Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Caso de Autopsy Johan T Bueno
Caso de Autopsy Johan T Bueno
Autopsy
INFOTEP
2023
Tipo de Fuente de Datos Descripción
Una imagen de disco es un archivo único que contiene la copia
exacta, bit por bit, de un medio de almacenamiento. Los archivos
de máquinas virtuales contienen sistemas operativos completos y
Disk Image or VM File pueden ser analizados como si fueran computadoras reales.
Un disco local se refiere al disco duro físico o a una partición
dentro de la computadora en la que se ejecuta Autopsy. Puede
Local Disk ser analizado directamente.
Los archivos lógicos son aquellos archivos y carpetas accesibles
al sistema operativo y al usuario, sin necesidad de realizar una
Logical Files copia de todo el sistema de almacenamiento.
Este archivo contiene los espacios no asignados de un disco, que
son áreas que el sistema de archivos marca como vacías, pero
que pueden contener datos de archivos previamente eliminados
Unallocated Space Image File o residuales.
Resultados de una herramienta de Autopsy diseñada para
recopilar archivos y carpetas específicos, en lugar de crear una
Autopsy Logical Imager Results imagen completa del disco.
XRY es una herramienta de extracción de datos utilizada
principalmente para dispositivos móviles. Un export de texto XRY
XRY Text Export contiene datos extraídos y formateados en texto.
Tipo de
Fuente de
Datos Descripción Ejemplo Práctico
Archivo que contiene la copia
exacta de un medio de
almacenamiento o sistemas Analizar una imagen de disco descargada de una
Disk Image or operativos completos de computadora sospechosa para encontrar
VM File máquinas virtuales. malware.
Disco duro físico o partición
dentro de la computadora Examinar el disco duro del sistema en uso para
Local Disk donde se ejecuta Autopsy. identificar actividades recientes del usuario.
Archivos y carpetas accesibles
al sistema operativo y al Seleccionar y revisar documentos específicos y
Logical Files usuario. registros de sistema para auditoría de seguridad.
Espacios no asignados de un
Unallocated disco que pueden contener Recuperar archivos borrados del espacio no
Space Image datos de archivos eliminados o utilizado de un disco para investigaciones de
File residuales. ciberdelitos.
Resultados de la herramienta
Autopsy de Autopsy diseñada para Usar el Logical Imager para recolectar archivos
Logical Imager recopilar archivos y carpetas de registro de Windows durante un análisis en
Results específicos. vivo.
Tipo de Fuente de Datos Descripción
Datos extraídos de dispositivos Importar un informe de XRY para revisar
XRY Text móviles y formateados en texto mensajes de texto y registros de llamadas de un
Export por la herramienta XRY. smartphone incautado.
Módulo Descripción Ejemplo Práctico
Analiza la actividad reciente del
sistema como historial de
navegación y archivos abiertos Revisar las últimas webs visitadas por un usuario
Recent Activity recientemente. en una computadora comprometida.
Compara los hash de los
archivos con bases de datos
conocidas para validar la
integridad o identificar Verificar si un archivo descargado está en una
Hash Lookup malware. lista de hashes de malware conocido.
Identifica el tipo de archivo
File Type basado en la firma del archivo, Determinar el formato real de archivos
Identification no solo en la extensión. descargados para descartar software malicioso.
... ... ...
Utiliza reglas YARA para Detectar patrones de malware en archivos
YARA Analyzer identificar y clasificar malware. sospechosos utilizando definiciones de YARA.
Analiza datos específicos de
iOS Analyzer dispositivos iOS utilizando la Obtener datos de un iPhone para investigar un
(iLEAPP) herramienta iLEAPP. caso de fraude o robo de identidad.
Analiza datos de dispositivos
Android Android para encontrar Revisar los registros de un teléfono Android para
Analyzer evidencia. evidencia en una investigación de acoso.
Caso practico
El escenario es el siguiente: Joe Jacobs, de 28 años, fue arrestado ayer por cargos de vender drogas ilegales
a estudiantes de secundaria. Un oficial de policía local, haciéndose pasar por un estudiante de secundaria,
fue abordado por Jacobs en el estacionamiento de Smith Hill High School. Jacobs preguntó al policía
encubierto si le gustaría comprar algo de marihuana. Antes de que el policía encubierto pudiera responder,
Jacobs sacó algo de su bolsillo y se lo mostró. Jacobs le dijo al oficial: "Mira esto, ¡ni los colombianos
podrían cultivarlo mejor! Mi proveedor no solo me lo vende directamente, él mismo lo cultiva".
