evidencias. El propio sistema operativo,
al realizar las operaciones de apagado, cambia registros, fechas, o la ocultación de
ficheros en el caso de que haya un rootkit o ficheros que podrían ser relevantes.
Se realiza un examen visual en el entorno de trabajo por parte de los presentes,

siendo el representante de la empresa quien nos guía sobre la relevancia de la
documentación observada, tomando nota de todo ello el notario. Se aprecia orden en la
mesa de trabajo encontrándose una agenda, una libreta y varios papeles relativos a su
labor de trabajo del mismo día, no encontrando nada susceptible de ayuda o dudas
(documentos escritos o información sospechosa, contraseñas, direcciones de correo
electrónicos…). Así mismo, no se observan alguna unidad de almacenaje externo (USB,
disco duro externo, tarjetas de memoria etc.).
Adquisición
Se realiza la recopilación de las evidencias físicas como digitales. Fotografiando la

pantalla y el entorno.
FC-1002-01
Página: 19/95
Con la autorización del representante de la empresa, se procede en primer lugar al
volcado de la memoria RAM. Mediante la inserción de un USB, con software específico
para obtener la imagen de la misma (en nuestro caso, la prueba venía bajo licencia
VMware). Éste software previene si la memoria está protegida por un sistema anti-
depuración o anti-dumping activo, con el fin de minimizar la huella de la herramienta lo
más posible.
Se comprueba tanto el Md5 y el Sha1:
o MD5: d1e74230b8e165ef69fd506c432771a1
o Sha1: f1dc55c26708792d9ea1ace2432069bd4f81a8e8
Se realizan dos copias de la imagen obtenida y tras verificarán que los MD5 y Sha1
sean los correctos y se repartirán de la siguiente manera: la imagen obtenida
directamente del pc es entregada al notario. La primera copia al encardado de la
empresa y la segunda a nosotros. (Se anota fecha y hora, documentando el proceso en el
documento «Cadena de custodia»).
En este momento procedemos a desenchufar el cable de alimentación del ordenado

para el apagado abrupto del mismo.
Se realiza la apertura del pc para la extracción del disco duro.
Ilustración 5 Proceso extracción y clonación del disco duro

FC-1002-01
Página: 20/95
Una vez realizada la imagen del disco duro, se procede a comprobar tanto el Md5 y
el Sha1:
o Md5: efaf8bf51fa34600b51606ef2188be63
o SHA1: b6856355dfbe2cc751e9400871303616b0d6725f
Se documenta la información del disco duro, marca, modelo, capacidad antes de

incorporarlo de nuevo en su correspondiente pc para el montaje de la estructura con su
carcasa.
Se realizan dos copias de la imagen obtenida y tras verificarán que los MD5 y Sha1
sean los correctos y se repartirán de la siguiente manera: la imagen obtenida
directamente del HD es entregada al notario. La primera copia al encardado de la
empresa y la segunda a nosotros. (Se anota fecha y hora, documentando el proceso en el
documento «Cadena de custodia»).
Análisis
RAM
Kali Linux Volatility
Comenzaremos nuestra trabajo ya en nuestro laboratorio. Utilizando máquina virtual

basada en Kali de Linux sobre Oracle VM VirtualBox y con Volatility, procedo a la
extracción de la imagen con el fin de obtener la máxima información posible, como
contraseñas, servicios activos, procesos, conexiones, etc.
Los comandos a utilizar con Volatility serán los siguientes:
• imageinfo: Descubrir de qué sistema operativo se ha realizado el dump sobre el

cual vamos a realizar el análisis.
FC-1002-01
Página: 21/95
• kdbgscan: nos ofrece un perfil exacto de la imagen analizada así como el
identificados exacto de KDBG. Este plugin escanea las firmas de las cabeceras de la
imagen y las contrarresta con los perfiles almacenados en la base de datos de volatility,
reduciendo con ello el número de posibles falsos positivos.
• pslist: recorrerá la lista vinculada que apunta a PsActiveProcessHead y mostrará
el desplazamiento, nombre del proceso, ID del proceso e ID del proceso padre del
mismo, el número de subprocesos, número de identificadores, así como la fecha y hora
en la cuál dicho proceso empezó y terminó.
• pslist: con la opción –P mostrará los offsets virtuales para _EPROCESS pero
podemos ver los offsets físicos.
• pstree: enumerará los procesos con la misma técnica utilizada en pslist pero con
una vista diferente de la misma y que puede ayudar a identificar de una forma más
rápida el padre de cada uno de estos.
• psscan: nos permitirá obtener también el ID del offset físico de cada uno de los
procesos. Este plugin puede encontrar procesos inactivos, es decir, que terminaron
previamente, y procesos que han sido ocultos o desvinculados por un rootkig.
• dlllist: nos permite ver que librerías del sistema está utilizando el mismo, así
como obtener el offset de las mismas, el tamaño que ocupan, ruta en la cuál se
almacenan, etc.
• dlldump: extraer un DLL desde un proceso del espacio de memoria y analizar el
mismo.
• hashdump: que permite extraer los hash de las cuentas creadas en la máquina.
Ilustración 6 Volatility sobre Kaki
FC-1002-01
Página: 22/95
Ilustración 7 Pruebas Comandos Volatility
FC-1002-01
Página: 23/95
Parrot Security
Volatility, Autopsy, Guymanager
Ante la imposibilidad de realizar esta tarea con la distribución Kali de Linux, instalo
la distribución de Parrot Security sobre Debian (64-bit) en Oracle VM VirtualBox. Una
vez en Parrot, realizo otra extracción del volcado de memoria en el terminal usando dd
sobre el origen con destino y verifico md5 y shal.
Ilustración 8 Instalación y actualización Parrot Security
Ilustración 9 Nueva imagen y comprobación hash md5 y shaa1
FC-1002-01
Página: 24/95
No obtengo resultados nuevos con el Volatility sobre distribución Parrot Security.
Ilustración 10 Pruebas en Parrot comandos Volatility
Probando Autopsy que es un programa basado en GUI que se utiliza para analizar
discos duros y otros dispositivos de almacenamiento. Tiene una arquitectura de
complementos que ayuda a encontrar módulos o desarrollar módulos personalizados.
Por defecto, trabaja con módulos para:
• Análisis de la línea de tiempo : Interfaz gráfica de visualización avanzada de

eventos.
• Hash Filtering: Marca los archivos defectuosos conocidos e ignora los buenos
conocidos.
• Búsqueda de palabras clave: Busca palabras clave indexadas para encontrar
archivos que tengan términos relevantes.
• Artefactos web : Extrae el historial, los marcadores y las cookies de los
navegadores Chrome, Firefox e Internet Explorer.
• Tallado de datos: Recupera archivos borrados del espacio no asignado.
• Multimedia: Extrae datos EXIF de imágenes y videos.
• Indicadores de compromiso: Escanea el disco, imagen, memoria.
Inicialmente, con el comando Imageinfo solamente se obtiene que la memoria
pertenece a un Win10x64 10586, No PAE y con la fecha y hora en la que hemos
realizado la extracción de la misma 2018-12-29 17:39:48 UTC+0000 ó 2018-12-29
18:39:48 +0100.
FC-1002-01
Página: 25/95
Ante la imposibilidad de usar Volatility realizo el proceso en busca de las
contraseñas con Autopsy. Proceso Autopsy:
Ilustraciones 11-18 Abrir Caso Forense Autopsy
FC-1002-01
Página: 26/95
Dicho proceso, se realiza:
• Desde el terminal y como Root, llamamos a Autopsy.
• Muestra la ruta donde con un navegador se podrá acceder a Autopsy.
• Creando un Nuevo Caso, Descripción del mismo, identificador del

Investigador.
• Añadir un Host al caso.
• Partición y Copia para trabajar sobre una copia de la imagen preservando el

original.
• Verificación de MD5.
• Analizar imagen.
• Extract Strings con el fin de encontrar palabras clave.
Búsqueda de palabras clave y posible contraseña.
Ilustraciones 19-21 Palabras clave-Posible contraseña
FC-1002-01
Página: 27/95
Las palabras clave realizadas en la búsqueda serán las que comúnmente se utilizan
para realizar dicha búsqueda: &pass=; &passwd=; &password=; y sabiendo que el
dominio utilizado en los correos entre nuestro empleado y su “cómplice” es aratech, se
suma esta palabra en la búsqueda.
Con la búsqueda de “aratech”, el cribado de ellas se limita a 17 opciones,

encontrando en una, una posible solución al primer paso de la investigación:
&_user=info@aratech.es& pass=1nf0Ar4t3ch.
Como sólo se pueden buscar “palabras” en la imagen de la memoria RAM, no siendo

así para encontrar servicios, procesos, conexiones red, etc., pruebo a realizar copia de la
imagen con GuyManager (en vez de la consola y con el comando dd) y repetir los
pasos anteriores.
Ilustraciones 22-23 Añadir imagen Ram y Adquirir imagen
Ilustraciones 24-25 Datos Caso y Progreso
FC-1002-01
Página: 28/95
Ilustraciones 26-27 Vista del fichero generado y Hash obtenidos
El proceso de adquirir imagen con GUYMANAGER 0.8.12 nos proporciona un

resumen y genera un informe con toda la información completa del proceso.
Windows 10 Enterprise Volatility, FTK

imager, HxD, Autopsy, Stelar Repair
Ante la imposibilidad de obtener más información mediante las máquinas virtuales

