Informática Forense

“Informe Laboratorio Nº6”

Eduardo José Reales Campo

Juan Daniel Castillo Narváez

Profesor:
José Medardo Waldo de la Ossa

UNIVERSIDAD COOPERATIVA DE COLOMBIA

INGENIERÍA DE SISTEMAS
MONTERÍA – CÓRDOBA
2016
Objetivos:
 Conocer el procedimiento para realizar imágenes forenses.

 Adquirir imágenes forenses utilizando alguna de las distribuciones Live

para propósitos forenses, CAINE, DEFT, Helix, FTK Imager.

 Aprender a para montar imágenes de disco o virtualizar unidades.

Parte 1 – Creación de la Imagen forense

1. Descargue del sitio oficial el Live CD de la herramienta que le

correspondió a su grupo.

R/ Bueno la herramienta que se nos asigno fue “DEFT (Digital Evidence &
Forensic Toolkit)”, con la cual vamos a proceder a la realización de la
creación de la imagen forense.

Antes de comenzar con los siguientes puntos, se define que DEFT es un Live
CD incorporado en la parte superior de Xubuntu con herramientas para la
informática forense y respuesta a incidentes. Es un sistema en vivo muy ligero
y rápido creado por los especialistas en Informática Forense. Cabe afirmar que
la herramienta DEFT está inspirada en CAINE.

Para tener DEFT corriendo en nuestra maquina debemos instalar primero el

VM Ware Disk.
Ahora instalamos el Live View:

Ya descargados estos programas en nuestra maquina, ejecutamos una nueva

máquina virtual en nuestro VM Ware, ejecutando los siguientes pasos:
Y listo una vez terminado le damos en finish y ya está tenemos la herramienta
DEFT instalada en nuestra maquina.

2. Documente el procedimiento para crear una imagen forense sobre un

dispositivo objeto de análisis (memoria USB, disco duro de un PC en
funcionamiento, teléfono móvil).

R/ Para la creación de la imagen forense mediante DEFT, hacemos el siguiente

procedimiento:

Abrimos la herramienta DEFT, una vez dentro de esta seleccionar el idioma

deseado y la opción DEFT Linux 8 Live.
Una vez dentro de la herramienta DEFT nos mostrara varias carpetas de las
cuales la que necesitamos para hacer nuestra imagen forense es Guymager.

Ahora lo que hacemos es estando dentro de Guymager, conectamos el

dispositivo del cual queremos hacer la creación de la imagen forense, en este
caso de una memoria USB.

Seleccionamos la memoria USB donde crearemos la imagen, le damos click

derecho y seleccionamos la opción Acquire image como se ve a continuación
para empezar a crearla.
Una vez se haiga dado click en Acquire image llenamos los datos como se
muestra a continuación y le damos en el botón start.
Y listo esperamos a que se cree la imagen forense.

Nota: Este procedimiento de crear la imagen forense no se pudo realizar por la

razón de que cada vez que queríamos crear la imagen forense nos arrojaba un
error como se ve en la anterior imagen.

3. Recuerde la generación de los HASH.

Parte 2 – Análisis de la Imagen forense

Hasta este punto y como parte de una auditoría forense ya contamos con una
“imagen” del o los discos duros del equipo comprometido. La idea detrás de
esto es obtener una copia forense de los datos contenidos en el equipo
comprometido para poder analizarlos y obtener pistas acerca del evento.
Inclusive en una auditoría de computación forense el auditor puede recuperar
información “borrada”. Hay casos en los que se puede recuperar datos de
discos formateados.

Con la imagen que se obtuvo en la Parte 1, ya podemos “bootearla” en un

entorno virtual de modo seguro (sin contaminar la evidencia) con ayuda del
programa forense Live View. Es necesario tener instalado Java y VmWare
para poder bootear nuestra máquina en modalidad virtual y luego de eso
podremos examinar el sistema comprometido.