Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Practica 1

    Cargado por

    JOSUÉ PIVARAL
    23 vistas21 páginas

    Título original

    Practica_1

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    23 vistas21 páginas

    Practica 1

    Cargado por

    JOSUÉ PIVARAL

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 21

    Universidad Mariano Gálvez de Guatemala

    Facultad de Ingeniería en Sistemas De Información

    Maestría en Seguridad Informática

    Metodologías para el Análisis Forense Informático

    Ing. José Luis Chávez Cortez

    Pablo Daniel Villagrán Casasola 1293-16-24159


    Jorge Luis Sosa Rodríguez 1493-14-10994
    Israel Abinadí Vivas Sabán 1293-15-9431
    Eddi Fernando Verbena de León 1293-06-14446
    Marlon Josué Pivaral Altán 1593-16-2781

    Grupo #1
    Plan Diario Vespertino
    Sección A
    26 Julio 2023
    Introducción

    Las herramientas de análisis forense informático desempeñan un papel fundamental


    en la investigación y resolución de casos relacionados con delitos digitales, fraudes
    informáticos y otras actividades ilícitas en el ámbito de la tecnología. La creciente
    dependencia de la sociedad en el entorno digital ha llevado a un aumento
    significativo en la cantidad y complejidad de incidentes cibernéticos, lo que ha
    impulsado la necesidad de contar con herramientas especializadas que puedan
    extraer, examinar y analizar datos digitales de manera precisa y forense.

    Los profesionales en informática forense utilizan estas herramientas para llevar a


    cabo la adquisición y preservación de datos, el análisis de discos duros, la
    recuperación de datos eliminados, el análisis de redes y sistemas, entre otros
    procesos clave. En este proyecto, se utilizaron herramientas especializadas
    diseñadas para extraer, examinar y analizar datos de manera precisa y forense,
    asegurando la integridad y autenticidad de la evidencia digital. Entre las
    herramientas utilizadas podemos mencionar las siguientes:

    HashCalc, en la cual se puede calcular y comparar los valores hash de archivos y


    mensajes, utilizando una variedad de algoritmos criptográficos disponibles. Estos
    algoritmos se seleccionan según las necesidades específicas de seguridad y
    rendimiento, ya que cada uno de ellos ofrece distintos niveles de protección y
    eficiencia.

    DiskExplorer for NTFS, es una aplicación especializada que ofrece capacidades de


    análisis y recuperación de datos en sistemas de archivos NTFS, brindando a los
    expertos en informática forense y recuperación de datos una herramienta valiosa
    para examinar y recuperar información en unidades NTFS.

    Access Data FTK Imager, es una herramienta utilizada para adquirir y examinar
    imágenes forenses de unidades de almacenamiento y dispositivos.

    OpenStego es una herramienta de software de código abierto que se utiliza para


    realizar el ocultamiento y la extracción de información dentro de archivos de medios
    digitales, como imágenes y audio. Esta técnica de ocultamiento de información se
    conoce comúnmente como esteganografía.
    Validación del Hash

    La verificación de hash asegura que los datos que se transmiten o almacenan no


    hayan sido manipulados o corrompidos. Al comparar el valor del hash de los datos
    recibidos con el valor del hash original, se pueden detectar cualquier cambio o error
    en los datos.

    Existen múltiples algoritmos criptográficos disponibles para el cálculo de hash


    debido a diferentes requisitos y consideraciones de seguridad. Los diferentes
    algoritmos de hash proporcionan distintos niveles de seguridad y tienen diferentes
    características de rendimiento y algunos algoritmos están optimizados para la
    velocidad, mientras que otros priorizan la seguridad. Queda a discreción de los
    analistas o usuarios escoger un algoritmo que cumpla las necesidades de la
    aplicación para la que se está utilizando.

    En este caso la herramienta es tan sencilla de utilizar que se permite


    automáticamente revisar varios algoritmos a la vez y las siguientes verificaciones se
    ejecutaron con las opciones seleccionadas por default. Se tomará como
    recomendación para siguientes prácticas desactivar los cálculos con algoritmos no
    requeridos para que el proceso sea más rápido.