Kali y Parrot Security, procedo a instalar la distribución gratuita de Microsoft para
VirualBoxVM de Oracle, con el fin de poder investigar un poco más la memoria Ram.
Ilustración 28 Instalación Windows 10 Enterprise

para VirtualBox
Descargo e instalo las aplicaciones que
necesitaré para el trabajo de análisis y
forense, tanto para el análisis de la
memoria RAM como para HD. Entre
otros: Volatility, AccessData FTK
imager, HxD, Autopsy 4.17.0, Stelar
Repair for Outlook y Sleuthkit-
Ilustración 29 Descarga e instalación Software para trabajo Forense 4.10.1.
FC-1002-01
Página: 29/95
Primeramente, para poder trabajar, obtendremos copia de la imagen RAM con
AccesData FTK.
Ilustraciones 30-31 Instalación AccessData FTK Imager 3.1.2.0
Añadir evidencia, tipo de evidencia y ruta donde tenemos alojado el fichero Ram.
Ilustraciones 32-34 Añadir Item, tipo ítem y ruta
FC-1002-01
Página: 30/95
Ilustraciones 35-37 Verificación imagen obtenida
Verificación de la nueva imagen y Hash.
Volatility en Windows. Con el fin de intentar descubrir conexiones de red abiertas y

escaneo de objetos de conexión, visualización de la lista de DLL cargadas por cada
proceso, archivos abiertos para cada proceso, realización de diferentes dump,
identificación de la propiedad de las imágenes, incluyendo los datos, el horario, la fecha
y el lugar, lista de claves de registro para cada proceso encontrado en la tabla de
FC-1002-01
Página: 31/95
procesos, las contraseñas usadas recientemente, los archivos borrados, el contenido del
registro de Windows, etc.
Inicialmente, con el comando Imageinfo solamente se obtiene que la memoria

pertenece a un Win10AMD64P, No PAE y con la fecha y hora en la que hemos
realizado la extracción de la misma 2018-12-29 17:39:48 UTC+0000 ó 2018-12-29
18:39:48 +0100.
Con el comando pslist, nos ocurre como con las máquinas virtuales anteriores
montadas sobre Linux y Debian.
Ilustraciones 38-39 Ejecución Volatility
Como no se obtiene ningún resultado con Volatility en Windows tampoco, procedo a

intentar comprobar con el mismo AccessData FTK Imager 3.1.2.0. que es una
herramienta para realizar réplicas y visualización previa de datos, la cual permite una
evaluación rápida de evidencia electrónica para determinar si se garantiza un análisis
posterior con una herramienta forense. FTK Imager también puede crear copias
perfectas (imágenes forenses) de datos de un ordenador sin realizar cambios en la
evidencia original.
FTK Imager es una herramienta de obtención de imágenes y vista previa de datos

que le permite evaluar rápidamente la evidencia electrónica para determinar si se
justifica un análisis adicional con una herramienta forense. FTK Imager también puede
crear copias perfectas (imágenes forenses) de datos informáticos sin realizar cambios en
la evidencia original.
FC-1002-01
Página: 32/95
Es importante mencionar el uso de un bloqueador de escritura al utilizar FTK Imager
para crear la imagen forense desde un disco duro u otro dispositivo electrónico. Esto
asegura que el sistema operativo no alterará la unidad fuente original cuando se le
adjunte al ordenador.
Para prevenir la manipulación accidental o intencional de la evidencia original, FTK

Imager realizar una imagen duplicado bit a bit del medio. La imagen forense es idéntica
en cualquier forma al original, incluyendo espacio de holgura o residual y espacio sin
asignar o espacio libre de la unidad. Esto permite almacenar el medio original en un
lugar seguro de daño mientras se procede con la investigación utilizando la imagen
forense. Así mismo, no permite realizar búsquedas.
Ilustración 40 Realizar búsquedas con FTK
FC-1002-01
Página: 33/95
Ésta técnica de búsqueda aparentemente parece ser larga, tediosa al tener que estar
continuamente con F3 para ir avanzado entre los resultados.
Ilustraciones 41-42 Búsquedas realizadas con FTK
Ilustración 43 Opciones ofrecidas por FTK Imager
Al realizar las opciones de obtener archivos, detectar encriptaciones, exportar

archivos, exportar listas de Hash para su análisis o exportar lista de directorios, todos
dan como resultado, directorios y archivos vacíos.
FC-1002-01
Página: 34/95
Como siguiente paso en la búsqueda de nuestra ansiada contraseña, procedo a
instalar HxD Editor. HxD es uno de los rápidos y grandes editores de archivos
hexadecimales para Windows. También proporciona la modificación de la RAM y la
edición del disco duro. La edición en HxD es similar a la edición en un editor de texto
normal. Los datos pueden ser vistos en juegos de caracteres ANSI, DOS, EBCDIC y
Macintosh. Es uno de los editores hexadecimales actualizados entre muchos otros
editores hexadecimales. diseñado cuidadosamente y rápido incluyendo la edición de
disco sin procesar, modificar RAM externa y el manejo de archivos de cualquier
tamaño. Su interfaz clara ofrece buscar / reemplazar, exportar, sumas de comprobación /
digiere, la inserción de patrones de bytes, un destructor de archivos, la concatenación o
división de archivos, estadísticas y mucho más. Edición funciona como en un editor de
texto con funciones simplificados para ocultar las diferencias que son puramente
técnico.
Ilustración 45 Apertura archivo a analizar en HxD
Ilustración 44 Instalación HxD
Ilustraciones 46-47 Búsquedas palabras clave para hallar contraseña
FC-1002-01
Página: 35/95
Cerrando la búsqueda de la contraseña y reduciendo las ocurrencias.
Ilustración 48 Búsqueda contraseña de info@aratech.es
Una vez con la posible contraseña, me dispongo a probar la misma en el servicio de

correo conocido en la anterior búsqueda.
Parrot Security
Burp Suite Community
Para este cometido, utilizaremos Burp Suite Community Edition v2020.12.1

integrada en Parrot Security, en que es sin dudas la herramienta preferida de análisis de
aplicaciones, utilizada por investigadores, bug hunters, hackers y diferentes
profesionales de seguridad. Las herramientas internas:
FC-1002-01
Página: 36/95
Target: Con esta herramienta podemos crear un mapa de acción y a partir de él
poder ejecutar las demás herramientas a fin de alcanzar el propósito establecido. En esta
fase es en la que se decide qué herramientas debemos usar dependiendo de lo que se
desee lograr.
Araña o Spider: Esta funciona de manera automatizada y con ella se puede
inspeccionar detalladamente cada página web o cada uno de los recursos de la
aplicación web que se esté auditando. Una herramienta muy completa con una gran
utilidad.
Proxy: Este, tal como lo explicamos anteriormente, se instala entre el internet y el
navegador web, esto con la intención de interceptar todas las peticiones e inspeccionar
minuciosamente el tráfico que se recibe.
Escáner: Este se emplea en aplicaciones webs y es un sistema avanzado con el
que se pueden identificar las vulnerabilidades que existan dentro de la misma sin
importar si estas son activas o pasivas.
Es una herramienta especial de intrusión: con esta herramienta se pueden
realizar varias funciones, entre ellas se encuentran el poder hacer ataques de fuerza
bruta, directorios, enumeración en usuarios y ataques de SQLI o XSS.
Una herramienta especial para repetir: al aplicar esta herramienta podemos
modificar cabeceras y parámetros de las peticiones interceptadas y, luego de ser
manipuladas, poder soltarlas nuevamente.
Herramienta especial secuenciadora: utilizándola de manera correcta podemos
obtener, por medio del ataque de fuerza bruta, tokens CSRF y cookies. Además
podemos la aleatoriedad de los tokens en los inicios de sesión.
Herramienta de comparación: permite realizar comparaciones de datos entre las
respuestas y peticiones.
Codificador: Permite la codificación y decodificación de los parámetros hashes,
URLs , ente otros.
Extensiones: Se puede crear plugins personalizados con el fin de hacer ataques
más directos.
FC-1002-01
Página: 37/95
Ilustración 49 Burp Suite Commnunity Edition v2020.12.1
Ilustraciones 50-51 Configuración Burp Suite
Ilustraciones 52-53 Funcionado Burp Suite
FC-1002-01
Página: 38/95
Ilustración 54 Confirmación del string
Aunque sabemos que en este momento, la cuenta, por motivos técnicos se encuentra
desactivada, el string que nos devuelve es el mismo que el encontrado en la memoria
Ram, tanto con:
• Autopsy Forensic Browser:
§ &_user=info@aratech.es& pass=1nf0Ar4t3ch.
• AccessData FTK Imager 3.1.2.0.:
• HxD Hex Editor:
• String remitido por Burp Suite Community Edition v2020.12.1:
&_user=info@aratech.es& pass=1nf0Ar4t3ch.
Se puede asegurar que el usuario y contraseña encontrados son los válidos y

