Presentacion teórica practica

Software informática forense

Autopsy

Johan Manuel Tapia Bueno Ph.D.

INFOTEP

2023
 Tipo de Fuente de Datos Descripción
Una imagen de disco es un archivo único que contiene la copia
exacta, bit por bit, de un medio de almacenamiento. Los archivos
de máquinas virtuales contienen sistemas operativos completos y
Disk Image or VM File pueden ser analizados como si fueran computadoras reales.
Un disco local se refiere al disco duro físico o a una partición
dentro de la computadora en la que se ejecuta Autopsy. Puede
Local Disk ser analizado directamente.
Los archivos lógicos son aquellos archivos y carpetas accesibles
al sistema operativo y al usuario, sin necesidad de realizar una
Logical Files copia de todo el sistema de almacenamiento.
Este archivo contiene los espacios no asignados de un disco, que
son áreas que el sistema de archivos marca como vacías, pero
que pueden contener datos de archivos previamente eliminados
Unallocated Space Image File o residuales.
Resultados de una herramienta de Autopsy diseñada para
recopilar archivos y carpetas específicos, en lugar de crear una
Autopsy Logical Imager Results imagen completa del disco.
XRY es una herramienta de extracción de datos utilizada
principalmente para dispositivos móviles. Un export de texto XRY
XRY Text Export contiene datos extraídos y formateados en texto.
Tipo de
Fuente de
Datos Descripción Ejemplo Práctico
Archivo que contiene la copia
exacta de un medio de
almacenamiento o sistemas Analizar una imagen de disco descargada de una
Disk Image or operativos completos de computadora sospechosa para encontrar
VM File máquinas virtuales. malware.
Disco duro físico o partición
dentro de la computadora Examinar el disco duro del sistema en uso para
Local Disk donde se ejecuta Autopsy. identificar actividades recientes del usuario.
Archivos y carpetas accesibles
al sistema operativo y al Seleccionar y revisar documentos específicos y
Logical Files usuario. registros de sistema para auditoría de seguridad.
Espacios no asignados de un
Unallocated disco que pueden contener Recuperar archivos borrados del espacio no
Space Image datos de archivos eliminados o utilizado de un disco para investigaciones de
File residuales. ciberdelitos.
Resultados de la herramienta
Autopsy de Autopsy diseñada para Usar el Logical Imager para recolectar archivos
Logical Imager recopilar archivos y carpetas de registro de Windows durante un análisis en
Results específicos. vivo.
 Tipo de Fuente de Datos Descripción
Datos extraídos de dispositivos Importar un informe de XRY para revisar
XRY Text móviles y formateados en texto mensajes de texto y registros de llamadas de un
Export por la herramienta XRY. smartphone incautado.
Módulo Descripción Ejemplo Práctico
Analiza la actividad reciente del
sistema como historial de
navegación y archivos abiertos Revisar las últimas webs visitadas por un usuario
Recent Activity recientemente. en una computadora comprometida.
Compara los hash de los
archivos con bases de datos
conocidas para validar la
integridad o identificar Verificar si un archivo descargado está en una
Hash Lookup malware. lista de hashes de malware conocido.
Identifica el tipo de archivo
File Type basado en la firma del archivo, Determinar el formato real de archivos
Identification no solo en la extensión. descargados para descartar software malicioso.
... ... ...
Utiliza reglas YARA para Detectar patrones de malware en archivos
YARA Analyzer identificar y clasificar malware. sospechosos utilizando definiciones de YARA.
Analiza datos específicos de
iOS Analyzer dispositivos iOS utilizando la Obtener datos de un iPhone para investigar un
(iLEAPP) herramienta iLEAPP. caso de fraude o robo de identidad.
Analiza datos de dispositivos
Android Android para encontrar Revisar los registros de un teléfono Android para
Analyzer evidencia. evidencia en una investigación de acoso.
 Caso practico