La policía necesita tu ayuda. Quieren intentar determinar si Joe Jacobs ha estado vendiendo drogas a
estudiantes en otras escuelas además de Smith Hill. El problema es que ningún estudiante quiere salir
adelante y ayudar a la policía. Basándose en el comentario de Joe sobre los colombianos, la policía está
interesada en encontrar al proveedor/productor de marihuana de Joe Jacobs.
Jacobs ha negado vender drogas en cualquier otra escuela además de Smith Hill y se niega a proporcionar
a la policía el nombre de su proveedor/productor de drogas. Jacobs también se niega a validar la
declaración que hizo al oficial encubierto justo antes de su arresto. Al emitir una orden de registro y buscar
en la casa del sospechoso, la policía pudo obtener una pequeña cantidad de marihuana. La policía también
incautó un único disquete, pero no había ninguna computadora y/o otro medio presente en la casa.
La policía ha creado una imagen del disquete del sospechoso y te ha proporcionado una copia. Les gustaría
que examinaras el disquete y proporcionaras respuestas a las siguientes preguntas. La policía le gustaría
que prestes especial atención a cualquier información que pueda probar que Joe Jacobs estaba de hecho
vendiendo drogas en otras escuelas secundarias además de Smith Hill. También les gustaría que intentaras
determinar, si es posible, quién es el proveedor de Joe Jacobs.
Jacobs pagó la fianza establecida en $10,000.00. Temiendo que pueda huir de la ciudad, la policía quisiera
encerrarlo lo antes posible. Para hacerlo, la policía ha pedido que tengas los resultados completamente
finalizados y presentados para el 25 de octubre de 2002. Por favor, proporciona a la policía un caso sólido
que consista en tus hallazgos específicos relacionados con las preguntas, dónde se encuentran los
hallazgos en el disco, los procesos y técnicas utilizados, y cualquier acción que el sospechoso haya podido
tomar para eliminar, ocultar y/o alterar datos intencionalmente en el disquete. ¡Buena suerte!
Todos los nombres, ubicaciones y situaciones presentados son completamente ficticios. Cualquier parecido
con cualquier nombre, ubicación y/o situación es pura coincidencia.
Análisis forense digital de un caso real con
Autopsy
Herramientas utilizadas
En el desarrollo práctico de este ejercicio serán utilizadas las siguientes herramientas
especializadas para el análisis forense.
• Autopsy
• VMware Workstation 12 Pro
• Kali Linux ver 2.0
• Md5sum
• Archive Manager(Descompresión)
Desarrollo del Ejercicio
El desafió es analizar un disquete recuperado y contestar algunas preguntas. Para esto
tendrás que leer un informe de la policía simulando una investigación en el mundo real.
Además tendrás un poco de información de antecedentes y algunas pruebas.
wget https://raw.githubusercontent.com/SVelizDonoso/forense-autopsy/master/report.txt
A continuación se muestra la imagen del disquete dd recuperado. Esta es la imagen que
proporcionará las respuestas del caso.
wget https://github.com/SVelizDonoso/forense-autopsy/raw/master/image.zip
Descargar: image.zip MD5 = b676147f63923e1f428131d59b1d6a72 (image.zip)
Ahora creamos una copia del archivo para trabajar con él y no contaminar la evidencia
principal.
Calculamos el md5 del archivo copiaevidencia.zip para verificar que estamos trabajando con
una copia original de la evidencia.
Damos Click en Extract y vemos que tenemos un archivo que se llama image, la cual será la
imagen sobre la cual trabajaremos.
Ahora vamos a trabajar esta imagen sobre una herramienta especializada en análisis
forense. Para completar este paso abrimos una terminal y escribimos el comando autopsy.
Copiamos la URL que nos indican el programa y la pegamos en nuestro navegador con el
siguiente resultado.
Para iniciar un caso con autopsy damos Click sobre el botón que dice Open Case.
Damos Ok.
Ahora procedemos a completar el formulario.
Damos Ok y comienza el inicio del análisis ya que tenemos la evidencia cargada en nuestro
sistema con los procedimientos forenses adecuados.