correctos al ser idéntico el string.
FC-1002-01
Página: 39/95
RESUMEN
Resumen del análisis de la memoria RAM:
Al encontrarse la misma en “mal estado”, sólo se puede verificar que la máquina es

un Windows 10, pero sin poder concretar versión. Así mismo, ha sido imposible extraer
de la misma los procesos en ejecución con sus estructuras de datos que nos aportan
muchos y valiosos detalles: puertos de comunicaciones abiertos en el sistema, librerías,
y los ficheros abiertos por procesos en ejecución, claves de registro de Windows, claves
de cifrado que se escriben en memoria durante la ejecución de los programas que las
utilizan, si existen signos de presencia de Rootkits en el sistema, etc. Ya sean programas
legítimos o maliciosos, todos pasan por la memoria durante su ejecución así como los
archivos de paginación de Windows (pagefil.sys).
Que la hora de la extracción de la misma ha sido:
2018-12-29 17:39:48 UTC+0000
2018-12-29 18:39:48 +0100 local.
Sistema operativo de la máquina:
Windows 10 (Sin versión)
Usuario y contraseña encontrada:
info@aratech.es
1nf0Ar4t3ch
FC-1002-01
Página: 40/95
HD
Windows 10 Enterprise
Adquisición Imagen
Lo primero que debemos hacer es obtener una segunda imagen del Disco Duro para
poder trabajar resueltamente sobre ella. Para ello utilizo AccessData FTK Imager
3.1.2.0.
Ilustraciones 55-56 Abrir FTK y Añadir Evidencia
Tendremos que indicar qué tipo de evidencia y cual el la ruta donde se encuentra el
archivo de la copia original.
Ilustraciones 57-58 Tipo y Ruta imagen original
FC-1002-01
Página: 41/95
Indicaremos qué tipo de imagen queremos tener y rellenaremos los datos del caso,
indicando número de caso, número de evidencia, la descripción, el examinador y notas
relativas a la evidencia/caso.
Ilustraciones 59-60-61 Exportar imagen y tipo salida e información de la evidencia
FC-1002-01
Página: 42/95
Llegados a este punto, se debe de indicar cual va a ser el destino de la imagen, qué
nombre recibirá, en cuantas partes queremos que se divida (en mi caso indicaré 0 para
que sea un solo fichero de salida. Nos preguntará se desea que se verifique la imagen de
salida, mostrar progreso y creación de sus directorios.
Ilustraciones 62-63 Diseño de salida e información de la evidencia
FTK nos muestra el estado del progreso de nuestra imagen. Este progreso puede
variar en el tiempo dependiendo del tamaño de la imagen.
Ilustración 64 Progreso creación imagen RAW con FTK Imager
FC-1002-01
Página: 43/95
Información de la imagen creada por FTK Imager:
Ilustración 65 Verificación de los resultados FTK Imager
Se crea un fichero de texto plano donde nos indica información más detallada sobre
la imagen generada, entre otros datos:
• Nombre del caso y evidencia.
• Información del dispositivo (físico, cilindros, cabezas, sectores.
• Tipo de imagen: VMWare Virtual Disk, Tamaño en MB, MD5 Y SHA1.
• Hash de la imagen.
• Verificación del Hash.
Ya tenemos el árbol, se procede a desplegar para ver su contenido.
Ilustración 66 Desplegar árbol de evidencia.
FC-1002-01
Página: 44/95
En este punto, FTK Imager nos muestra un árbol de directorios de la imagen.
Siguiendo con el despliegue del árbol de evidencia, vemos la carpeta “User”, la cual
nos indicará los usuarios registrados en el ordenador.
Ilustraciones 67-68 Árbol de la evidencia
Windows 10 Enterprise
Búsqueda de correos
Llegado a este punto, es necesario conocer el contenido de los mensajes cruzados y

el contenido de ellos entre nuestro empleado con su persona conocida.
Para ello, nos vamos a la siguiente página de soporte Microsoft, donde nos indica
cual es el archivo donde Outlook guarda los datos, realiza copias de seguridad los
mensajes de correo, calendario, contactos, y tareas.
FC-1002-01
Página: 45/95
https://support.microsoft.com/es-es/office/introducción-a-archivos-de-datos-de-
outlook-pst-y-ost-222eaf92-a995-45d9-bde2-f331f60e2790
Ilustración 69 Información de Microsoft Outlook
Éste será el archivo a buscar *.pst y ahora debemos saber dónde encontrarlo. Para
ello nos dirigimos a la siguiente página de soporte Microsoft, donde nos detallan las
posibles rutas para acceder al archivo.
https://support.microsoft.com/es-es/office/buscar-y-transferir-archivos-de-datos-de-
outlook-desde-un-equipo-a-otro-0996ece3-57c6-49bc-977b-0d1892e2aacc
Ilustración 70 Información ruta archivo Outlook
Ilustración 71 Unidad:\user\alumnoseas
FC-1002-01
Página: 46/95
Ilustración 72 Unidad:\user\alumnoseas\AppData
Ilustración 73 Unidad:\user\alumnoseas\AppData\Local
Ilustración 74 Unidad:\user\alumnoseas\AppData\Local\Microsoft
FC-1002-01
Página: 47/95
Ilustración 75 Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook
Ilustración 76 Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook\Outlook.pst
Ilustración 77 Localizado el fichero Outlook.pst se procede a exportarlo
FC-1002-01
Página: 48/95
Reparación de correos.
Stelar Repair for Outlook
Como tenemos los archivos pst de nuestra imagen, ya sólo nos queda realizar la
reparación de los mismos.
Stellar Repair for Outlook ofrece una completa solución para recuperar
información de archivos de Microsoft Outlook Personal Storage (PST) dañados.
El software repara los archivos PST corruptos y restaura todo su contenido, como
correos electrónicos, archivos adjuntos, contactos, calendarios, tareas y publicaciones.
También repara los elementos del buzón perdidos o eliminados por accidente. Esto
minimiza la pérdida de la corrupción PST. Stellar Repair for Outlook escanea y extrae
información de archivos PST dañados, los repara y luego los recupera como nuevos
archivos PST utilizables. Para ver ítems recuperados, usted necesitara importar el nuevo
archivo PST a MS Outlook.
Stellar Repair for Outlook también asegura la recuperación de correos electrónicos

eliminados accidentalmente que usted vacío desde la carpeta de elementos
eliminados. Luego de recuperar el archivo PST, el programa muestra su contenido
original. Todas las carpetas del archivo PST original son mostrados junto con su
contenido en una estructura de tres paneles.
De sencilla instalación, lo ejecutamos solitándonos permiso en Windows.
Ilustración 78 Lanzando Stellar Repair for Outlook
FC-1002-01
Página: 49/95
De fácil uso e intuitivo, introducimos la ruta donde se encuentra el fichero pst que
extrajimos de la imagen.
Ilustración 79 Ruta del fichero Outlook.pst
Ilustración 80 Archivo reparado
FC-1002-01
Página: 50/95
Encontramos dos correos en la bandeja de entrada:
Ilustración 81 Primer correo
Ilustración 82 Segundo correo

FC-1002-01
Página: 51/95
En la carpeta eliminados, se encuentra el correo que el empleado ha querido borrar,
donde se encuentra un lugar para un cita y una búsqueda de contraseña.
Ilustración 83 Correo en Elementos eliminados

Por el momento tenemos los siguientes correos:
1. De: “dr.evil” <dr.evil@aratech.es>
Para: info@aratech.es
Asunto: Estamos en ello…
Buenas tardes amigo mío.
El plan sigue adelante. Estamos en ello y pronto alcanzaremos
nuestra venganza.
Un saludo,
Dr. Evil.
2. De: “dr.evil” <dr.evil@aratech.es>