El escenario es el siguiente: Joe Jacobs, de 28 años, fue arrestado ayer por cargos de vender drogas ilegales
a estudiantes de secundaria. Un oficial de policía local, haciéndose pasar por un estudiante de secundaria,
fue abordado por Jacobs en el estacionamiento de Smith Hill High School. Jacobs preguntó al policía
encubierto si le gustaría comprar algo de marihuana. Antes de que el policía encubierto pudiera responder,
Jacobs sacó algo de su bolsillo y se lo mostró. Jacobs le dijo al oficial: "Mira esto, ¡ni los colombianos
podrían cultivarlo mejor! Mi proveedor no solo me lo vende directamente, él mismo lo cultiva".

Se ha visto a Jacobs en numerosas ocasiones rondando en los estacionamientos de varias escuelas

secundarias locales alrededor de las 2:30 p.m., la hora en que la escuela generalmente termina por el día.
Funcionarios escolares de múltiples escuelas secundarias han llamado a la policía con respecto a la
presencia de Jacobs en su escuela y notaron un aumento en el consumo de drogas entre los estudiantes
desde su llegada.

La policía necesita tu ayuda. Quieren intentar determinar si Joe Jacobs ha estado vendiendo drogas a
estudiantes en otras escuelas además de Smith Hill. El problema es que ningún estudiante quiere salir
adelante y ayudar a la policía. Basándose en el comentario de Joe sobre los colombianos, la policía está
interesada en encontrar al proveedor/productor de marihuana de Joe Jacobs.

Jacobs ha negado vender drogas en cualquier otra escuela además de Smith Hill y se niega a proporcionar
a la policía el nombre de su proveedor/productor de drogas. Jacobs también se niega a validar la
declaración que hizo al oficial encubierto justo antes de su arresto. Al emitir una orden de registro y buscar
en la casa del sospechoso, la policía pudo obtener una pequeña cantidad de marihuana. La policía también
incautó un único disquete, pero no había ninguna computadora y/o otro medio presente en la casa.

La policía ha creado una imagen del disquete del sospechoso y te ha proporcionado una copia. Les gustaría
que examinaras el disquete y proporcionaras respuestas a las siguientes preguntas. La policía le gustaría
que prestes especial atención a cualquier información que pueda probar que Joe Jacobs estaba de hecho
vendiendo drogas en otras escuelas secundarias además de Smith Hill. También les gustaría que intentaras
determinar, si es posible, quién es el proveedor de Joe Jacobs.

Jacobs pagó la fianza establecida en $10,000.00. Temiendo que pueda huir de la ciudad, la policía quisiera
encerrarlo lo antes posible. Para hacerlo, la policía ha pedido que tengas los resultados completamente
finalizados y presentados para el 25 de octubre de 2002. Por favor, proporciona a la policía un caso sólido
que consista en tus hallazgos específicos relacionados con las preguntas, dónde se encuentran los
hallazgos en el disco, los procesos y técnicas utilizados, y cualquier acción que el sospechoso haya podido
tomar para eliminar, ocultar y/o alterar datos intencionalmente en el disquete. ¡Buena suerte!

Todos los nombres, ubicaciones y situaciones presentados son completamente ficticios. Cualquier parecido
con cualquier nombre, ubicación y/o situación es pura coincidencia.
Análisis forense digital de un caso real con
Autopsy

Herramientas utilizadas
En el desarrollo práctico de este ejercicio serán utilizadas las siguientes herramientas
especializadas para el análisis forense.

