Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Practica 1
Practica 1
Grupo #1
Plan Diario Vespertino
Sección A
26 Julio 2023
Introducción
Access Data FTK Imager, es una herramienta utilizada para adquirir y examinar
imágenes forenses de unidades de almacenamiento y dispositivos.
Evidencias:
Verificación del archivo iso entregado:
Data: Evidencias.iso
MD5: dffcd3c4e92cc33d2d76fba4583181a3
SHA1: bc781fa2bc991880703ccd3e3732e933a13c08b8
Verificación de Hash de los archivos internos:
Data: Flowers_123.png
MD5: d62fb1819eeaf2315fdc0ade6e10ed25
SHA1: 6081b284ef5dacf3f00799d137ba95bcb5f02fce
Data: Word_Doc.docx
MD5: 0fb522ab91b960ad9f9c27095e01e2e2
SHA1: 124e00b96594af8634c47004103000756a1c597f
Data: DiskPartitionRawImage.dd
MD5: 488551f9afdfd757268281a96d042156
SHA1: 96e5ecf428f2e485543d7d58642b56d7b6ca33df
Evaluación de los encabezados de los archivos proporcionados
Para el archivo Evidencias.iso se observa que los primeros 8 valores son
00 00 00 00 00 00 00 00
Flowers_123.png
Se observa que los primeros 8 valores son 89 50 4e 47 0d 0a 1a 0a lo que indica
que el archivo es extensión PNG
Word_Doc.docx
Se observa que los primeros 8 valores son d0 cf 11 e0 a1 b1 1a e1 que corresponde
a la firma común para las siguientes extensiones: DOC, DOT, PPS, PPT, XLA, XLS,
WIZ
Parte 1: Export de imagen de Disco
Al seleccionar la data que posee dicho sector exportamos la data a un archivo con
extensión img para no perder ningún dato en el exportado
El archivo resultante es el siguiente:
Parte 3: cracking
En este ejercicio se carga un archivo que posee contraseña para visualizar los datos
almacenados para eso utilizaremos el método de fuerza bruta
.
En la aplicación cargamos el archivo y seleccionamos el método predefinido lo cual realiza
un descifrado por lotes utilizando la GPU del computador. Para este archivo la contraseña
es ant
Parte 4 analizar datos hexadecimales:
Para esta parte empezamos analizando el archivo con StepSpy, esta aplicación analiza el
archivo en busca de mensajes ocultos en este caso encontró un mensaje en la posición
103431
Analizando la posición reportada en el editor Hex:
Entendiendo HiderMan
Este procedimiento se realizó con ayuda de una guía en línea para la comprensión
de la esteganografía. En esta se realiza el siguiente caso de estudio con archivos
similares.
Para esconder otro documento de texto en una imagen png se repite el proceso de
esteganografía.
La versión de prueba solo permite realizar el proceso con una contraseña
predeterminada.
Y se puede notar que la cadena “CDN” se muestra al final del archivo al igual que en
el archivo Flowers_123.png
El poseer una copia exacta de un disco representa uno de los recursos más
cruciales que un investigador puede poseer, esto ya que le permite analizar
archivos, cuentas de usuarios, programas instalados entre otras cosas que le
apoyarán en la actividad forense. Es en este punto donde radica la importancia de
las herramientas y suites de recuperación de información.
DiskExplorer for NTFS es una herramienta que permite la recuperación de los datos
de un disco que posee sistema de archivos NTFS siendo una de las más fáciles de
utilizar y ofreciendo un amplia gama de posibilidades de vistas como hexadecimal,
texto o tabla de particiones, adicional permite no solamente la visualización de
archivos sino que el almacenarlos. El contar con la información y poder visualizarla
no es suficiente, es necesario poder crear una imagen forense con la finalidad de
analizar pruebas.