Asunto: Recordatorio
Buenas tardes.
Sólo recordarte que mañana es el día para encontrarnos en el sitio y
con la contraseña que te comentaba en mi anterior correo.
No veo el momento de conocerte y poder rematar nuestro maligno
plan.
Un saludo.
Dr. Evil.
FC-1002-01
Página: 52/95
3. Carpeta de eliminados.
De: “dr.evil” <dr.evil@aratech.es>
Asunto: Contacto
Buenas tardes.
Nuestro encuentro tendrá lugar en la Cervecería Gala de Salvedor
Allende en Zaragoza, y como contraseña tendrás que decirme el
nombre de la wifi del local, cuyo BSSID comienza por FC.52:8D…
Espero que lleguemos a un acuerdo.
Un saludo y nos vemos pronto.
Dr. Evil.
Por el momento, sabemos que su pretensión es verse con alguien en una cervecería
de Zaragoza. En este momento, podríamos comenzar a realizar OSINT para comenzar a
localizar dicha cervecería, pero como en los mensajes no se aprecian archivos o
documentos adjuntos, pasaré a analizar más profundamente el HD en busca de algún
indicio de fuga de información o documento que apoye dicha filtración o el plan de
venganza.
Análisis Autopsy
Una aplicación de escaneo de grado forense que permite a los usuarios investigar
imágenes en bruto, unidades locales o archivos lógicos, que admite varios
complementos.
Es una herramienta de diagnóstico y forense capaz de analizar imágenes de disco sin

formato o E01, unidades locales y directorios para determinar las posibles causas de un
evento. La aplicación admite los tipos de sistemas de archivos NTFS, FAT, HFS, Ext2,
Ext3 y UFS, lo que le permite investigar la entrada (archivos IMG, DD, 001, AA, RAW
y E01, discos locales o archivos lógicos) y generar informes completos en HTML ,
Formato XLS, TXT o un archivo de cuerpo TSK utilizado para crear una línea de
tiempo de evento.
Gracias a los asistentes integrados, la creación de un nuevo “caso” se convierte en

solo una cuestión de presionar unos pocos botones “Siguiente”. Hay varios módulos de
análisis entre los que puede elegir: la aplicación puede mostrar datos sobre las acciones
FC-1002-01
Página: 53/95
recientes, realizar búsquedas de hash, extraer archivos, analizar imágenes exif, buscar
palabras clave y ver espacio de almacenamiento no asignado.
Una de las principales ventajas de la autopsia es la implementación del método de

ingesta, que pone a disposición del usuario los resultados del análisis a medida que se
obtienen, sin esperar a que primero se complete todo el procedimiento.
Crearemos un nuevo caso con la imagen evidencia del disco duro.
Ilustraciones 84-85 Abrir un nuevo caso Autopsy
Asignamos nombre del caso y ruta.
Ilustración 86 Nombre del caso
FC-1002-01
Página: 54/95
Relleno de los datos del caso, número, examinador, telféfono, correo y notas
adicionales.
Ilustración 87 Información opcional
Tipo de fuente, ruta, zona horaria de la evidencia y opcionalmente valores hash.
Ilustraciones 88-89 Tipo fuente ruta del archivo y zona horaria
FC-1002-01
Página: 55/95
En los puntos 3 y 4 añadiremos los módulos que utilizaremos en el análisis y añade

los datos.
Ilustraciones 90-91 Selección de módulos, ingesta de datos
En la esquina inferior, muestra el progreso del análisis así como los avisos del
mismo.
Ilustración 92 Progreso y avisos
FC-1002-01
Página: 56/95
Avisos y mensajes:
Ilustraciones 93-95 Avisos y mensajes
Una vez terminado el proceso, podemos confirmar el nombre del ordenador, sistema
operativo ()así como el nombre del propietario, (Usuario principal).
DESKTOP-IEB968L; Windows 10 Pro. AMD64; alumnoseas.
Ilustración 96 Información del equipo
FC-1002-01
Página: 57/95
Análisis HD y última actividad del usuario alumnoseas. Básicamente explorador de
internet y el programa de correo Outlook:
Ilustraciones 97-98 Análisis y actividad
Podemos ver los últimos programas y archivos modificados utilizados por el usuario
que ha sido el Outlook.
Ilustraciones 99-100 Últimos ficheros por actividad
FC-1002-01
Página: 58/95
En documentos recientes, la actividad realizada en un marco razonable de tiempo, no

nos muestra actividad sospechosa.
Ilustración 101 Documentos recientes
Tanto con documentos de texto plano como enriquecido, la actividad se reduce a la

normal en los últimos días (un buen periodo de tiempo), sin resaltar nada que pueda ser
susceptible de fuga de información.
Ilustraciones 102-103 Últimos ficheros de texto plano y enriquecido
FC-1002-01
Página: 59/95
Proceso de ver actividad de Outlook y extracción del ficheros .pst
Ilustración 104 Ubicación fichero .pst
Correos enviados/recibidos sin adjuntos y eliminados.
Ilustraciones 105-106 Primer correo en bandeja entrada
FC-1002-01
Página: 60/95
Ilustraciones 107-108 Segundo correo en bandeja entrada
Por último, analizamos los últimos dispositivos USB conectados al pc para intentar
obtener información brecha de seguridad, pero los dispositivos conectados pertenecen a
Ilustración 109 Dispositivos USB
FC-1002-01
Página: 61/95
USB virtuales VMware pertenecientes a la extracción de la imagen.
Llegado a este punto, Autopsy 4.17.0 ofrece la posibilidad de generar informes de la

línea de tiempo seleccionando fecha/hora inicio y final de los diferentes ítems
encontrados en su árbol de evidencia. Adjunto dicho informe de tiempo de los correos.
Para generar un informe de la evidencia y tras pulsar “Generate Report”, donde nos
sale una ventana donde podremos seleccionar tipo de informe, cabecera y pie del
informe.
En este caso, se incluirán todos los módulos, donde se puede comprobar que el
empleado no ha enviado documentos adjuntos en los correos, no se ha descargado
información mediante los dispositivos USB, que los últimos documentos abiertos no
hacen referencia a cuestiones laborables así como no haber participado recientemente en
foros o páginas web sospechosas.
Tampoco se ha podido reproducir los mensajes de Outlook que hayan sido

eliminados mediante este proceso.
Ilustración 110 Generar informe de la evidencia Autopsy 4.17.0
FC-1002-01
Página: 62/95
Ilustraciones 111-112 Dispositivo y módulos que incluiremos en el informe
Ilustración 113 Proceso generación informe. Nombre y ruta del informe
FC-1002-01
Página: 63/95
Pst-Outlook
Para otro tipo de análisis de los correos, descargo e instalo Microsoft Outlook. El fin
será rescatar los posibles mensajes y datos borrados de los correos.
Ilustraciones 114-116 Instalación

Microsoft Outlook Enterprise 2007
Un archivo PST es un archivo de almacenamiento electrónico personal utilizado por

Microsoft Outlook. Contiene una copia de seguridad del correo electrónico, así como
sus contactos, calendario, entradas de diario, citas, tareas y notas. Importar un archivo
PST de copia para su estudio.
• Lanzamiento de Outlook. Clic en "Archivo" y seleccionar "Administración de

archivos de datos."
• Seleccionar el archivo PST que se encuentra en el Escritorio y clic en

"Aceptar".
• Solicitará la contraseña para acceder al correo. Introducimos la contraseña

hallada anteriormente: 1nf0Ar4t3ch.
FC-1002-01
Página: 64/95
Ilustraciones 117-118 Importar fichero .pst y contraseña
Al abrir Outlook, en Bandeja de entrada, vemos los dos correos enviados por Dr. Evil
a info@aratech.es, pero no hay elementos o mensajes en eliminados.
Ilustraciones 119-121 Estado Bandeja de entrada y Elementos eliminados
FC-1002-01
Página: 65/95
En este punto, se puede recuperar elementos eliminados si todavía están en la carpeta

Elementos eliminados. También puede recuperar algunos elementos incluso después de
vaciar la carpeta Elementos eliminados. El tiempo durante el que se pueden recuperar
los elementos depende de la configuración que establezca el administrador.
Puede que el administrador haya configurado una directiva para eliminar los
elementos de la carpeta Elementos eliminados que hayan pasado allí un número de días
determinado, también, que haya especificado el tiempo durante el que se pueden
recuperar los elementos que se hayan eliminado de la carpeta Elementos eliminados.
Por ejemplo, puede que exista una directiva que elimine cualquier elemento que haya
pasado 30 días en la carpeta Elementos eliminados, y otra directiva que le permita
recuperar los elementos que se hayan eliminado de la carpeta durante 15 días más.
Para acceder a los posibles mensajes eliminados de los “Elementos eliminados”,

realizaremos el proceso de corromper el archivo PST:
Un archivo PST es un archivo de base de datos utilizada para almacenar la

información de Microsoft Outlook y otros programas de Microsoft. Dentro del archivo
PST es una copia de todos los mensajes de correo electrónico enviados, recibidos, y
eliminados mediante el software que creó el archivo PST, así como otros datos básicos
del usuario. La corrupción de un archivo PST se puede realizar usando cualquier
programa de edición hex básica, en este caso HxD.
• Ejecutar HxD 2 y utilizar el menú "Archivo" para seleccionar el comando