• Autopsy
• VMware Workstation 12 Pro
• Kali Linux ver 2.0
• Md5sum
• Archive Manager(Descompresión)
Desarrollo del Ejercicio
El desafió es analizar un disquete recuperado y contestar algunas preguntas. Para esto
tendrás que leer un informe de la policía simulando una investigación en el mundo real.
Además tendrás un poco de información de antecedentes y algunas pruebas.

wget https://raw.githubusercontent.com/SVelizDonoso/forense-autopsy/master/report.txt
A continuación se muestra la imagen del disquete dd recuperado. Esta es la imagen que
proporcionará las respuestas del caso.

wget https://github.com/SVelizDonoso/forense-autopsy/raw/master/image.zip
Descargar: image.zip MD5 = b676147f63923e1f428131d59b1d6a72 (image.zip)

Preguntas a Resolver en el caso:

• ¿Quién es el proveedor de marihuana de Joe Jacobs y cuál es su dirección?
• ¿Qué dato clave está disponible dentro del archivo coverpage.jpg?
• ¿Qué otras escuelas secundarios (si hay) adicionales a Smith Hill, frecuenta Joe
Jacobs?
• Para cada archivo recuperado, ¿qué proceso fue adelantado por el sospechoso para
ocultarlo en el disco?
• ¿Qué proceso realizó Ud. como investigador para examinar con éxito el contenido
completo de cada archivo?
• ¿Puede decir qué programa fue usado para crear el archivo coverpage.jpg? ¿Cómo lo
puede probar?

DEMOSTRACIÓN PRÁCTICA DEL EJERCICIO

FORENSE
El siguiente punto detalla las actividades realizadas paso a paso para obtener las respuestas
a las preguntas del punto anterior, nuevamente explico que el nombre del archivo y firma
md5 con la que trabajo yo es distinta, por lo que recomiendo seguir el ejercicio como una
guia y ustedes hacer el ejercicio con el archico que les indique descargar.
Para comenzar con la investigación. Se descarga una imagen con el nombre wetransfer-
680dbd.zip

Una vez descargado el archivo se procede a calcular su hash md5

Ahora creamos una copia del archivo para trabajar con él y no contaminar la evidencia
principal.

Calculamos el md5 del archivo copiaevidencia.zip para verificar que estamos trabajando con
una copia original de la evidencia.

Para trabajar con la imagen, vamos a descomprimir copiaevidencia.zip

Damos Click en Open With Archive Manager

Damos Click en Extract y vemos que tenemos un archivo que se llama image, la cual será la
imagen sobre la cual trabajaremos.

Procedemos a calcular su HASH md5

Ahora vamos a trabajar esta imagen sobre una herramienta especializada en análisis
forense. Para completar este paso abrimos una terminal y escribimos el comando autopsy.

Copiamos la URL que nos indican el programa y la pegamos en nuestro navegador con el
siguiente resultado.
Para iniciar un caso con autopsy damos Click sobre el botón que dice Open Case.

Una vez realizada esta tarea, nos aparecerá la siguiente pantalla

Ahora damos Click sobre el botón New Case

Y procedemos a llenar los datos del formulario.

Damos Click en New Case nuevamente y nos aparecerá la siguiente pantalla

Ahora vamos a dar Click en ADD HOST

Llenamos los campos del formulario y aceptamos.

Al agregar el nuevo host, nos aparecerá la siguiente pantalla

Ahora nos queda agregar la evidencia a revisar.

Ahora damos Click en Next.

seleccionamos Volume System Type Dos

Damos Ok.
Ahora procedemos a completar el formulario.

Seleccionamos calcular Hash y comprobamos la integridad de nuestra evidencia.

Damos Ok y comienza el inicio del análisis ya que tenemos la evidencia cargada en nuestro
sistema con los procedimientos forenses adecuados.
Esta es la pantalla del inicio de análisis.

Para comenzar damos Click en el link Details y procedemos a crear los índices de búsqueda.

Imagen antes de los índices de búsqueda:

Para trabajar con la imagen damos Click sobre los botones Extract String y Extract
Unallocated.

Después de este proceso de verificación damos Click sobre el botón Close que se encuentra
al final del formulario y nos salimos de esta pantalla.
Ahora volvemos a verificar como quedo la imagen después de trabajar sobre ella.

