Facultad de Telemática

Ingeniería de Software

Informatica forense

José Domingo Anguiano Santana

Actividad #08. Herramientas forenses: Obtención de firmas

hash y volcado de memoria RAM

Enrique Agustín Pintor Padilla

Colima, Col

Lunes 16 de octubre del 2023

 Multihasher
El primer paso y simple es tener que abrir el programa multi hash.

Después se selecciona un archivo, ya sea con la configuración y la función de drag and

drop, de aquí sigue dándole al menú de lo que sería al programa, una vez ya seleccionado,
se mostrará una ventana en la cual te mostrará los hashes que se están haciendo.

SHA-256:
512: En esta parte seleccionamos el SHA-512 y sale esto:
Hash en una carpeta:

Para realizar una cadena de hash en una carpeta y vea los documentos que se encuentran
de igual manera con drag and drop, lo seleccionamos desde el menú, en donde a mi me
aparecieron ARA,CERVEZA, etc.

Y los hashes a continuación se lo mostraré:

Cadena de hash en una imagen de disco:

A continuación ahora se hará una cadena de hash, en la cual seleccionaremos desde una
imagen de disco, y esperaremos a ver que pasa:
Y los shahes de 256:

Quickhash

Ahora para las dos herramientas de hash, utilizaré quick primero, pero para poder extraer la
información, primero es abrir el programa de quickhash como aparece a continuación.
Después en la parte de arriba del navegador aparece una opcion que dice File, en la cual
después seleccionaremos un archivo con el cual podamos trabajar y nos mostrará el
algoritmo de hash a continuación:
Se demostró la cadena de hash de un archivo con el programa de queckhasher.

Cadena de hash en una carpeta:

Para realizar una cadena de extracción de hash, con el programa Quick pero ahora
seleccionaremos al lado de File, Files.
Se abrió una carpeta de un usb naranja donde se encontraban varios archivos y su hash de
256, ya con el algoritmo identificado y hecho como el programa debió hacerlo.

Hash 256:
Cadena hash de una imagen iso:

Para la selección de la imagen en quickhash, nos vamos directo al abrir al programa y

despues de ahi, en el apartado de file, se selecciona un archivo de imagen en la cual se
requiere analizar tranquilamente y después el hash se encarga de sacar los segmentos que
se lleva a cabo:

Hash 256:

Fileverifier++
Cadena de hash en un archivo:

Para la realización de extraccion de hash, pero ahora será con fileverifier++, primero se
tiene que tener abierto el programa:
Para seleccionar un archivo, tenemos que seleccionar el botón de File, en la cual nos
dirigirá a las selecciones de archivo en la cual se requiera trabajar.
En la parte de arriba se está cargando el archivo y la carga de cuanto va a durar.

Aquí vemos el archivo ya terminado con el hash.

Cadena de Hash en una carpeta:

Para realizar la extracción de hash en una carpeta es muy fácil, tenemos que hacer lo
mismo pero ahora en en el buscador de Files, y de ahí seleccionaremos la carpeta que
queramos.
Cadena hash en una imagen iso:

Para realizar la cadena de hash, con el programa de fileverifier + +, se activa o se

selecciona un archivo en la cual se quiera trabajar el algoritmo de la imagen, y a
continuación se tiene que poner file, y seleccionaremos la imagen que queramos.

Hash 256:
Después, en la parte de arriba sale una memoria en la cual guardaremos algunos
documentos en el archivo de memoria, que es su nombre, configuraciones.

Volcado de memoria FTK

Para realizar el volcado de memoria ram, se tiene que abrir el programa primero.
Después, en la parte de arriba sale una memoria en la cual guardaremos algunos
documentos en el archivo de memoria, que es su nombre y configuraciones.

Finalmente se crea el archivo de dump con las siguientes características dentro de la

carpeta:
Se tardo un poco más de lo inesperado pero se creó la memoria dump.

Volcado de memoria Belksoft RAM Capturer

Primero se descarga el programa belksoft ram, para la ejecución de lo que sería el

volcado de memoria ram.

Se esta cargando:
Al finalizar el volcado de la memoria, la memoria adquirió algunos archivos:

Nota: se crearon 2 archivos de memoria.

Volcado de memoria Magnet Ram Capture

Para poder realizar el volcado de memoria ram, se tiene que dar en el programa y
aparecerá una consola y simplemente se tendrá que escribir lo que es la letra y
despues de como funciona:
Finamente se crea el programa con las adquisiciones del archivo y sus siguientes
características:

Conclusiones:

En esta práctica vista sobre las herramientas mencionadas de SHA-256, se tiene

que prevenir algunas seguridades en las fotos, archivos o las carpetas dañadas de
un archivo, en la cual se dan los metadatos y así ciertas investigaciones en la cual
se estan dando bien.
Algunos sha-256 como Quickhash File Verifier++ es una herramienta valiosa que
proporciona tranquilidad al permitir a los usuarios verificar de manera eficiente la
integridad de sus archivos. Es una opción sólida para aquellos que buscan una
solución sencilla pero efectiva para este propósito. Y por el volcado de memoria y
Belksoft RAM Capturer y Magnet RAM Capture es que ambas herramientas son
fundamentales en el campo de la informática forense y la ciberseguridad. Su
capacidad para adquirir volcados de memoria RAM de sistemas informáticos es
crucial para la investigación de incidentes de seguridad y la recuperación de datos.