    Evidencias:
    Verificación del archivo iso entregado:
    Data: Evidencias.iso
    MD5: dffcd3c4e92cc33d2d76fba4583181a3
    SHA1: bc781fa2bc991880703ccd3e3732e933a13c08b8
    Verificación de Hash de los archivos internos:

    Data: Flowers_123.png
    MD5: d62fb1819eeaf2315fdc0ade6e10ed25
    SHA1: 6081b284ef5dacf3f00799d137ba95bcb5f02fce

    Data: Word_Doc.docx
    MD5: 0fb522ab91b960ad9f9c27095e01e2e2
    SHA1: 124e00b96594af8634c47004103000756a1c597f
    Data: DiskPartitionRawImage.dd
    MD5: 488551f9afdfd757268281a96d042156
    SHA1: 96e5ecf428f2e485543d7d58642b56d7b6ca33df
    Evaluación de los encabezados de los archivos proporcionados
    Para el archivo Evidencias.iso se observa que los primeros 8 valores son
    00 00 00 00 00 00 00 00

    La firma esperada para un archivo .iso es 43 44 30 30 31 o “CD001"


    La primera ocurrencia de la cadena esperada se encuentra en:

    y este es el caso con archivos similares:

    Archivos iso y la norma ISO 9660


    De acuerdo a la norma que define el sistema de archivos para imágenes de disco,
    este está separado en sectores. El primer sector del disco generalmente se deja
    vacío de manera intencional y podemos saltarnos al sector 16 (representado en las
    imágenes anteriores por el número de fila 0x8000) VDT en donde se almacena la
    información relevante del sistema de archivos. En este sector se encuentra la firma
    del archivo y por tanto concluímos que es un archivo válido.
    DiskPartitionRawImage.dd
    Se observa que los primeros 8 valores son eb 52 90 4e 54 46 53 20 lo que
    corresponde a la firma común de los archivos NTFS. es extensión dd

    Flowers_123.png
    Se observa que los primeros 8 valores son 89 50 4e 47 0d 0a 1a 0a lo que indica
    que el archivo es extensión PNG

    Word_Doc.docx
    Se observa que los primeros 8 valores son d0 cf 11 e0 a1 b1 1a e1 que corresponde
    a la firma común para las siguientes extensiones: DOC, DOT, PPS, PPT, XLA, XLS,
    WIZ
    Parte 1: Export de imagen de Disco

    DiskExplorer for NTFS


    Se carga el archivo PartitionRawImage.dd lo cual al analizarlo nos muestra la data copiada
    en particiones.
    Nos movilizamos al sector 00000002 y visualizamos la data como hexadecimal

    Al seleccionar la data que posee dicho sector exportamos la data a un archivo con
    extensión img para no perder ningún dato en el exportado
    El archivo resultante es el siguiente:

    Parte 2 análisis de información dentro de la imagen generada:


    Con el archivo generado procedemos a abrirlo para validar que data se extrajo de ese
    sector.
    Se proporciona la ruta al archivo dumpforense.img

    En la siguiente imagen se visualiza los archivos clasificados abrimos la carpeta de videos


    seleccionado el video de jimi Hendrix Classic V… la aplicación nos muestra los
    datos que posee dicho video incluyendo sus propiedades como la última fecha en
    que se accedió al archivo, cuando se creó, etc.

    Parte 3: cracking
    En este ejercicio se carga un archivo que posee contraseña para visualizar los datos
    almacenados para eso utilizaremos el método de fuerza bruta
    .
    En la aplicación cargamos el archivo y seleccionamos el método predefinido lo cual realiza
    un descifrado por lotes utilizando la GPU del computador. Para este archivo la contraseña
    es ant
    Parte 4 analizar datos hexadecimales:
    Para esta parte empezamos analizando el archivo con StepSpy, esta aplicación analiza el
    archivo en busca de mensajes ocultos en este caso encontró un mensaje en la posición
    103431
    Analizando la posición reportada en el editor Hex:

    Utilizando la herramienta ImageSteganography se encontró que esta no logra


    descifrar el archivo oculto dentro de Flowers_123.png
    Con OpenStego:

    Entendiendo HiderMan
    Este procedimiento se realizó con ayuda de una guía en línea para la comprensión
    de la esteganografía. En esta se realiza el siguiente caso de estudio con archivos
    similares.

    Para realizar el proceso de esteganografía en un archivo con el software identificado


    por StegSpy conseguimos la versión de prueba del software en línea.

