Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería en Sistemas De Información

Maestría en Seguridad Informática

Metodologías para el Análisis Forense Informático

Ing. José Luis Chávez Cortez

PABLO DANIEL VILLAGRÁN CASASOLA 1293-16-24159

JORGE LUIS SOSA RODRIGUEZ 1493-14-10994

EDDI FERNANDO VERBENA DE LEÓN 1293-06-14446

MARLON JOSUÉ PIVARAL ALTÁN 1593-16-2781

ISRAEL ABINADÍ VIVAS SABÁN 1293-15-9431

Grupo #1
Plan Diario Vespertino
Sección A
16 agosto 2023
 Índice
Introducción..............................................................................................................................1
Validación de archivos..............................................................................................................2
Ejercicio 1.................................................................................................................................7
Ejercicio 2...............................................................................................................................10
Ejercicio 3...............................................................................................................................13
Conclusiones..........................................................................................................................23
 1

Introducción

En el mundo actual de la tecnología y la informática, las aplicaciones y herramientas juegan

un papel crucial en la manipulación y el análisis de datos. Estas herramientas destacan al
emplear un enfoque único para la detección y extracción de archivos internos dentro de
otros archivos de imagen de disco. Este proceso se basa en la inspección minuciosa de los
valores presentes en el archivo, lo que permite identificar posibles estructuras que denotan
la existencia de archivos incrustados.

En la ejecución de la tarea, se explica cómo esta aplicación utiliza los valores

hexadecimales para determinar la presencia de archivos internos, examinando además
cómo las expresiones regulares juegan un papel importante en la identificación de
información específica, como correos electrónicos y enlaces web.

Cada una de estas herramientas aporta su propio conjunto de características y

funcionalidades únicas, desde una interfaz gráfica intuitiva hasta un enfoque técnico
avanzado para el análisis y recuperación de datos. Es esencial entender las diferencias y
similitudes entre diversas opciones para tomar decisiones informadas. Resulta interesante
analizar tres herramientas específicas que, aunque poseen enfoques y capacidades
distintas, se presentan juntas en las instrucciones de la práctica.

En los siguientes apartados se muestran los resultados obtenidos al realizar análisis de

imágenes de disco utilizando las 3 herramientas proporcionadas Autopsy, WinHex y TSK
con la finalidad de encontrar y recuperar información perdida en dichas imágenes. Se
pretende revisar las capacidades y funcionalidades que dichas herramientas ofrecen.
Mediante el uso de las herramientas se lograron obtener los datos de archivos borrados
siendo importante mencionar que cada una posee una forma completamente diferente de
buscar, mostrar y recuperar la información.

Como grupo nos enfrentamos nuevamente a un plazo reducido de tiempo para realizar un
análisis adecuado de las herramientas seleccionadas. Adicionalmente no se logra una
comunicación o coordinación adecuada de las responsabilidades del equipo.
 2

Validación de archivos

NOMBRE DE ARCHIVO APLICA SER ANALIZADO

Evidencias.iso SI

ARCHIVO
TAMAÑO TIPO DE
FECHA CREACIÓN FECHA MODIFICACIÓN FECHA DE ACCESO EQUIPO
(bytes) ARCHIVO
208966451 Imagen sábado, 30 de abril del sábado, 30 de abril del sábado, 30 de abril del LAPTOP-
2 ISO (iso) 2022, 14:35:00 2022, 14:35:00 2022, 14:35:00 ALUMNO

ORIGEN
AUTORES GUARDADO POR NOMBRE PROGRAMA CONTENIDO CREADO GUARDADO EL

JLC José Luis Chávez Imagen Iso 30/04/2022 14:35 30/04/2022 14:35

HASH MD5
ENTREGADO REVISADO

173d2d1c2cc767eec0093c8ba99bd260 173d2d1c2cc767eec0093c8ba99bd260

ENCABEZADO DEL ARCHIVO

FILE
SIGNATURE SIGNATURE FILE DESCRIPTION
EXTENSION

43 44 30 30 31 01 00 4c CD001 ISO ISO9660 CD/DVD image file

 3

En una máquina virtual con Windows 10 se implementó la herramienta HashCalc, para las
evidencias que nos fueron proporcionadas. La implementación de verificación mediante
funciones hash garantiza la integridad de los datos transmitidos o almacenados al prevenir
posibles manipulaciones o corrupciones. Al cotejar el valor del hash de los datos recibidos
con el valor del hash original, se posibilita la detección temprana de alteraciones o fallos en
la información.