"Abrir".
• Navegar hasta el escritorio donde está archivo PST. Clic en "Abrir" para abrir
el archivo PST.
• Seleccionar todos los valores listados de las posiciones 7 a 13. Utilizar la
barra de "espacio" para borrar todos los datos contenidos de las posiciones 07
a 13 (OD).
• Hacer clic en "Archivo" y guardar una copia del archivo PST editado. Creará
una copia de respaldo .bak archivo PST original.
FC-1002-01
Página: 66/95
Ilustración 122 Selección posiciones 07-0D
Ilustración 123 Selección “00”
Al ejecutar de nuevo Outlook, muestra un mensaje en el que nos indica que ha
FC-1002-01
Página: 67/95
encontrado errores en el archivo PST y nos da las instrucciones para proceder a su
reparación con la herramienta Reparar Bandeja de entrada (Scanpst.exe).
Ilustración 124 Aviso Microsoft Office Oltlook
En la página de Microsoft: https://support.microsoft.com/es-es/office/reparar-

archivos-de-datos-de-outlook-pst-y-ost-25663bc3-11ec-4412-86c4-60458afc5253
encontramos las instrucciones para repara el archivo de datos de Outlook (.pst y .ost)
Como el Outlook pertenece a Microsoft Office Enterprise 2007, nuestra ruta para
acceder a la herramienta será C:\Archivos de programa (x86)\Microsoft
Office\Office12 y seguiremos los pasos indicados en la Pág.
• Abra SCANPST.EXE.
• Seleccione examinar para seleccionar el archivo de datos de Outlook (. pst)
FC-1002-01
Página: 68/95
que desea analizar. Si necesita ayuda para buscar el archivo de datos de
Outlook, vea ubicar los archivos de datos de Outlook.
Ilustraciones 125-126 Ruta acceso SCANPST.EXE
• Seleccione Iniciar para empezar el análisis.
Ilustración 127 Iniciar análisis del archivo PST
FC-1002-01
Página: 69/95
• Si el análisis encuentra errores, seleccione Reparar para iniciar el proceso
para corregirlos.
Ilustración 128 Reparar archivo PST
• Una vez finalizada la reparación, inicie Outlook con el perfil asociado al

archivo de datos de Outlook que acaba de reparar.
Ilustración 129-130 Reparado archivo PST e inicio Outlook
Al iniciar de nuevo Outlook, se vuelven a mostrar en la Bandeja de entrada los dos

correos anteriores y en Elementos eliminados aparece el correo que había sido
eliminado.
En él, podemos leer:
Asunto: Contacto
dr.evil [dr.evil@aratech.es]
Enviado: sá. 29/12/2018 19:39
FC-1002-01
Página: 70/95
“Buenas tardes.
Nuestro encuentro tendrá lugar en la Cervecería Gala de Salvador Allende en

Zaragoza, y como contraseña tendrás que decirme el nombre de la wifi del local, cuyo
BSSID comienza por FC:52:8D...
Dr. Evil.”
Ilustración 131 Correo que permanecía oculto
FC-1002-01
Página: 71/95
OSINT
Ahora ha llegado el momento de hacer un ligero OSINT localizando la contraseña

solicitada en correo eliminado.
Sabemos que se habla de:
• Lugar: Cervecería Gala.
• Calle: Salvador Allende.
• Ciudad: Zaragoza.
• Buscar wifi local que su BSSID comienza por FC:52:8D...
Comenzaremos con una simple búsqueda de la cervecería.
Ilustraciones 132-134 Búsqueda simple realizada por Google
FC-1002-01
Página: 72/95
Comprobamos el lugar con información del buscador y Street View.
Ilustraciones 135-136 Imágenes de la ubicación del cervecería
Información detallada de la ubicación de la cervecería mediante Google Maps..
Ilustración 137 Google Maps
Para localizar la “wifis” utilizaremos la herramienta online Wigle. WIGLE (Motor de

Registro Geográfico Inalámbrico) registra/recolecta puntos de acceso WiFi a través de
Internet.
Wigle.net nos da acceso a datos similares de sistemas informáticos de todo el mundo.

Los datos de Wigle.net son subidos al sitio por personas que recopilan esta información
FC-1002-01
Página: 73/95
en sus teléfonos, tabletas y computadoras portátiles utilizando herramientas de
detección de WiFi o la propia aplicación de Android de Wigle. Una vez cargados, los
usuarios como nosotros podemos buscar y mapear el contenido y usarlo en nuestras
investigaciones.
Ilustración 138 Wigle.net
Es una herramienta muy útil para geolocalizar una determinada red inalámbrica Wi-
Fi. Esta herramienta nos va a permitir saber dónde se encuentra un determinado SSID, e
incluso también podremos comprobar dónde tenemos un BSSID (MAC inalámbrica) e
incluso ver la densidad de las redes inalámbricas.
Ventajas Wigle:
• Al abrir su URL se muestran muchos puntos de acceso WiFi en el mapa de

Wigle; esta información se puede utilizar en la fase inicial de pentesting.
• Muchos investigadores de seguridad confían en Wigle para buscar o recopilar

información local de puntos de acceso WiFi. La herramienta se utiliza
principalmente para recopilar información de WiFi mientras el usuario
conduce un vehículo.
• Además, muestra la longitud y latitud de su ubicación predeterminada.
• Una de las características principales de Wigle es que ofrece una opción para
obtener información de los puntos de conexión WiFi cercanos al móvil.
FC-1002-01
Página: 74/95
Realizando por búsqueda calle, número, ciudad.
Ilustraciones 139-140 Búsqueda por calle, número y ciudad.
Con ésta herramienta, se ha localizado
• SSID: vodafoneDD64
• BBSID fc:52:8d:6c:dd:69
Ilustración 141 Localización SSID y BBSID
FC-1002-01
Página: 75/95
Solución al ejercicio
Con ésta información, cerramos el ejercicio.
Extracción de memoria RAM: 2018-12-29 17:39:48 UTC+0000.
2018-12-29 18:39:48 +0100.
Contraseña Outlook: 1nf0Ar4t3ch.
Sistama Operativo: Windows 10 Pro.
Arquitectura procesador: AMD64.
Nombre equipo: DESKTOP-IEB968L.
Usuarios no sistema: alumnoseas.
Usuarios en correo: dr.evil@aratech.es.
info@aratech.es.
Correos encontrados: 2.
Correos recuperados Backup: 1.
Documentos recientes: 10/15.
Archivos eliminados: 2.
SSID: vodafoneDD64.
BBSID fc:52:8d:6c:dd:69.
Última pista: “cuyo BSSID comienza por FC:52:8D...”
Solución: “Como contraseña tendrás que decirme el nombre de la wifi del local” :
vodafoneDD64.
FC-1002-01
Página: 76/95
Documentación
Tal y como ya se había indicado, todo el proceso ha de estar documentado desde un

inicio, fotografiando las pruebas, manteniendo la cadena de custodia y documentando
todo el proceso realizado desde incluso antes del comienzo del análisis. Se ha
documentado todos los pasos y pruebas realizadas a las evidencias con el fin de que en
caso de juicio, el proceso sea entendible por el juez o jurado, ya que el informe ha de ser
entendido por alguien profano en la materia.
En éste caso, con las capturas de pantalla de todo el proceso realizado.
Índice de Ilustraciones Pág.

