Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • PDF Musi005 t2 Act

    Cargado por

    Charly Guitton
    20 vistas5 páginas
    Este documento describe una actividad de análisis forense sobre la recuperación de archivos eliminados y el análisis de metadatos. La actividad involucra el análisis de una imagen forense para identificar el esquema de particionado, recuperar archivos eliminados, y analizar los metadatos para obtener información como el nombre del fotógrafo y la ubicación donde se tomó una fotografía. Se proveen instrucciones para que el estudiante complete la actividad y responda preguntas en una plantilla.

    Descripción original:

    Actividad 3

    Título original

    pdf-musi005-t2-act

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe una actividad de análisis forense sobre la recuperación de archivos eliminados y el análisis de metadatos. La actividad involucra el análisis de una imagen forense para identificar el esquema de particionado, recuperar archivos eliminados, y analizar los metadatos para obtener información como el nombre del fotógrafo y la ubicación donde se tomó una fotografía. Se proveen instrucciones para que el estudiante complete la actividad y responda preguntas en una plantilla.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    20 vistas5 páginas

    PDF Musi005 t2 Act

    Cargado por

    Charly Guitton
    Este documento describe una actividad de análisis forense sobre la recuperación de archivos eliminados y el análisis de metadatos. La actividad involucra el análisis de una imagen forense para identificar el esquema de particionado, recuperar archivos eliminados, y analizar los metadatos para obtener información como el nombre del fotógrafo y la ubicación donde se tomó una fotografía. Se proveen instrucciones para que el estudiante complete la actividad y responda preguntas en una plantilla.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    Asignatura Datos del alumno Fecha

    Apellidos:
    Análisis forense 27/05/2021
    Nombre:

    Actividades

    Actividad: Dispositivos de almacenamiento y archivos


    eliminados

    Objetivos

    El objetivo principal de esta actividad es comprender cómo se estructura un


    dispositivo de almacenamiento (Esquema de particionado, Particiones, Volúmenes,
    etc.) y practicar la recuperación de archivos eliminados bajo distintas circunstancias.

    Además, esta actividad también ayudará al alumno a asentar los conocimientos


    adquiridos sobre los metadatos que pueden contener los archivos.

    Descripción y pautas de la actividad

    Para realizar la actividad, el alumno deberá analizar la imagen forense (archivo


    evidence.E01) facilitada a través de la plataforma de UNIR. Esta imagen forense se
    corresponde con un dispositivo de almacenamiento cuyo hash MD5 es:
    bb898ff8859fec8eb3c24bb368905311.

    Para realizar la práctica debe responder a las preguntas planteadas en la plantilla. La


    contestación a la presente actividad no ocupa más de una hoja. Simplemente debe
    contestar a lo que se le pregunta.

    Si no fuera posible responder a alguna de las preguntas planteadas, tan solo indique
    dónde podría encontrarse la información necesaria y el motivo por el cual no es
    posible responder a la pregunta.

    TEMA 2 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 27/05/2021
    Nombre:

    Desarrollo:

    ¿Cuál es el hash SHA1 del dispositivo que has adquirido?

    acd4ccc8f56f3b245c3b521267387949161340f9

    ¿Qué esquema de particionado tiene el dispositivo?


    Partition 1 –– FAT12 - GPT

    Partition2 –– NTFS – GPT

    ¿Cuántas particiones tiene el dispositivo?

    Se evidencia que tiene x particiones:

    De cada partición (puede haber una o varias), indica lo siguiente:


    Nº de partición: 1
    Nombre del volumen:VOL01
    Sistema de ficheros: FAT12
    Tamaño en Bytes: 10.485.760 B – 10MB

    Nº de partición: 2
    Nombre del volumen:VOL02
    Sistema de ficheros: NTFS
    Tamaño en Bytes: 70.254.592 B – 67 MB

    En una de las particiones hay un archivo eliminado. Recupera dicho archivo y analiza
    sus metadatos.

    En base a tu análisis ¿Cuál es el nombre del artista que realizó la fotografía?


    f0000355.jpg

    MR. ROBOT -- "eps3.1_undo.gz" Episode 302 -- Pictured: (l-r) -- (Photo by: Michael
    Parmelee/USA Network)

    Autor: Michael Pamelee

    TEMA 2 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 27/05/2021
    Nombre:

    Además del archivo recuperado en el punto anterior, en el dispositivo hay otro


    archivo eliminado. Realiza una recuperación en bruto de los archivos del dispositivo
    para recuperarlo y analiza sus metadatos.

    En base a tu análisis ¿Cuál es el nombre de la ciudad donde se tomó la fotografía? Si


    detectas alguna incoherencia durante el análisis, indícala.
    Se identifican en total 6 archivos borrados:

    Los 2 primeros archivos con formatos jpg, se tratan de la smismas imágenes, lo


    podemos corroborar gracias a que los has son identicos:

    Y se trata de la siguiente imagen:

    Este archivo, no tiene mucha metadata pero se logra identificar el nombre de Elio
    alderson, quizas haciendo referencia al personaje principal de la serie Mr Robot:

    Los demás archivos con formatos .fat y formato .ini hacen referencia a archivos del
    sistema operativo Windows.

    No se encuentra información relevante en ellos salvo para el archivo


    f0001172.Desktop.ini que se logra identificar una ruta de llamado a la DLL shel32.DLL
    como podemos apreciar en la siguiente imagen:

    Incoherencias:

    1. En FTK aparecen las particiones como VOLO1 y VOL02 pero con Autopsy
    aparecen las particiones como vol2 y vol4.

    2. Por otro lado, fue necesario el uso de la última versión de Autopsy para poder

    indestnatliafdicaaernelaamrcáhqiuvoindaevilratuiaml adgeeUnNdIeRl

    npounretocuapnetrearbioard, icycha oqaurechciovno.la versión

    3. El archivo de la imagen recuperado, se obtuvo del volumen 3 (Unallocated) no


    asignado como se puede ver en la siguiente imagen:

    La foto fue tomada Chinatown, Chicago, Illinois, USA. La dirección exacta es la


    siguiente:

    261, West Alexander Street, South Branch Addition, Chinatown, Armour Square,
    Chicago, Cook County, Illinois, 60616, United States.
    TEMA 2 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 27/05/2021
    Nombre:

    Coordenadas:

    Rúbrica

    Dispositivos de
    Puntuación
    almacenamiento y archivos eliminados Peso
    Descripción máxima (puntos)
    Criterio 1 %

    Adquisición del dispositivo de


    3 30%
    almacenamiento Contestación correcta a las preguntas sobre el esquema de particionado y
    particiones Recuperación de los archivos
    Criterio 2 eliminados 2,5 25%

    Criterio 3 2,5 25%

    Criterio 4 Análisis correcto de los metadatos de 2 20%


    los archivos recuperados
    10 100 %

    Extensión máxima: La actividad debe responderse completando la plantilla adjunta


    sin superar las dos páginas de extensión, letra Georgia 11, interlineado 1,5, margen
    superior e inferior 2,5 cm y margen izquierdo y derecho 3,25 cm.

    TEMA 2 – Actividades

    También podría gustarte