Modulo 05 – Defeating Anti-forensics Techniques

Defeating Anti-forensics
Techniques
Modulo 05
 Modulo 05 – Defeating Anti-forensics Techniques

Defeating Anti-forensics Techniques

Escenario del Laboratorio

Para investigar delitos cibernéticos, como investigador forense, debe poder recopilar y
analizar evidencias de los sistemas de las víctimas o los atacantes. Los atacantes intentan
evitar ser detectados mediante procesos forenses aplicando algunas técnicas
antiforenses que dañan las pruebas, ocultan las vías utilizadas y eliminan los datos
extraídos de los sistemas de las víctimas. Debe conocer dichas técnicas y su impacto en
las pruebas y los sistemas.
Objetivos del Laboratorio
El objetivo de este laboratorio es proporcionar conocimientos especializados sobre lo
siguiente:

• Extracción de archivos de unidades de estado sólido (SSD) en sistemas de

archivos de Windows y Linux
• Recuperación de particiones perdidas/eliminadas y sus contenidos
• Descifrado de contraseñas de varias aplicaciones
• Detección de esteganografía
• Detección de flujos de datos ocultos
• Detección de desajustes de extensiones de archivos
• Descompresión de empaquetadores de programas

Entorno del Laboratorio

Para realizar el laboratorio se necesita:

• Una computadora que ejecuta máquinas virtuales Windows 11, Ubuntu y

Windows Server 2022
• Un navegador web con acceso a Internet.
• Privilegios administrativos para ejecutar herramientas
Duración del Laboratorio
Tiempo: 185 minutos

Descripción General de las Técnicas Antiforenses para Derrotarlas

Existen distintos tipos de técnicas antiforenses, como la eliminación de datos o archivos,
la limpieza o sobrescritura de datos y metadatos, la corrupción o desmagnetización, los
sistemas de archivos criptográficos, la protección con contraseña, etc.
Los investigadores forenses deben superar o derrotar las técnicas antiforenses para
poder obtener pruebas concretas y precisas que ayuden a identificar y procesar a los
perpetradores.
Tareas del Laboratorio
Laboratorios recomendados para ayudarle en la adquisición y duplicación de datos:
 Modulo 05 – Defeating Anti-forensics Techniques

• Tallado de archivos SSD en un sistema de archivos de Windows

• Taladro de archivos SSD en un sistema de archivos de Linux
• Recuperación de datos de una partición de disco perdida o eliminada
• Recuperación de datos de una partición eliminada y fusionada con otra partición
• Extracción de hashes de contraseñas del sistema de destino mediante pwdump
• Descifrado de contraseñas de aplicaciones
• Detección de esteganografía
• Detección de flujos de datos alternativos
• Detección de incompatibilidad de extensiones de archivo
• Descompresión de empaquetadores de programas
Análisis del Laboratorio
Analice y documente los resultados relacionados con este ejercicio de laboratorio. Dé
una opinión sobre la postura de seguridad de su objetivo.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
1
Tallado de Archivos SSD en un Sistema de Archivos de Windows
Escenario del Laboratorio
Sam, un investigador forense, debe realizar un tallado de archivos en un archivo de
imagen forense de un SSD adquirido de un sistema de archivos de Windows. Los agentes
de la ley adquirieron la imagen de la máquina de un sospechoso acusado de realizar
actividades nefastas. Ahora, el investigador forense debe utilizar técnicas de tallado de
archivos para recuperar más datos relacionados con el caso. Para ello, el investigador
debe poseer conocimientos de la estructura del sistema de archivos para identificar y
recuperar archivos y fragmentos de archivos del espacio no asignado del SSD en
ausencia de metadatos de archivo.
Como investigador forense, debe saber cómo realizar el tallado de archivos SSD en un
sistema de archivos de Windows.
Objetivos del Laboratorio
La extracción de archivos es una técnica para recuperar archivos y fragmentos de
archivos de espacio no asignado en el disco duro en ausencia de metadatos de archivos.
El objetivo de este laboratorio es ayudarlo a comprender cómo realizar la extracción de
archivos SSD en un sistema de archivos de Windows.
Entorno del Laboratorio
Este laboratorio requiere:

