Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ejercicio Practico 3
Ejercicio Practico 3
Grupo #1
Plan Diario Vespertino
Sección A
16 agosto 2023
Índice
Introducción..............................................................................................................................1
Validación de archivos..............................................................................................................2
Ejercicio 1.................................................................................................................................7
Ejercicio 2...............................................................................................................................10
Ejercicio 3...............................................................................................................................13
Conclusiones..........................................................................................................................23
1
Introducción
Como grupo nos enfrentamos nuevamente a un plazo reducido de tiempo para realizar un
análisis adecuado de las herramientas seleccionadas. Adicionalmente no se logra una
comunicación o coordinación adecuada de las responsabilidades del equipo.
2
Validación de archivos
Evidencias.iso SI
ARCHIVO
TAMAÑO TIPO DE
FECHA CREACIÓN FECHA MODIFICACIÓN FECHA DE ACCESO EQUIPO
(bytes) ARCHIVO
208966451 Imagen sábado, 30 de abril del sábado, 30 de abril del sábado, 30 de abril del LAPTOP-
2 ISO (iso) 2022, 14:35:00 2022, 14:35:00 2022, 14:35:00 ALUMNO
ORIGEN
AUTORES GUARDADO POR NOMBRE PROGRAMA CONTENIDO CREADO GUARDADO EL
JLC José Luis Chávez Imagen Iso 30/04/2022 14:35 30/04/2022 14:35
HASH MD5
ENTREGADO REVISADO
173d2d1c2cc767eec0093c8ba99bd260 173d2d1c2cc767eec0093c8ba99bd260
En una máquina virtual con Windows 10 se implementó la herramienta HashCalc, para las
evidencias que nos fueron proporcionadas. La implementación de verificación mediante
funciones hash garantiza la integridad de los datos transmitidos o almacenados al prevenir
posibles manipulaciones o corrupciones. Al cotejar el valor del hash de los datos recibidos
con el valor del hash original, se posibilita la detección temprana de alteraciones o fallos en
la información.
Evidencias
Verificación del archivo iso entregado
Data: Evidencias.iso
MD5: 173d2d1c2cc767eec0093c8ba99bd260
SHA1: 6788c7d71e6b2128b775bd00f01a4d7b8e1f3db5
DiskPartitionRawImage.dd SI
ARCHIVO
TAMAÑO TIPO DE
FECHA CREACIÓN FECHA MODIFICACIÓN FECHA DE ACCESO EQUIPO
(bytes) ARCHIVO
miércoles, 28 de miércoles, 28 de
107374131 Archivo miércoles, 28 de septiembre LAPTOP-
septiembre de 2011, septiembre de 2011,
2 DD (dd) de 2011, 04:43:24 ALUMNO
04:43:24 04:43:24
4
ORIGEN
AUTORES GUARDADO POR NOMBRE PROGRAMA CONTENIDO CREADO GUARDADO EL
HASH MD5
ENTREGADO REVISADO
488551f9afdfd757268281a96d042156 488551f9afdfd757268281a96d042156
Data: DiskPartitionRawImage.dd
MD5: 488551f9afdfd757268281a96d042156
SHA1: 96e5ecf428f2e485543d7d58642b56d7b6ca33df
TestRawImage.dd SI
ARCHIVO
TAMAÑO TIPO DE
FECHA CREACIÓN FECHA MODIFICACIÓN FECHA DE ACCESO EQUIPO
(bytes) ARCHIVO
viernes, 23 de
101554944 Archivo viernes, 23 de septiembre viernes, 23 de septiembre LAPTOP-
septiembre de 2011,
0 DD (dd) de 2011, 07:17:48 de 2011, 07:17:48 ALUMNO
07:17:48
ORIGEN
AUTORES GUARDADO POR NOMBRE PROGRAMA CONTENIDO CREADO GUARDADO EL
HASH MD5
ENTREGADO REVISADO
f50d5405308707dee512c6c2250d907d f50d5405308707dee512c6c2250d907d
Data: TestRawImage.dd
MD5: f50d5405308707dee512c6c2250d907d
SHA1: 9f9efa098c9b1fb99e7661f42098e88e1dc40add
7
Ejercicio 1
8
9
Se realizó un análisis por medio de Autopsy al archivo evidencias.iso, esta aplicación según
lo investigado al realizar una evaluación de un artefacto extrae los siguientes posibles datos:
- Actividades recientes (documentos, dispositivos, historial web, cookies, descargar y
marcadores, etc).
- Los valores Hash
- Extraer archivos (permite la recuperación de los archivos que contiene el artefacto,
inclusive los borrados)
- Exif image esta funcionalidad extrae los datos de las imágenes, es decir obtiene
cuando, con qué cámara, fecha y hora e inclusive la geolocalización.
- Keyword Search busca por palabras clave o expresiones regulares definidas por
defecto, tomando en cuenta que también se pueden definir otras según las
necesidades del analista.