Esta es la pantalla del inicio de análisis.
Para comenzar damos Click en el link Details y procedemos a crear los índices de búsqueda.
Para trabajar con la imagen damos Click sobre los botones Extract String y Extract
Unallocated.
Después de este proceso de verificación damos Click sobre el botón Close que se encuentra
al final del formulario y nos salimos de esta pantalla.
Ahora volvemos a verificar como quedo la imagen después de trabajar sobre ella.
Ahora damos click en el boton que dice File Analyze y nos deberia llegar a la siguiente
Pantalla
Examinar cada uno de los archivos.
Damos click en HEX DISPLAY y verificamos que este archivo no es reconocido como un
.jpeg , ya que si fuese de esta forma tendría los valores en HEX FF D8.
Ahora Vamos a visualizar los metadatos de esta imagen dando click en Meta
Ahora procedemos a buscar una firma JPEG JFIF desde el sector 451 en sentido inverso, es
decir, primero revisar el sector 451, después 450, después 449 hasta llegar al sector 73
donde encontramos una coincidencia con el contenido JI IF.
Como en el análisis FAT CONTENTS encontramos 31 sectores, significa que desde el inicio
de la imagen debemos comenzar de sector 72 + 31 esto nos 103, es decir, del sector 73 al
103.
Ahora procedemos a verificar los metadatos del archivo dando Click sobre el link Meta.
Verificamos sus datos para proceder al cálculo del número de bloques necesarios para
extraer el archivo
Entonces procedemos al Cálculo del archivo:
Números de sectores del archivo
• Desde sector 32
• Hasta Sector 72
Numero de sectores 72 – 32 = 40
Con los datos obtenidos vamos al bloque 33, completamos el formulario y damos Click a
View
La operación anterior debería haber mostrado la siguiente pantalla.
Damos Click sobre el archivo y verificamos los resultados entregados por la aplicación.
Ingresamos a Verificar sus metadatos.
Con los datos obtenidos vamos al bloque 2, completamos el formulario y damos Click a
View
Procedemos a calcular el archivo
Según los datos del bloque 104 y 105 indica que hay un archivo de nombre Scheduled
Visits.xls
La siguiente imagen nos demuestra que el archivo esta corrupto por lo que nos hacen falta
más bloques para lograr crear el contenido.
Como tuvimos este tipo de problemas al encontrar que el archivo no estaba completo,
revisamos la evidencia y descubrimos que desde el bloque 106 a 108 estaban resto de otro
archivo y tiene la coincidencia que también lleva adentro el archivo Scheduled Visits.xls
Entonces ya con esta información procedemos a extraer desde el bloque 104 a 108,
nuevamente damos Click a Export Contents
Comenzamos revisando el archivo jpeg y nos dimos cuenta que al final de la imagen existe
la palabra pw que hace referencia a password.
Pasamos el contenido de HEX a string para visualizar mejor el contenido y vemos que dice
pw=goodtimes
Procedemos a ingresar esta clave, primero ingresaremos en el archivo zip goodtimes y si
esta contraseña no sirve, ingresaremos el texto completo pw=goodtimes
El proveedor es Jimmy Jungle. La dirección es 626 Jungle Ave, Apt 2, Jungle, NY 11111.
Dentro del archivo “coverpage.jpg”, en la parte final de las unidades de asignación del
archivo se encuentra el texto “pw=gootimes” el cual corresponde a la contraseña del
archivo protegido “Scheduled Visit.exe”.
¿Qué otras escuelas secundarios (si hay) adicionales a Smith Hill, frecuenta Joe Jacobs?
Frecuenta los siguientes establecimientos
secundarios adicionales:
Para cada archivo recuperado, ¿qué proceso fue adelantado por el sospechoso para
ocultarlo en el disco?
¿Qué proceso realizó Ud. como investigador para examinar con éxito el contenido completo
de cada archivo?
¿Puede decir qué programa fue usado para crear el archivo coverpage.jpg? ¿Cómo lo puede
probar?
Se puede deducir que el archivo fue creado mediante una aplicación de Microsoft que
maneje conversión de formatos gráficos o escaneo de imágenes. Esta hipótesis se puede
probar (en parte para descartar), convirtiendo un archivo BMP a JPG con cualquier otra
herramienta distinta a las mencionadas, corroborando así que no es posible generar
bloques de comentarios.
Autor