Si el paso anterior lo seguimos bien deberíamos estar en la siguiente pantalla nuevamente.

Ahora Damos Click sobre el botón Analyze

Y damos Click en el botón Image Details

Con esto verificamos el tamaño del cluster, direcciones de memoria, metadatos y
informacion volumen, FAT contents nos indica los sectores que contienen datos del diskett.

Ahora damos click en el boton que dice File Analyze y nos deberia llegar a la siguiente
Pantalla
Examinar cada uno de los archivos.

Archivo Cover page.jpgc

Damos click en HEX DISPLAY y verificamos que este archivo no es reconocido como un
.jpeg , ya que si fuese de esta forma tendría los valores en HEX FF D8.
Ahora Vamos a visualizar los metadatos de esta imagen dando click en Meta

Tendremos la siguiente información en pantalla.

La evidencia nos señala la siguiente inconsistencia:
El archivo posee un tamaño de 15585 bytes, sin embargo sólo se tiene un sector de 451
bytes asignado sobre 512 bytes correspondiente al tamaño de los sectores en FAT 12.

Procedemos entonces al cálculo del archivo:

• Tamaño archivo 15585 bytes

• Tamaño FAT 12 512 bytes
• Sectores a Ocupar = (Tamaño archivo + Tamaño FAT -1) / Tamaño FAT

Es decir: (15585 + 511) /512= 31

Por lo tanto, debemos ocupar 31 sectores para reconstruir la imagen.

Ahora procedemos a buscar una firma JPEG JFIF desde el sector 451 en sentido inverso, es
decir, primero revisar el sector 451, después 450, después 449 hasta llegar al sector 73
donde encontramos una coincidencia con el contenido JI IF.
Como en el análisis FAT CONTENTS encontramos 31 sectores, significa que desde el inicio
de la imagen debemos comenzar de sector 72 + 31 esto nos 103, es decir, del sector 73 al
103.

Damos click en View e inmediatamente el sistema reconoce el conjunto de byte donde se

encuentra grabada la imagen en el disco que pertenecen a el archivo JPEG. Ahora
procedemos a extraer la imagen dando Click en Export Content

Nos aparecerá la siguiente Imagen.

Damos Click en Save File y Cambiamos la imagen de .raw a .jpeg

Guardamos el archivo y Damos Click sobre la imagen y visualizamos el contenido.

Análisis Archivo Jimmy Jungle.doc

En la primera visualización Autopsy, reconoce este archivo como eliminado y de extensión
.doc

Ahora procedemos a verificar los metadatos del archivo dando Click sobre el link Meta.

Verificamos sus datos para proceder al cálculo del número de bloques necesarios para
extraer el archivo
Entonces procedemos al Cálculo del archivo:
Números de sectores del archivo

• Desde sector 32
• Hasta Sector 72

Numero de sectores 72 – 32 = 40

Con los datos obtenidos vamos al bloque 33, completamos el formulario y damos Click a
View
La operación anterior debería haber mostrado la siguiente pantalla.

Damos Click en Export Contents

Damos Click en Guardar archivo

Cambiamos de extensión raw a Doc y guardamos

Y damos Click sobre el para verificar el contenido.

Análisis Archivo Schedueld Visits.exe

Damos Click sobre el archivo y verificamos los resultados entregados por la aplicación.
Ingresamos a Verificar sus metadatos.

Resultados de la apantalla metadatos

En la pantalla nos indica que el tamaño del archivo es de 1000 y que utiliza dos sectores
104 y 105.

Entonces procedemos al Cálculo del archivo:

Números de sectores del archivo:

Desde sector 103 à Hasta Sector 105

Numero de sectores 103 – 105 = 2

Con los datos obtenidos vamos al bloque 2, completamos el formulario y damos Click a
View
Procedemos a calcular el archivo

Según los datos del bloque 104 y 105 indica que hay un archivo de nombre Scheduled
Visits.xls

Ahora damos Click a Export Contents

Guardamos el archivo con extensión .zip y procedemos a extraer contenidos.