Evidencias
Verificación del archivo iso entregado
Data: Evidencias.iso
MD5: 173d2d1c2cc767eec0093c8ba99bd260
SHA1: 6788c7d71e6b2128b775bd00f01a4d7b8e1f3db5

NOMBRE DE ARCHIVO APLICA SER ANALIZADO

DiskPartitionRawImage.dd SI

ARCHIVO
TAMAÑO TIPO DE
FECHA CREACIÓN FECHA MODIFICACIÓN FECHA DE ACCESO EQUIPO
(bytes) ARCHIVO
miércoles, 28 de miércoles, 28 de
107374131 Archivo miércoles, 28 de septiembre LAPTOP-
septiembre de 2011, septiembre de 2011,
2 DD (dd) de 2011, 04:43:24 ALUMNO
04:43:24 04:43:24
 4

ORIGEN
AUTORES GUARDADO POR NOMBRE PROGRAMA CONTENIDO CREADO GUARDADO EL

JLC José Luis Chávez Archivo dd 28/10/2011 04:43 28/10/2011 04:43

HASH MD5
ENTREGADO REVISADO

488551f9afdfd757268281a96d042156 488551f9afdfd757268281a96d042156

ENCABEZADO DEL ARCHIVO

FILE
SIGNATURE SIGNATURE FILE DESCRIPTION
EXTENSION

Es un sistema de archivos de Windows NT incluido en las

versiones de Windows NT 3.1, Windows NT 3.5, Windows
eb 52 90 4e 54 46 53
NTFS dd NT 3.51, Windows NT 4.0, Windows 2000, Windows XP,
20
Windows Server 2003, Windows Server 2008, Windows
Vista, Windows 7, Windows 8, Windows 10 y Windows 11

Data: DiskPartitionRawImage.dd
MD5: 488551f9afdfd757268281a96d042156
SHA1: 96e5ecf428f2e485543d7d58642b56d7b6ca33df

NOMBRE DE ARCHIVO APLICA SER ANALIZADO

 5

TestRawImage.dd SI

ARCHIVO
TAMAÑO TIPO DE
FECHA CREACIÓN FECHA MODIFICACIÓN FECHA DE ACCESO EQUIPO
(bytes) ARCHIVO
viernes, 23 de
101554944 Archivo viernes, 23 de septiembre viernes, 23 de septiembre LAPTOP-
septiembre de 2011,
0 DD (dd) de 2011, 07:17:48 de 2011, 07:17:48 ALUMNO
07:17:48

ORIGEN
AUTORES GUARDADO POR NOMBRE PROGRAMA CONTENIDO CREADO GUARDADO EL

JLC José Luis Chávez Archivo dd 23/10/2011 07:17 23/10/2011 07:17

HASH MD5
ENTREGADO REVISADO
f50d5405308707dee512c6c2250d907d f50d5405308707dee512c6c2250d907d

ENCABEZADO DEL ARCHIVO

FILE
SIGNATURE SIGNATURE FILE DESCRIPTION
EXTENSION

Los tipos de sistemas de archivos tradicionales de DOS son

FAT12 y FAT16. Aquí FAT significa Tabla de asignación de
4d 53 44 4f 53 20 20
MSDOS dd archivos: el disco se divide en grupos, la unidad utilizada por
20
la asignación de archivos y FAT describe qué grupos son
utilizados por qué archivos.
 6

Data: TestRawImage.dd
MD5: f50d5405308707dee512c6c2250d907d
SHA1: 9f9efa098c9b1fb99e7661f42098e88e1dc40add
 7

Ejercicio 1
8
 9

Se realizó un análisis por medio de Autopsy al archivo evidencias.iso, esta aplicación según
lo investigado al realizar una evaluación de un artefacto extrae los siguientes posibles datos:
- Actividades recientes (documentos, dispositivos, historial web, cookies, descargar y
marcadores, etc).
- Los valores Hash
- Extraer archivos (permite la recuperación de los archivos que contiene el artefacto,
inclusive los borrados)
- Exif image esta funcionalidad extrae los datos de las imágenes, es decir obtiene
cuando, con qué cámara, fecha y hora e inclusive la geolocalización.
- Keyword Search busca por palabras clave o expresiones regulares definidas por
defecto, tomando en cuenta que también se pueden definir otras según las
necesidades del analista.