Ilustración 1 Principio de Locard…………………………………………. 8
Ilustración 2 Fases del análisis forense digital……………………………. 9
Ilustración 3 Orden de copias para las pruebas recolectadas……………… 12
Ilustración 4 Mesa de trabajo empleado…………………………………... 17
Ilustración 5 Proceso extracción y clonación del disco duro……………… 19
Ilustración 6 Volatility sobre Kaki………………………………………... 21
Ilustración 7 Pruebas Comandos Volatility……………………………….. 22
Ilustración 8 Instalación y actualización Parrot Security…………………. 23
Ilustración 9 Nueva imagen y comprobación hash md5 y shaa1…………. 23
Ilustración 10 Pruebas en Parrot comandos Volatility……………………. 24
Ilustraciones 11-18 Abrir Caso Forense Autopsy………………………… 25
Ilustraciones 19-21 Palabras clave-Posible contraseña…………………… 26
Ilustraciones 22-23 Añadir imagen Ram y Adquirir imagen……………... 27
Ilustraciones 24-25 Datos Caso y Progreso……………………………….. 27
Ilustraciones 26-27 Vista del fichero generado y Hash obtenidos………... 28
Ilustración 28 Instalación Windows 10 Enterprise………………………... 28
Ilustración 29 Descarga e instalación Software para trabajo Forense…….. 28
Ilustraciones 30-31 Instalación AccessData FTK Imager 3.1.2.0………… 29
Ilustraciones 32-34 Añadir Item, tipo ítem y ruta………………………… 29
Ilustraciones 35-37 Verificación imagen obtenida………………………... 30
Ilustraciones 38-39 Ejecución Volatility………………………………….. 31
Ilustración 40 Realizar búsquedas con FTK………………………………. 32
Ilustraciones 41-42 Búsquedas realizadas con FTK………………………. 34
Ilustración 43 Opciones ofrecidas por FTK Imager………………………. 34
Ilustración 44 Instalación HxD……………………………………………. 34
FC-1002-01
Página: 77/95
Ilustración 45 Apertura archivo a analizar en HxD……………………….. 34
Ilustraciones 46-47 Búsquedas palabras clave para hallar contraseña……. 34
Ilustración 48 Búsqueda contraseña de info@aratech.es…………………. 35
Ilustración 49 Burp Suite Commnunity Edition v2020.12.1……………… 37
Ilustraciones 50-51 Configuración Burp Suite……………………............. 37
Ilustraciones 52-53 Funcionado Burp Suite……………………................. 37
Ilustración 54 Confirmación del string……………………......................... 38
Ilustraciones 55-56 Abrir FTK y Añadir Evidencia……............................. 40
Ilustraciones 57-58 Tipo y Ruta imagen original……................................. 40
Ilustraciones 59-60-61 Exportar imagen y tipo salida e información de la
evidencia………………………………………………………………… 41
Ilustraciones 62-63 Diseño de salida e información de la evidencia……… 42
Ilustración 64 Progreso creación imagen RAW con FTK Imager………… 42
Ilustración 65 Verificación de los resultados FTK Imager………………... 43
Ilustración 66 Desplegar árbol de evidencia..……………………...……… 43
Ilustraciones 67-68 Árbol de la evidencia…...……………………...…….. 44
Ilustración 69 Información de Microsoft Outlook………………...………. 45
Ilustración 70 Información ruta archivo Outlook………………...……….. 45
Ilustración 71 Unidad:\user\alumnoseas………………...………………… 45
Ilustración 72 Unidad:\user\alumnoseas\AppData………………………... 46
Ilustración 73 Unidad:\user\alumnoseas\AppData\Local…………………. 46
Ilustración 74 Unidad:\user\alumnoseas\AppData\Local\Microsoft……… 46
Ilustración 75
Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook……………. 47
Ilustración 76
Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook\Outlook.pst 47
Ilustración 77 Localizado el fichero Outlook.pst se procede a exportarlo 47
Ilustración 78 Lanzando Stellar Repair for Outlook……………………… 48
Ilustración 79 Ruta del fichero Outlook.pst………………………………. 49
Ilustración 80 Archivo reparado…………………………………………... 49
Ilustración 81 Primer correo………………………………………………. 50
Ilustración 82 Segundo correo…………………………………………….. 50
Ilustración 83 Correo en Elementos eliminados…………………………... 51
Ilustraciones 84-85 Abrir un nuevo caso Autopsy………………………... 53
Ilustración 86 Nombre del caso……………………………........................ 53
Ilustración 87 Información opcional……………………………................. 54
Ilustraciones 88-89 Tipo fuente ruta del archivo y zona horaria………….. 54
Ilustraciones 90-91 Selección de módulos, ingesta de datos……………… 55
Ilustración 92 Progreso y avisos…………………………………………... 55
Ilustraciones 93-95 Avisos y mensajes……………………………............. 56
FC-1002-01
Página: 78/95
Ilustración 96 Información del equipo…………………………….............. 56
Ilustraciones 97-98 Análisis y actividad……………………………........... 57
Ilustraciones 99-100 Últimos ficheros por actividad……………………… 57
Ilustración 101 Documentos recientes…………………………………….. 58
Ilustraciones 102-103 Últimos ficheros de texto plano y enriquecido……. 58
Ilustración 104 Ubicación fichero .pst…………………………………….. 59
Ilustraciones 105-106 Primer correo en bandeja entrada…………………. 59
Ilustraciones 107-108 Segundo correo en bandeja entrada……………….. 60
Ilustración 109 Dispositivos USB……………………….………………... 60
Ilustración 110 Generar informe de la evidencia Autopsy 4.17.0………… 61
Ilustraciones 111-112 Dispositivo y módulos que incluiremos en el
informe…………………………………………………………………….. 62
Ilustracón 113 Proceso generación informe. Nombre y ruta del informe… 62
Ilustraciones 114-116 Instalación Microsoft Outlook Enterprise 2007…… 63
Ilustraciones 117-118 Importar fichero .pst y contraseña………………… 64
Ilustraciones 119-121 Estado Bandeja de entrada y Elementos eliminados 64
Ilustración 122 Selección posiciones 07-0D………………………............ 66
Ilustración 123 Selección “00” ………………………................................ 66
Ilustración 124 Aviso Microsoft Office Oltlook…….................................. 67
Ilustraciones 125-126 Ruta acceso SCANPST.EXE.................................... 68
Ilustración 127 Iniciar análisis del archivo PST........................................... 68
Ilustración 128 Reparar archivo PST……………….................................... 69
Ilustración 129-130 Reparado archivo PST e inicio Outlook....................... 69
Ilustración 131 Correo que permanecía oculto……..................................... 70
Ilustraciones 132-134 Búsqueda simple realizada por Google.................... 71
Ilustraciones 135-136 Imágenes de la ubicación del cervecería................... 72
Ilustración 137 Google Maps………………………................................... 72
Ilustración 138 Wigle.net………………………......................................... 73
Ilustraciones 139-140 Búsqueda por calle, número y ciudad. ..................... 74
Ilustración 141 Localización SSID y BBSID…........................................... 74
FC-1002-01
Página: 79/95
Informe ejecutivo
Consideraciones previas.
El presente informe se ha realizado por encargo de Sr. Perico de los Palotes con DNI
número 012345678, de la empresa X sita en Zaragoza tiene como objetivo realizar
análisis del siguiente escenario:
• Para la realización de este análisis se han mantenido conversaciones con el
responsable informático Sr. Perico de los Palotes en calidad de representante
de la citada empresa.
• La empresa X tiene sospechas de un incidente de conspiración por parte de
uno de sus empleados.
• Éste incidente se basa en unos correos mantenidos por su empleado con una
persona que se hace llamar Dr. Evil.
Objeto del encargo.
Por lo expuesto en el apartado anterior, el responsable de la Empresa X mediante la

persona representante de ésta Sr. Perico de los Palotes, solicita comprobación de dicha
conspiración por parte de su empleado.
Fuentes de información. Adquisición de las fuentes.
El responsable de la empresa X, Sr. Perico de los Palotes, nos trasladó al despacho

del empleado el día 19 de Diciembre del 2018 a las 18:00 y en presencia del Sr. Notario
Pepe el Gatillero. Tras analizar y fotografiar el entorno, se procede a la extracción de las
imágenes de la memoria RAM y del Disco Duro, en adelante HD y en presencia del Sr.
Notario, insertando pendrive con software específico que previene si la memoria RAM
está protegida por un sistema antidepuración o anti-dumping activo, y con el fin de
minimizar la huella de la herramienta lo más posible para la adquisición de dicha
imagen de la memoria RAM. Queda la imagen original en posesión del notario y dos
copias de la misma, una para el representante de la empresa y otra para nuestro
Pág. 1 de 4
FC-1002-01
Página: 80/95
laboratorio para su análisis. En informe notarial, con el de la custodia del archivo de
imagen se le adjuntan los cálculos de los hashes:
MD5 (VolcadoMemoria.vmem):
d1e74230b8e165ef69fd506c432771a1
SHA1(VolcadoMemoria.vmem):
f1dc55c26708792d9ea1ace2432069bd4f81a8e8
Inmediatamente después y siempre en presencia del Sr. Notario Pepe el Gatillero, el

representante de la empresa corta la corriente del pc y extrae el HD, que con equipo
especializado en duplicación forense Superimager TM 12”, se realizan tres imágenes del
HD. Queda la imagen original en posesión del notario y dos copias de la misma, una
para el representante de la empresa y otra para nuestro laboratorio para su análisis. A
dichas copias se les adjunta informe notarial junto con el de la custodia en el que se
incluyen los cálculos de los hashes:
MD5 (HD.vmdk):
efaf8bf51fa34600b51606ef2188be63
SHA1(HD.vmdk):
b6856355dfbe2cc751e9400871303616b0d6725f
Desarrollo del análisis.
El análisis ha sido llevado a cabo sobre Linux Kali, Parrot Security Debian (64-bit) y
Windows 10 Enterprise sobre Oracle VM VirtualBox con las aplicaciones
Volatility_2.6_lin64_standalone, Autopsy Forensic Browser 2.24, GuyManager 0.8.12,
volatility_2.6_win64_standalone, AccessData FTK imager, HxD, Autopsy 4.17.0,
Stelar Repair for Outlook, Scanpst de Outlook y Microsoft Outlook 2007.
Se procedió al análisis total de la estructura contenida en la memoria RAM, y del HD

donde se encontraron 2 correos (bandeja de entrada), 0 en Elementos eliminados, más 1
en la restauración de archivos copia de seguridad de la aplicación de correo.
Pág. 2 de 4
FC-1002-01
Página: 81/95
Además de buscar los correos tanto en aplicación de correo como en servicio
correoweb, se realizó búsqueda de la contraseña del empleado para poder acceder a
dichos correos, así como búsqueda por fechas de apertura y modificación de
documentos por posibles en adjuntos.
Resultados del análisis.
Se han encontrado los siguientes correos sin adjuntos:

1. Bandeja de entrada Outlook.
2018-12-29 20:38:04 CET
Archivos adjuntos: 0
Asunto: Estamos en ello…
Buenas tardes amigo mío.

El plan sigue adelante. Estamos en ello y pronto alcanzaremos nuestra
venganza.
Un saludo,
Dr. Evil.
2. Bandeja de entrada Outlook.

2018-12-29 20:39:14 CET
Asunto: Recordatorio
Buenas tardes.
Sólo recordarte que mañana es el día para encontrarnos en el sitio y con la
contraseña que te comentaba en mi anterior correo.
No veo el momento de conocerte y poder rematar nuestro maligno plan.
Un saludo.
Dr. Evil
3. Recuperación de la copia de seguridad Outlook. Carpeta de eliminados.