El siguiente punto que se observamos es que la herramienta detectó páginas web en los
archivos esto debido a la siguiente expresión regular:
((((ht|f)tp(s?))\://)|www\.)[a-zA-Z0-9\-\.]+\.([a-zA-Z]{2,5})(\:[0-9]+)*(/($|[a-zA-Z0-9\.\,\;\?\''\\+&%
\$#\=~_\-]+))*
Con estos correos es posible analizar las actividades que realizo la persona sobre el equipo
en este caso mencionamos los sitios encontrados:
- skillsongs.com una página para comprar dominios
- 4shared es una descarga de un archivo que ya no se encuentra disponible
- sitio no accesible (doregama.com)
- Sitio de la IEC
- Atozmp3.net este devuelve búsquedas relacionadas (grados de música, Visado,
Alabanzas Cristianas)
- Sitio no accesible (doregama.in)
- Songs.Lata (no es un sitio completo, al ingresar en el navegador devuelve canciones
de Lata Mangeshkar por lo que se observa canciones románticas idioma: indio)
- Songs.pk mismo resultado que con el de Atozmp3.net al ingresar devuelve
búsquedas realizadas o relacionadas.
- Songs.PKK muestra paginas para escuchar música.
- Amythrox.blogspot.com este link ingresa a un blog valga la redundancia en idioma
maratí que fue creado el 24 de noviembre del 2016.
10
Ejercicio 2
WinHex es un editor de disco comercial y un editor hexadecimal universal utilizado para la
recuperación de datos y la informática forense. Fue desarrollado por X-Ways Software
Technology AG de Alemania. WinHex es utilizado por diversas entidades como
profesionales académicos y forenses, el Laboratorio Nacional Oak Ridge, Hewlett-Packard,
National Semiconductor y varias agencias de aplicación de la ley para necesidades de
recuperación y protección de datos.
11
12
En el ejercicio solo llega a la parte de ver que haya tomado archivos pero por curiosidad
procedimos a recuperarlos para ver que trae y en la extracción género 3 carpetas de las
extensiones (gif, jpg,png) en png hay imágenes de iconos, en jpg las más resaltables son la
Mona Lisa, una que dice Robot y modelos y por último la gif de un gato con gorro navideño
y un perro en frente de una laptop.
13
Ejercicio 3
Para realizar este ejercicio implica la instalación de la herramienta TSK, reconocida por su
aplicación en el análisis forense de archivos e imágenes. En el marco de este proceso, la
herramienta fue desplegada en un entorno operativo Linux para llevar a cabo el análisis del
archivo DiskPartitionRawImage.dd.
El uso del parámetro "0" en este comando indica que se está solicitando información sobre
el primer archivo o directorio en la jerarquía del sistema de archivos NTFS. Cada archivo o
directorio en un sistema de archivos NTFS tiene un número único que lo identifica, y este
número se utiliza como parámetro para acceder a los detalles específicos de ese archivo o
directorio a través del comando "istat".
15
img_stat DiskPartitionRawImage.dd
El comando anterior brinda información clave y estadísticas sobre el archivo de imagen,
incluyendo su tamaño, tipo de sistema de archivos y detalles de creación.
23
Conclusiones
Mientras que Autopsy simplifica el proceso, las opciones más técnicas requieren un
entendimiento más profundo pero brindan un mayor control y capacidades avanzadas. La
diversidad de enfoques disponibles subraya la importancia de seleccionar la herramienta
adecuada según las necesidades y el nivel de experiencia del usuario.
WinHex es una herramienta versátil y poderosa que puede desempeñar un papel importante
en la investigación forense digital. Su capacidad para realizar análisis detallados, recuperar
datos eliminados y examinar sistemas de archivos la convierte en una elección sólida para
profesionales forenses que necesitan llevar a cabo investigaciones exhaustivas y precisas
en el mundo digital.
TSK es una herramienta esencial en el arsenal de las técnicas de análisis forense digital. Su
capacidad para extraer y analizar información valiosa de sistemas y dispositivos digitales lo
convierte en un recurso valioso para investigaciones criminales, incidentes cibernéticos y
otros escenarios que requieren la recuperación de evidencia digital de manera precisa y
confiable.
Al ser una herramienta de línea de comandos, es posible que TSK presente un alto grado
de dificultad para usuarios principiantes, los cuales no se encuentren familiarizados con
esto. Es una herramienta bastante útil y poderosa en cuanto al análisis forense y
recuperación de datos, pero su punto débil no es la falta de una interfaz gráfica, sino que no
es compatible con algunos sistemas de archivos poco comunes o que se encuentren
personalizados.
Autopsy es la que posee una interfaz más amigable para el usuario de las 3 herramientas
evaluadas, esto sin dejar a un lado las características de identificación y descubrimiento de
información relevante que posee y permite operar en diversas fuentes como discos duros,
memorias USB, volcados de memoria o incluso capturas de tráfico de red.
La información cruda de los archivos brinda otro punto de vista sobre las evidencias
presentadas. Esto facilita la identificación y el entendimiento del ambiente en donde se
desarrollan los eventos bajo investigación. En última instancia, las herramientas de análisis
24