La siguiente imagen nos demuestra que el archivo esta corrupto por lo que nos hacen falta
más bloques para lograr crear el contenido.

Como tuvimos este tipo de problemas al encontrar que el archivo no estaba completo,
revisamos la evidencia y descubrimos que desde el bloque 106 a 108 estaban resto de otro
archivo y tiene la coincidencia que también lleva adentro el archivo Scheduled Visits.xls
Entonces ya con esta información procedemos a extraer desde el bloque 104 a 108,
nuevamente damos Click a Export Contents

el siguiente nombre para diferenciar de la descarga anterior y damos Click a guardar

Procedemos a extraer el contenido y verificamos que adentro de este archivo encontramos
un archivo con nombre Scheduled Visits.xls

Lo extraemos y verificamos su contenido.

Nos damos cuenta que para exportar el archivo se necesita una clave.

Al no saber dónde encontrar la clave, nuevamente verificamos las evidencias obtenidas. El

primer paso es revisar desde el archivo jpeg y luego el doc para ver si pasamos por alto
algún dato relevante que nos pueda indicar si la contraseña se encuentra dentro del
diskette.

Comenzamos revisando el archivo jpeg y nos dimos cuenta que al final de la imagen existe
la palabra pw que hace referencia a password.
Pasamos el contenido de HEX a string para visualizar mejor el contenido y vemos que dice
pw=goodtimes
Procedemos a ingresar esta clave, primero ingresaremos en el archivo zip goodtimes y si
esta contraseña no sirve, ingresaremos el texto completo pw=goodtimes

Nos indica que la extracción fue realizada con éxito

Y damos doble Click para verificar su contenido.
Respuestas al Caso

¿Quién es el proveedor de marihuana de Joe Jacobs y cuál es su dirección?

El proveedor es Jimmy Jungle. La dirección es 626 Jungle Ave, Apt 2, Jungle, NY 11111.

¿Qué dato clave está disponible dentro del archivo coverpage.jpg?

Dentro del archivo “coverpage.jpg”, en la parte final de las unidades de asignación del
archivo se encuentra el texto “pw=gootimes” el cual corresponde a la contraseña del
archivo protegido “Scheduled Visit.exe”.
¿Qué otras escuelas secundarios (si hay) adicionales a Smith Hill, frecuenta Joe Jacobs?
Frecuenta los siguientes establecimientos
secundarios adicionales:

• Key High School (B)

• Leetch High School (C)
• Birard High School (D)
• Richter High School (E)
• Hull High School (F)

Para cada archivo recuperado, ¿qué proceso fue adelantado por el sospechoso para
ocultarlo en el disco?

Borrado de archivo “Jimmy Jungle.doc” Compresión, protección por contraseña y cambio de

extensión del archivo “Schedule Visits.exe”.

¿Qué proceso realizó Ud. como investigador para examinar con éxito el contenido completo
de cada archivo?

Recuperación y visualización directa con herramienta Autopsy del archivo “Jimmy

Jungle.doc” Extracción con la herramienta Archive Manager a partir de la correcta estructura
del directorio FAT12 del archivo “Scheduled Visits.exe”. Descompresión mediante
herramienta Winzip y utilización de Excel para visualizar la planilla.

¿Puede decir qué programa fue usado para crear el archivo coverpage.jpg? ¿Cómo lo puede
probar?

Se puede deducir que el archivo fue creado mediante una aplicación de Microsoft que
maneje conversión de formatos gráficos o escaneo de imágenes. Esta hipótesis se puede
probar (en parte para descartar), convirtiendo un archivo BMP a JPG con cualquier otra
herramienta distinta a las mencionadas, corroborando así que no es posible generar
bloques de comentarios.

Autor