Sá. 29/12/2018 19:39
Asunto: Contacto
Pág. 3 de 4
FC-1002-01
Página: 82/95
Buenas tardes.
Nuestro encuentro tendrá lugar en la Cervecería Gala de Salvedor Allende en
Zaragoza, y como contraseña tendrás que decirme el nombre de la wifi del
local, cuyo BSSID comienza por FC.52:8D…
Dr. Evil.
Conclusiones.
Hay tres correos recibidos por parte del empleado donde se habla de elaborar un
maligno plan con el objetivo de una venganza.
Documentación adjunta.
Se adjunta al presente informe, “Autopsy Forensic Report” realizado al disco duro

HD donde se detallan los detalles del mismo, así como las capturas de los mensajes.
Iñaki Pueyo Basterrechea
En Las Palmas de Gran Canaria a xx de xxxxx de xxxx
Pág. 4 de 4
FC-1002-01
Página: 83/95
Anexos
Anexo I
Acuerdo de confidencialidad
En ____________ a ___ de ______ de 20__De una parte, ______RAZÓN SOCIAL CLIENTE______
(en adelante, CLIENTE), con C.I.F. ______CIF CLIENTE______ y domicilio social en
______DOMICILIO SOCIAL CLIENTE______, representada por D. ______NOMBRE DEL
REPRESENTANTE CLIENTE______ actuando en nombre y representación de esta entidad en virtud de
su condición de ______CARGO REPRESENTANTE CLIENTE______.
De otra parte, ______RAZON SOCIAL PROVEEDOR______ (en adelante, PROVEEDOR), con C.I.F.
______CIF PROVEEDOR______ y domicilio social en ______DOMICILIO SOCIAL
PROVEEDOR______, representada por D. ______NOMBRE DEL REPRESENTANTE
PROVEEDOR______ actuando en nombre y representación de esta entidad en virtud de su condición de
______CARGO REPRESENTANTE PROVEEDOR______.
Ambas partes acuerdan mutuamente, la capacidad legal necesaria para la suscripción del presente acuerdo
y el cumplimiento y a dar cumplimiento a las siguientes obligaciones:
1. Que CLIENTE es una organización dedicada a ______ACTIVIDAD A LA QUE SE

DEDICA CLIENTE______ y por tanto es responsable de la información generada y
gestionada en su actividad.
2. Que PROVEEDOR es una organización dedicada a ______ACTIVIDAD A LA QUE SE

DEDICA PROVEEDOR______ y proporciona servicios de ______SERVICIOS QUE
PRESTA A CLIENTE______ a CLIENTE.
3. Que PROVEEDOR durante la prestación de sus servicios a CLIENTE puede recibir

información confidencial de CLIENTE o disponer de acceso o de potencial acceso la misma.
En este sentido se considera por información confidencial, toda la información relativa a:
procesos de negocio, planes de marketing, planes estratégicos, clientes, proveedores know-
how, métodos, análisis funcionales, código fuente, estudios de mercado, estadísticas, datos
financieros, análisis de viabilidad, especificaciones técnicas, formulas, diseños, estudios,
aquella afectada por LOPD y toda aquella información que CLIENTE no haya autorizado
de modo explícito a PROVEEDOR su libre uso o difusión.
FC-1002-01
Página: 84/95
4. PROVEEDOR solo hará uso de la información facilitada por CLIENTE en el ámbito de
los servicios prestados por PROVEEDOR, descritos en el apartado II. En este sentido
PROVEEDOR se compromete a guardar el deber de secreto y mantener la confidencialidad
de la información cedida, trasladando este deber a todas aquellas personas (empleados,
personal subcontratado, becarios, etc.) o entidades que dispongan de acceso a esta
información en el desarrollo de sus funciones y obligaciones en relación a los servicios
prestados a CLIENTE
Las personas o entidades citadas en el párrafo anterior y que tengan acceso a

información confidencial de CLIENTE en el marco de la prestación del servicio, no
disponen de permiso para reproducir, modificar, publicar o difundir o comunicar a terceros
dicha información sin previa autorización explícita de CLIENTE.
A su vez, PROVEEDOR se compromete a aplicar tanto las medidas de seguridad

exigibles por la legislación vigente, como las medidas de seguridad que aplicaría
PROVEEDOR respecto a su propia información confidencial para garantizar la
confidencialidad de la misma.
5. Sin perjuicio de lo reflejado en este acuerdo, tanto CLIENTE como PROVEEDOR,

aceptan las siguientes exclusiones relativas al mantenimiento de la confidencialidad:
a. Si la información es accesible a través de medios públicos en el momentode su

cesión.
b. Si la información es conocida por PROVEEDOR previo a la suscripción del este

acuerdo, siempre y cuando no esté sujeta a la obligación de preservar su
confidencialidad.
c. Si la legislación vigente o un requerimiento judicial exige su difusión. En cuyo

caso PROVEEDOR informará a CLIENTE de esta situación y tratará depreservar
la confidencialidad en el tratamiento de la información.
6. La propiedad intelectual de la información tratada en el marco de este acuerdo

pertenece a CLIENTE.
7. Si se produce cualquier revelación, difusión o utilización de la información facilitada por

CLIENTE a PROVEEDOR en el ámbito de este acuerdo, de modo distinto a lo
reflejado en este acuerdo, ya sea de forma fraudulenta o por mera negligencia,
PROVEEDOR deberá indemnizar a CLIENTE por los daños y perjuicios ocasionados, con
independencia de las acciones civiles o penales que se puedan derivar.
FC-1002-01
Página: 85/95
8. PROVEEDOR se compromete a devolver la información confidencial cedida por
CLIENTE en el ámbito de la prestación del servicio, una vez finalizada la relación
contractual.
9. De acuerdo a los dispuesto en artículo 5 de la Ley Orgánica 15/1999, de 13 de

Diciembre, de Protección de Datos de Carácter Personal, ambas parte se informan
respectivamente que los datos de carácter personal intercambiados en el marco dela relación
contractual serán incluidos en los ficheros de los que cada una de ellas es titular, siendo la
finalidad de estos tratamientos el soporte en el desarrollo de las tareas en el ámbito de la
prestación del servicio. Dichos datos no serán cedidos a terceros.
Adicionalmente, ambas partes se obligan a garantizar, el cumplimiento de la Ley

Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, y de
su Reglamento de Desarrollo, aprobado por el Real Decreto 1720/2007. Asimismo
para ejercer los derechos de acceso, rectificación, cancelación y oposición cualquiera de las
partes deberá dirigirse mediante comunicación formal a las direcciones recogidas al
inicio de este acuerdo.
10. Este acuerdo tendrá validez a partir del momento en que quede firmado por ambas partes, y
se extenderá de forma indefinida, a pesar de que haya finalizado la relación contractual.
11. Ante cualquier disputa o conflicto que pueda surgir relativa a la interpretación y/o
cumplimiento del presente acuerdo, ambas partes se someten a los Juzgados y
Tribunales de _______UBICACIÓN________, renunciando a su fuero propio.
12. Y en virtud de lo establecido anteriormente, ambas partes firman por duplicado este
acuerdo, en todas sus hojas, en el lugar y las fechas citados.
En nombre y representación de CLIENTE
En nombre y representación de PROVEEDOR
(Fuente INCIBE)
FC-1002-01
Página: 86/95
Anexo II
dfghd
FC-1002-01
Página: 87/95
FC-1002-01
Página: 88/95
FC-1002-01
Página: 89/95
Propuesta de trabajo
Se nos ha contratado por la empresa X para investigar un incidente con uno de sus
empleados.
Sabemos que dicho empleado está conspirando para atacar a la empresa junto con
otra persona, conocida como Dr. Evil.
La empresa necesita pruebas irrefutables de la conspiración del empleado y para ello

necesita que nosotros encontremos las claves para poder acusarle.
Dentro de nuestro cometido está encontrar el sitio donde se van a reunir para
conspirar, así como la contraseña que van a utilizar para identificarse.
Por todo ello, se nos pide:
1. Sabiendo que el ordenador del empleado está encendido, explica el proceso

que seguirías para obtener los artefactos del equipo (volcado de memoria,
imagen de disco, archivos interesantes para la investigación…) Deberás
explicar desde que llegas frente al equipo hasta que terminas con la
adquisición de datos y estás listo para empezar a trabajar con ellos en tu
laboratorio. Para poder acceder a una nota más alta, deberás explicar la
diferencia de procedimiento cuando la máquina se encuentra
encendida/apagada, es física/virtual y cuando se encuentra ubicada o no en
cloud, realizando el proceso en máquinas preparadas por el alumno y
mostrando el proceso seguido.
2. Utilizando los dos archivos que habrías obtenido en el punto 1 con el volcado
de memoria y la imagen de disco duro, extrae toda la información que
puedas sobre la máquina que vas a analizar mostrando cómo la obtienes:
procesos en ejecución, conexiones de red, sistema operativo, usuarios,…
3. Sabemos que el empleado descontento ha intercambiado correos con Dr. Evil

