Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Práctica Seguridad Informática CAINE

    Cargado por

    jvega67
    52 vistas3 páginas

    Título original

    Práctica seguridad Informática CAINE

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    52 vistas3 páginas

    Práctica Seguridad Informática CAINE

    Cargado por

    jvega67

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 3

    Práctica 1.

    6: CAINE (Resultado de Aprendizaje RA1: a, g, i)


    2º ASIR - SGY
    Departamento de Informática 25/09/2022 Página 1 de 3

    Objetivos de la misión
    Encontrar todas las fotos del disco analizado y encontrar en los metadatos la ubicación
    desde donde se hizo la foto i4.jpg y demás información...

    Para la recuperación de datos del disco utilizaremos dos técnicas distintas: el comando
    foremost y la aplicación gráfica Qphotorec. Para ver los metadatos de las fotos
    utilizaremos el comando exiftool.

    Recuerda que además de responder a estas dos preguntas que te expongo a


    continuación, deberás documentar como has ido trabajando todo con texto y
    capturas. Realiza la práctica lo más profesional posible según el modelo subido en
    el aula del Campus.

    Actividad 1
    Analiza las dos técnicas de recuperación de datos, el comando foremost y la aplicación
    gráfica qphotorec. Analiza ambas técnicas para ver si recuperan lo mismo del disco a
    recuperar. Saca capturas de pantalla de su funcionamiento.
    Ejemplo: Este comando sirve para buscar imágenes en una partición

    #> foremost -s 100 -t jpeg -i /dev/sda1 -o directorio

    Actividad 2

    Investiga la utilidad de los dos ejemplos de exiftool que se muestran, verás los
    metadatos y podrás concluir la ubicación. Ojo, no ejecutes el segundo comando o no
    podrás contestar a la pregunta de la ubicación. Estudia primero como se usan los
    comandos.

    #> exiftool i4.jpg


    #> exiftool - all=i4.jpg
    Práctica 1.6: CAINE (Resultado de Aprendizaje RA1: a, g, i)
    2º ASIR - SGY
    Departamento de Informática 25/09/2022 Página 2 de 3

    Como comenzar...
    Creamos una máquina virtual para Caine con un tamaño de disco de 200MB. Teniendo en
    cuenta que vamos a utilizar Caine en modo LIVE Y GRÁFICO, usaremos ese disco duro
    de 200MB para hacer la clonación del disco duro disco que incluye esta práctica
    (discoanalisis.vdi) y que queremos analizar como estudio forense. En este disco duro están
    las fotos a analizar. No tienes que clonarlo obligatoriamente a este disco duro, puedes
    clonarlo a otro disco o soporte de almacenamiento. Debes exportar el disco .vdi
    (formato de VirtualBox) a formato .vmdk que es el formato usado por VMware. Si vas a
    usar Virtualbox, explica cómo se realizaría dicha exportación de un .vdi a
    un .vmdk/

    En los comandos que se muestran a continuación se supone que sdb es el disco


    original a analizar y sda es el disco donde copiaremos el original a analizar. Revisa tu
    configuración porque podría ser diferente.

    Tener en cuenta que, en la práctica forense, vamos a hacer las pruebas sobre la evidencia
    clonada, es decir, sobre los datos del disco duro sda y no sobre sdb que es la evidencia
    que no debo contaminar y la que recogí de la zona del cibercrimen.

    Hay que desactivar con ayuda de la aplicación UnBlock el bloqueo de escritura sobre sda
    para poder trabajar.

    Para comprobar qué disco es el que tiene información puedo utilizar alguno de los comandos
    siguientes. Recuerda que algunos comandos requieren sudo.

    #> ls /dev/sd*
    #> lsblk
    #> fdisk -l

    Las particiones terminan con un número. Si el disco no tiene particiones es que está vacío.

    Para asegurarme de que no tenga nada el disco en el que voy a hacer la clonación se puede
    utilizar el comando siguiente que llena de ceros el disco. Esto es opcional.

    #> dd if=/dev/zero bs=1M of=/dev/sda

    Para hacer la clonación puedo utilizar el comando siguiente:

    #> dd if=/dev/sdb bs=1M of=/dev/sda


    Práctica 1.6: CAINE (Resultado de Aprendizaje RA1: a, g, i)
    2º ASIR - SGY
    Departamento de Informática 25/09/2022 Página 3 de 3

    Para ver que los dos discos tienen la misma información hacemos un hash de los dos y
    vemos si coinciden1:

    #> md5sum /dev/sdb


    #> md5sum /dev/sda2

    Para utilizar la partición del disco sda necesito montarla en el sistema de archivos.

    #> mkdir carpetaparamontar


    #> mount /dev/sda1 carpetaparamontar

    NOTA: se puntúa con BUENA NOTA a aquellos alumnos que además usen la aplicación
    GUYMAGER para crear una imagen con extensión .dd y luego la monten para analizarla.

    1
    Con md5sum validamos dos puntos: que el archivo se descargó en su totalidad y que el archivo no fue
    modificado
    2 En este caso se clonó aquí, pero puedes hacerlo en otro lado.

    También podría gustarte