• Un sistema que ejecuta una máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 40 minutos
Descripción General del Laboratorio
Este laboratorio le permitirá familiarizarse con la herramienta Autopsy para Windows y
le ayudará a comprender cómo la función TRIM influye en la posibilidad de recuperación
de datos en un SSD. También le ayudará a aprender a recuperar datos de un sistema de
 Modulo 05 – Defeating Anti-forensics Techniques

archivos de Windows en un SSD cuando la función TRIM está deshabilitada. En otras

palabras, en este laboratorio realizaremos la extracción de archivos SSD en un sistema
de archivos de Windows.
Tareas del Laboratorio
1. Encienda la máquina virtual Windows Server 2022 y presione Ctrl+Alt+Supr.
2. De manera predeterminada, está seleccionado el perfil de usuario
Administrator. Escriba Pa$$w0rd en el campo Contraseña y presione Entrar para
iniciar sesión.
Nota: Si aparece el panel Redes, haga clic en Yes para permitir que su PC sea
detectable por otras PC y dispositivos en esta red.

3. En este laboratorio, utilizaremos Autopsy para examinar imágenes SSD con TRIM
habilitado y con TRIM deshabilitado de evidencia basada en Windows.
4. Para instalar Autopsy, navegue a E:\CHFI-Tools\CHFIv11 Module 03
Understanding Hard Disks and File Systems\File System Analysis
Tools\Autopsy, haga doble clic en el instalador [Link] y siga
los pasos de instalación guiados por el asistente para completar el proceso de
instalación.
Nota: Si aparece una ventana emergente Abrir archivo - Seguridad, haga clic en
Run.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: En caso de cancelar la instancia de laboratorio, asegúrese de instalar

Autopsy en su máquina virtual Windows Server 2022 en los próximos
laboratorios que requieran Autopsy para su análisis.
5. Una vez que se complete la instalación, haga clic en Finish para salir del asistente
de configuración.

6. Una vez completada la instalación, haga doble clic en el ícono de acceso directo
de Autopsy 4.21.0 en el Escritorio.

7. Aparece la ventana de Welcome de Autopsy junto con la ventana principal de

Autopsy en segundo plano. En la ventana Welcome, haga clic en New Case.
Nota: Si aparece una ventana emergente de información, haga clic en Ok.
 Modulo 05 – Defeating Anti-forensics Techniques

8. Se abre una ventana de New Case Information, en la que se le solicita que

proporcione el Case Name y Base Directory. El directorio base es la ubicación
donde se almacenarán los datos del caso. El nombre del caso se puede ingresar
de acuerdo con su propósito de identificación. En este laboratorio, asignamos el
nombre del caso como SSD File Carving (Windows, TRIM enabled).
9. Crearemos una nueva carpeta (aquí, Image File Analysis) en el escritorio y
guardaremos los datos del caso en esa carpeta. Haga clic en Browse para
seleccionar esta carpeta como Base Directory y haga clic en Next.
Nota: Puede hacer clic en el ícono Create New Folder en el cuadro de diálogo
Select y crear una nueva carpeta.
 Modulo 05 – Defeating Anti-forensics Techniques

10. Aparece la sección Información opcional. Proporcione el Case Number y

Examiner Details(aquí, hemos proporcionado el Case Number como 101). Puede
ingresar sus datos en la sección Examinador. Haga clic en Finish.
 Modulo 05 – Defeating Anti-forensics Techniques

11. La aplicación tarda un tiempo en crear el caso. Después de la creación del caso,
aparece la ventana Add Data Source, donde se muestra la sección Select Host.
Deje la selección predeterminada en la sección Select Hot y haga clic en Next.

12. En la sección Select Data Source Type, asegúrese de que la opción Disk Image or
VM File esté seleccionada y haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

13. Ahora aparecerá la sección Select Data Source. Haga clic en Browse.

14. Aparecerá una ventana Open. Navegue hasta la ubicación E:\CHFI-

Tools\Evidence Files\Forensic Images, seleccione el archivo
Windows_Evidence_SSD_TE.dd y haga clic en Open.
 Modulo 05 – Defeating Anti-forensics Techniques

15. La sección Select Data Source ahora muestra la ruta al archivo

Windows_Evidence_SSD_TE.dd en el campo Path. Haga clic en Next.

16. La ventana Add Data Source ahora muestra la sección Configure Ingest Modules,
que contiene una lista de opciones que están marcadas. Seleccione estas
opciones según sus necesidades. También puede dejar estas opciones
configuradas como predeterminadas. Haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

17. Aparece la sección Add Data Source, que muestra el siguiente mensaje: Data
Source has been added to the local database. Files are being analyzed. Se están
analizando los archivos. Haga clic en Finish.
Nota: La herramienta Autopsy tardará un tiempo en analizar el archivo de
imagen. Vea el estado en la esquina inferior derecha de la ventana Autopsy. Una
vez que se completa el análisis, el estado desaparece.