para planificar el ataque. Sabemos a ciencia cierta que utiliza una cuenta del
dominio “aratech.es” y que accede tanto por webmail como por Outlook.
Estamos seguros de que en el correo se encuentra una pista fundamental para
obtener los datos que necesitamos. Deberás encontrar dicha pista. Para ello
te proporcionamos el volcado de memoria, así como la imagen de disco que
habrías obtenido en el punto 1.
Pista: sabemos que el empleado, aun sabiendo que es una mala práctica de
seguridad, reutiliza las contraseñas.
FC-1002-01
Página: 90/95
4. Una vez obtenidas las pistas deberás hacer uso de OSINT y tu capacidad
investigadora para obtener la localización y la contraseña para poder
suplantar al empleado en la reunión con el Dr. Evil y detener así sus planes.
5. Por último, deberás realizar un informe pericial de qué pruebas y cómo las
has obtenido para poder presentarlo cuando acusemos al empleado, siendo lo
más riguroso posible para evitar una posible contrapericial.
Observaciones
Para la realización del trabajo NO se pueden utilizar programas de fuerza bruta,

programas de eliminación de contraseñas y similares. Todos los procesos que
se lleven a cabo tienen que realizarse manualmente por el alumno sin ayuda de
software específico. Los únicos programas permitidos son los requeridos para
montar las imágenes de disco o memoria y analizar su contenido o extraer archivos
(del tipo de FTK Imager y similares) y el análisis de contenido (del tipo de Volatility y
similares). Si el alumno encuentra algún archivo con contraseña deberá utilizar sus
conocimientos para poder acceder al mismo sin programas de terceros que
extraigan/eliminen la contraseña.
Ante cualquier duda sobre si el procedimiento que está siguiendo un alumno es

válido, deberá ponerse en contacto con el profesor para comentarlo. NO se
admitirán reclamaciones sobre la validez de los procedimientos si no se
cumplen las observaciones del trabajo una vez puesta la calificación.
FC-1002-01
Página: 91/95
Objetivos del trabajo

§ Conocer el procedimiento de adquisición de artefactos, así como el protocolo
que se va a seguir para obtener evidencias digitales.
§ Aprender a utilizar herramientas para la adquisición y el tratamiento de

evidencias digitales.
§ Aprender a manejar fuentes abiertas de información y relacionar datos.
§ Desarrollar capacidades para solventar problemas de manera autónoma y sin

ayuda de software de terceros.
§ Conocer el proceso de realización de informes periciales.
FC-1002-01
Página: 92/95
Criterios de evaluación
La evaluación, es una componente fundamental de la formación. Este trabajo
obligatorio formará parte de tu calificación final. En esta tabla se resumen los aspectos
valorables y el porcentaje que representa cada unos de los mismos.
%
% %
2º
Total Ob.
Correc
Contenidos generales
Ejercicio 1. Proceso de obtención de artefactos 20
Ejercicio 2. Obtener pista 10
Ejercicio 3. Obtener localización y contraseña 20
Ejercicio 4. Informe pericial 20
Ejercicio 5. Información sobre la máquina que se va a analizar 10
Ejercicio 6. Aportaciones extra y demostración de conocimientos 20
TOTAL 100
Fecha límite de recepción de trabajos
La fecha de entrega deberá ser anterior a la fecha fin de matrícula.
FC-1002-01
Página: 93/95
Ficha de Corrección del Trabajo

(Espacio reservado para anotaciones del profesor y doble corrector)
Profesor:
Alumno (Código / Nombre):
Fecha de Entrega: Fecha de Calificación:
Observaciones sobre el trabajo:
Este espacio esta reservado para que el profesor titular describa anotaciones que
considera importantes sobre la realización del trabajo.
También está destinado para que el profesor que efectúa la doble corrección pueda
realizar sus anotaciones, asimismo se podrán describir las conclusiones a las que se
ha llegado tras realizar la doble corrección.
FC-1002-01
Página: 94/95
Formato de presentación
1. Se presentará en formato informático.

2. Se dejará libre elección al alumno para el diseño y estilo del documento que
quiera crear.
3. En caso de que el trabajo requiera archivos externos, estos deberán entregarse
junto al trabajo.
4. Si el trabajo consta de varios archivos deberán enviarse en un solo fichero
comprimido.
5. Si el sistema no permite adjuntar el trabajo obligatorio en el campo indicado
porque excede del tamaño permitido, deberás ponerte en contacto con tu tutor del
estudio con el fin de acordar el procedimiento que seguir para el envío del mismo.
Además, deberás adjuntar desde la plataforma en el campo “sube tu ejercicio”, un
índice del trabajo realizado a modo de resumen para una adecuada corrección y
funcionamiento del sistema informático. En ese documento debe constar:
§ El medio escogido para el envío.
§ La fecha de envío.
§ De qué consta el envío (por ejemplo, un documento word, tres fotos,...)
§ El link para la descarga por parte del profesor.
FC-1002-01
Página: 95/95
Desarrollo de trabajo
Espacio reservado para el desarrollo del trabajo por parte del alumno.
El alumno deberá entregar el trabajo en este mismo formato con el objetivo de que el
profesor pueda asignar la nota en el apartado criterios de calificación y aportar
observaciones en el apartado ficha de corrección.
El trabajo tiene dos archivos adjuntos:

VolcadoMemoria001_1
Report Case001_2HD
FC-1002-01

Trabajo Sobre Analisis Forense Informatico

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Sobre Analisis Forense Informatico

Cargado por

Copyright:

Formatos disponibles

Iñaki Pueyo Basterrechea

Trabajo Obligatorio Técnico Ciberseguridad

SEAS, Estudios Superiores Abiertos

DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU

INICIO DEL PROCESO……….…………………………………………………… 17

En los actuales momentos, en la actividad cotidiana y empresarial se cometen muchos

Se analiza en detalle cómo realizar la investigación forense en unos de los sistemas

El análisis de la memoria RAM será conseguir obtener la actividad reciente de un

En nuestro caso, somos contratados por la empresa X para investigar un supuesto

Para todo ello, se nos pide:

1. Sabiendo que el ordenador del empleado está encendido, explica el proceso

3. Sabemos que el empleado descontento ha intercambiado correos con Dr. Evil

5. Por último, deberás realizar un informe pericial de qué pruebas y cómo

Para la realización del trabajo NO se pueden utilizar programas de fuerza bruta,

Objetivos del Trabajo

• Conocer el procedimiento de adquisición de artefactos, así como el protocolo

• Aprender a utilizar herramientas para la adquisición y el tratamiento de

• Aprender a manejar fuentes abiertas de información y relacionar datos.

• Desarrollar capacidades para solventar problemas de manera autónoma y sin

• Conocer el proceso de realización de informes periciales.

En nuestro trabajo, seguiremos el Principio de Locard. A la hora de realizar un

Ilustración 1 Principio de Locard

Características de nuestro análisis

El procedimiento de nuestro análisis forense debe poseer las siguientes

• Reproducible: se deben poder reproducir en todo momento las pruebas

• Documentado: todo el proceso debe estar correctamente documentado y debe

• Independiente: las conclusiones obtenidas deben ser las mismas,

Fases de nuestro análisis

Ilustración 2 Fases del análisis forense digital

• Preservación: corresponde a la fase en la que se debe garantizar que no se

Así mismo, se debe mantener un registro continuo de las operaciones que se

• Adquisición: Esta es la fase en la que se centra este trabajo, y la que se

Características de las evidencias:

Pueden ser clasificadas en dos tipos:

• Evidencia física: hace referencia al material informático como por ejemplo:

• Evidencia digital: corresponde a la información almacenada en las evidencias

• Algunos ejemplos de evidencias digitales son:

o Archivo de paginación (Pagefile.sys): es un fichero que permite

Es fundamental que todo el proceso sea realizado desde un punto de vista

• Documentación: un aspecto fundamental en el proceso del análisis forense

o Fotografiar las pruebas.

o Documentar todos y cada uno de los pasos realizados durante el

o Elaborar dos tipos de informe de conclusiones: uno ejecutivo y uno

Para ello, es recomendable seguir las siguientes pautas:

o Preparar una presentación de manera pedagógica que sea fácilmente

o Detallar las conclusiones.

o Explicar de manera clara el proceso que se ha llevado para la

o Evitar las afirmaciones no demostrables o los juicios de valor.

o Elaborar las conclusiones desde un punto de vista objetivo.

Ilustración 3 Orden de copias para las pruebas recolectadas

Los traspasos de posesión, qué son los cambios en la titularidad de la responsabilidad

Es importante realizar todas las anotaciones descritas en la fase de identificación de

Mientras los dispositivos estén en el laboratorio y no se estén manipulando es

El lugar de almacenamiento también debe reunir unas mínimas de condiciones de

La documentación de la cadena de custodia deberá contener también todos los

DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y

En el documento http://www.ietf.org/rfc/rfc3227.txt recoge las «directrices para la

Seguiremos los siguientes puntos:

• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza

• Minimizar los cambios en la información que se está recolectando y eliminar los

• En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero

• Recoger la información según el orden de volatilidad (de mayor a menor).

• Tener en cuenta que por cada dispositivo la recogida de información puede

El orden de volatilidad hace referencia al período de tiempo en el que está accesible