Al conocer las funcionalidades de la herramienta, se observa que al analizar el artefacto la

herramienta indica que entre los archivos internos DiskPartitionRawImage y TestRawImage
entre los datos almacenados se encuentran correos electrónicos. Cabe mencionar que
fueron detectados por que la expresión regular es la siguiente:
(?=.{8}[a-z0-9%+_-]+(?:\.[a-z0-9%+_-]+)*@(?:[a-z0-9](?.[a-z0-9])*[a-z0-9]?\.)+[a-z]{2,4}(?<!\.t
xt|.exe|\.dll|.\jpg|.\xml) esta expresión regular se puede utiliza para detectar correos aunque
no es del todo funcional ya que si observamos en el reporte detectó 2@1Ti.Re y esto no es
un correo válido, esto también se debe de realizar con los demás correos detectados en el
reporte en este caso por lo que se observa los demás tienen el mismo comportamiento no
son correos reales.

El siguiente punto que se observamos es que la herramienta detectó páginas web en los
archivos esto debido a la siguiente expresión regular:
((((ht|f)tp(s?))\://)|www\.)[a-zA-Z0-9\-\.]+\.([a-zA-Z]{2,5})(\:[0-9]+)*(/($|[a-zA-Z0-9\.\,\;\?\''\\+&%
\$#\=~_\-]+))*

Con estos correos es posible analizar las actividades que realizo la persona sobre el equipo
en este caso mencionamos los sitios encontrados:
- skillsongs.com una página para comprar dominios
- 4shared es una descarga de un archivo que ya no se encuentra disponible
- sitio no accesible (doregama.com)
- Sitio de la IEC
- Atozmp3.net este devuelve búsquedas relacionadas (grados de música, Visado,
Alabanzas Cristianas)
- Sitio no accesible (doregama.in)
- Songs.Lata (no es un sitio completo, al ingresar en el navegador devuelve canciones
de Lata Mangeshkar por lo que se observa canciones románticas idioma: indio)
- Songs.pk mismo resultado que con el de Atozmp3.net al ingresar devuelve
búsquedas realizadas o relacionadas.
- Songs.PKK muestra paginas para escuchar música.
- Amythrox.blogspot.com este link ingresa a un blog valga la redundancia en idioma
maratí que fue creado el 24 de noviembre del 2016.
 10

Ejercicio 2
WinHex es un editor de disco comercial y un editor hexadecimal universal utilizado para la
recuperación de datos y la informática forense. Fue desarrollado por X-Ways Software
Technology AG de Alemania. WinHex es utilizado por diversas entidades como
profesionales académicos y forenses, el Laboratorio Nacional Oak Ridge, Hewlett-Packard,
National Semiconductor y varias agencias de aplicación de la ley para necesidades de
recuperación y protección de datos.
11
 12

La aplicación WinHex provee un análisis exhaustivo en el análisis de los artefactos que se le

proporcionen como en este caso se carga el archivo TestRawImage.dd y utilizamos la
herramienta de recuperación de archivos por tipo. Este realiza una recuperación de los
datos que han sido borrados del disco. En este ejercicio la comprobación es validar que
recupere las imágenes almacenadas.

En el ejercicio solo llega a la parte de ver que haya tomado archivos pero por curiosidad
procedimos a recuperarlos para ver que trae y en la extracción género 3 carpetas de las
extensiones (gif, jpg,png) en png hay imágenes de iconos, en jpg las más resaltables son la
Mona Lisa, una que dice Robot y modelos y por último la gif de un gato con gorro navideño
y un perro en frente de una laptop.
 13

Ejercicio 3
Para realizar este ejercicio implica la instalación de la herramienta TSK, reconocida por su
aplicación en el análisis forense de archivos e imágenes. En el marco de este proceso, la
herramienta fue desplegada en un entorno operativo Linux para llevar a cabo el análisis del
archivo DiskPartitionRawImage.dd.

1. fsstat -f ntfs DiskPartitionRawImage.dd

Comando utilizado para mostrar la información y detalles del sistema de archivos, en
el que se puede visualizar, versión de sistema operativo, tipo de volumen e
información de la metadata.
 14

2. istat -f ntfs DiskPartitionRawImage.dd 0

El comando anterior de TSK, permite recuperar información específica sobre el primer
archivo o directorio en la jerarquía del sistema de archivos NTFS dentro del archivo
DiskPartitionRawImage.dd.