    Para esconder otro documento de texto en una imagen png se repite el proceso de
    esteganografía.
    La versión de prueba solo permite realizar el proceso con una contraseña
    predeterminada.

    Se sobreescribe el archivo original con archivo de texto dentro:


    Ejecutando StegSpy de nuevo con la nueva imagen nos indica que se utilizó
    Hiderman y la marca se encuentra en la posición 92126.

    En el editor Hex podemos ingresar la posición de la marca como offset:

    Y se puede notar que la cadena “CDN” se muestra al final del archivo al igual que en
    el archivo Flowers_123.png

    El reconocimiento de patrones es una habilidad importante cuando se trata de


    realizar un análisis. En este caso podemos notar que la cadena “CDN” solo se
    presenta dentro del archivo png con algo escondido por Hiderman, mientras que en
    un archivo png no se obtiene esa última cadena.
    Las herramientas brindadas para el descubrimiento de los archivos embebidos ya
    han realizado el trabajo duro de descifrar estos patrones criptográficos.
    Conclusión

    Con baja experiencia en el análisis de archivos y metodologías forenses, resulta


    interesante indagar dentro de los datos a bajo nivel para comprender mejor la
    estructura y los patrones que conforman los archivos. A medida que se adquiere
    más experiencia en análisis forense, esta exploración a nivel hexadecimal se vuelve
    aún más valiosa, ya que permite descubrir detalles ocultos o datos eliminados que
    no son visibles a simple vista. La capacidad de reconocer los distintos formatos de
    archivos y comprender cómo se organizan los datos es fundamental para una
    investigación forense efectiva y precisa.

    El análisis forense de imágenes de discos es una de las actividades o técnicas más


    importantes para el descubrimiento de información crucial y no solamente es posible
    utilizarlos en discos sino que también en capturas de tráfico de red, memorias USB
    o volcados de memoria de equipos de cómputo, esto sin alterar de alguna forma la
    información que se desea recuperar.

    El poseer una copia exacta de un disco representa uno de los recursos más
    cruciales que un investigador puede poseer, esto ya que le permite analizar
    archivos, cuentas de usuarios, programas instalados entre otras cosas que le
    apoyarán en la actividad forense. Es en este punto donde radica la importancia de
    las herramientas y suites de recuperación de información.

    DiskExplorer for NTFS es una herramienta que permite la recuperación de los datos
    de un disco que posee sistema de archivos NTFS siendo una de las más fáciles de
    utilizar y ofreciendo un amplia gama de posibilidades de vistas como hexadecimal,
    texto o tabla de particiones, adicional permite no solamente la visualización de
    archivos sino que el almacenarlos. El contar con la información y poder visualizarla
    no es suficiente, es necesario poder crear una imagen forense con la finalidad de
    analizar pruebas.

    Al momento de crear una imagen es necesario garantizar la integridad de la misma


    y la posibilidad de extraer archivos específicos de interés para el investigador, FTK
    Imager ofrece estas funcionalidades y adicionalmente permite la búsqueda de
    palabras clave dentro de la imagen forense.

    Durante el proceso de análisis forense el investigador muchas veces se encontrará


    con algunas barreras que le impedirán avanzar en su tarea una de las más comunes
    son los archivos con contraseña. Pero si bien esto es cierto también lo es que se
    cuenta con una serie amplia de herramientas que permiten descubrir y descifrar de
    una forma relativamente sencilla esta información.
    Passware Kit Forensic es una herramienta que permite la recuperación de
    contraseñas para más de 280 tipos archivos y permite la recuperación de las
    contraseñas por lotes, adicional es una herramienta robusta que permite el análisis
    de memoria en vivo, archivos de hibernación, inicios de sesión así como recuperar
    datos de la nube.

    En muchas ocasiones el investigador forense necesita de herramientas


    especializadas para buscar y recuperar información escondida la cual es posible se
    encuentre en imágenes o incluso en scripts dentro de documentos de uso cotidiano
    como lo es Word y Excel.

    Una de las herramientas más utilizadas para la búsqueda de información escondida


    o conocido como detección de esteganografía es Stegspy el cual no solamente
    permite la recuperación de dicha información sino que el software que se utilizó para
    ocultar dicha información o mensaje, que le da al investigador las herramientas
    necesarias para el análisis forense.

    También podría gustarte