El uso del parámetro "0" en este comando indica que se está solicitando información sobre
el primer archivo o directorio en la jerarquía del sistema de archivos NTFS. Cada archivo o
directorio en un sistema de archivos NTFS tiene un número único que lo identifica, y este
número se utiliza como parámetro para acceder a los detalles específicos de ese archivo o
directorio a través del comando "istat".
 15

3. istat -f ntfs DiskPartitionRawImage.dd 1

comando con el que podemos visualizar las iteraciones que tuvo el archivo, cuándo lo
crearon, cuándo se accedió y modificó.
 16

istat -f ntfs DiskPartitionRawImage.dd 7

Comando que nos muestra la información general del archivo que se está auditando, en los
atributos se visualiza la información estándar, información del archivo, descripción de
seguridad y la data representada en megas.
 17

istat -f ntfs DiskPartitionRawImage.dd 3

Comando que nos muestra la cantidad de logs secuenciales almacenados en el archivo y
de igual forma sus atributos tal cual nos muestra con los demás comandos.
 18

istat -f ntfs DiskPartitionRawImage.dd 4

Comando que nos muestra la definición de los atributos pero con detalle de información en
los “attributes” sobre el tamaño inicial y el tamaño actual del directorio.

istat -f ntfs DiskPartitionRawImage.dd 6

Comando que muestra el mapa de los cambios en la información o cambios en el archivo.
 19

istat -f ntfs DiskPartitionRawImage.dd 8

Comando que muestra la información de archivos malos en el cluster.
 20

istat -f ntfs DiskPartitionRawImage.dd 9

Comando utilizado para verificar los atributos de seguridad del archivo y en los que se
puede validar cambios y el registro del proceso que lo realizó.
 21

istat -f ntfs DiskPartitionRawImage.dd

Comando que nos lista los archivos y directorios identificados en nuestra evidencia, las
carpetas y el nombre.

fls -d ntfs DiskPartitionRawImage.dd

Comando que nos muestra el registro, listando los archivos que fueron eliminados.
 22

img_stat DiskPartitionRawImage.dd
El comando anterior brinda información clave y estadísticas sobre el archivo de imagen,
incluyendo su tamaño, tipo de sistema de archivos y detalles de creación.
 23

Conclusiones

Mientras que Autopsy simplifica el proceso, las opciones más técnicas requieren un
entendimiento más profundo pero brindan un mayor control y capacidades avanzadas. La
diversidad de enfoques disponibles subraya la importancia de seleccionar la herramienta
adecuada según las necesidades y el nivel de experiencia del usuario.

WinHex es una herramienta versátil y poderosa que puede desempeñar un papel importante
en la investigación forense digital. Su capacidad para realizar análisis detallados, recuperar
datos eliminados y examinar sistemas de archivos la convierte en una elección sólida para
profesionales forenses que necesitan llevar a cabo investigaciones exhaustivas y precisas
en el mundo digital.

TSK es una herramienta esencial en el arsenal de las técnicas de análisis forense digital. Su
capacidad para extraer y analizar información valiosa de sistemas y dispositivos digitales lo
convierte en un recurso valioso para investigaciones criminales, incidentes cibernéticos y
otros escenarios que requieren la recuperación de evidencia digital de manera precisa y
confiable.

Al ser una herramienta de línea de comandos, es posible que TSK presente un alto grado
de dificultad para usuarios principiantes, los cuales no se encuentren familiarizados con
esto. Es una herramienta bastante útil y poderosa en cuanto al análisis forense y
recuperación de datos, pero su punto débil no es la falta de una interfaz gráfica, sino que no
es compatible con algunos sistemas de archivos poco comunes o que se encuentren
personalizados.

Autopsy es la que posee una interfaz más amigable para el usuario de las 3 herramientas
evaluadas, esto sin dejar a un lado las características de identificación y descubrimiento de
información relevante que posee y permite operar en diversas fuentes como discos duros,
memorias USB, volcados de memoria o incluso capturas de tráfico de red.

La seguridad informática en los últimos años ha tomado mucha relevancia debido al

incremento progresivo del índice de incidentes o violaciones de privacidad a nivel global, las
cuales cada vez son más avanzadas y difíciles de combatir, es por esta razón que se hace
necesario el uso de herramientas que permitan al forense contar con todos los recursos
necesarios durante la investigación tal como lo son las herramientas de búsqueda y
recuperación de archivos.

Las herramientas de análisis de imágenes de disco desempeñan un papel fundamental al

permitir la captura de información en su estado más íntegro. A través de su funcionamiento,
se logra acceder a los datos en su forma más pura, lo que resulta esencial para llevar a
cabo investigaciones y análisis precisos. Además, estas herramientas ofrecen la capacidad
de obtener metadatos, un elemento clave en el ámbito del descubrimiento forense.

La información cruda de los archivos brinda otro punto de vista sobre las evidencias
presentadas. Esto facilita la identificación y el entendimiento del ambiente en donde se
desarrollan los eventos bajo investigación. En última instancia, las herramientas de análisis
 24

de imágenes de disco se establecen como aliados indispensables para la obtención de

información confiable y la realización de análisis forenses de alta calidad.