18. La aplicación lo llevará ahora a su ventana principal. Expanda el nodo Data

Sources en el panel izquierdo de la ventana. La opción DATA sOURCES muestra
el nombre del archivo de imagen que ha analizado (en este caso, es
Windows_Evidence_SSD_TE.dd).
 Modulo 05 – Defeating Anti-forensics Techniques

19. Haga clic en el nombre del archivo de imagen (Windows_Evidence_SSD_TE.dd)

para ver su contenido en el panel derecho de la ventana de herramientas. El
archivo de imagen contiene carpetas que almacenan datos relacionados con
archivos, procesos, servicios, herramientas, etc., almacenados/utilizados en un
sistema Windows.
Nota: Autopsy utiliza la mayoría de los recursos de la máquina virtual mientras
escanea la imagen. La máquina podría no responder hasta que se complete el
escaneo. Se recomienda no acceder a la máquina hasta que se complete el
escaneo.

20. También puede ver estos contenidos expandiendo el archivo de imagen. Ahora,
expanda el nodo de imagen.
21. Nuestro objetivo aquí es recuperar archivos tallados. La herramienta tarda entre
10 y 15 minutos en analizar la imagen e intenta recuperar archivos eliminados y
tallados de la imagen.
22. Sin embargo, dado que este es un caso que implica el uso de un archivo de
imagen SSD con TRIM habilitado como archivo de evidencia, observamos que la
herramienta no talla ningún archivo. Por lo tanto, esto demuestra que el tallado
de archivos no es posible cuando TRIM está habilitado en un archivo de imagen
SSD. Ahora puede cerrar todas las ventanas relacionadas con Autopsy.
23. Ahora pasaremos a recuperar datos de un archivo de imagen SSD con TRIM
deshabilitado. Los pasos a continuación describen la creación de archivos SSD
en un sistema de archivos Windows cuando TRIM está deshabilitado.
24. Cierre la herramienta Autopsy y vuelva a iniciarla haciendo doble clic en el icono
de acceso directo de la herramienta ubicado en el escritorio.
 Modulo 05 – Defeating Anti-forensics Techniques

25. Se abrirá la ventana principal de Autopsy, junto con su ventana de bienvenida.

26. Haga clic en la opción New Case en la ventana Welcome.

27. Se abre una ventana de New Case Information, en la que se le solicita que
ingrese el Case Name y Base Directory. El directorio base es la ubicación donde
se almacenarán los datos del caso. El nombre del caso se puede ingresar de
acuerdo con su propósito de identificación. En este laboratorio, asignamos el
nombre del caso como SSD File Carving (Windows, TRIM deshabilitado).
28. Guardaremos los datos del caso en la carpeta Image File Analysis ubicada en el
escritorio. Ahora, seleccione esta carpeta como Base Directory y haga clic en
Next.
Nota: En la sección Información del nuevo caso, la carpeta Análisis de archivos
de imagen está seleccionada de manera predeterminada porque seleccionamos
esta carpeta al realizar el SSD File Carving (Windows, TRIM habilitado) en los
pasos anteriores.
 Modulo 05 – Defeating Anti-forensics Techniques

29. Aparece la sección Información opcional. Proporcione el Case Number y los

Examiner Details (aquí, hemos ingresado el número de caso como 102). Puede
ingresar sus datos en la sección Examiner. Haga clic en Finish.

30. La aplicación tarda un tiempo en crear el caso. Luego de la creación del caso
aparece la ventana Add Data Source, donde se muestra la sección Select Host,
deje la selección predeterminada en la sección Select Host y haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

31. En la sección Select Data Source Type, asegúrese de que la opción Disk Image or
VM File esté seleccionada y haga clic en Next.

32. Aparecerá la sección Select Data Source. Haga clic en Browse.

 Modulo 05 – Defeating Anti-forensics Techniques

33. Aparecerá una ventana Abrir. Navegue hasta la ubicación E:\CHFI-

Tools\Evidence Files\Forensic Images, seleccione el archivo
Windows_Evidence_SSD_TD.dd y haga clic en Open.

34. La sección Select Data Source ahora muestra la ruta al archivo

Windows_Evidence_SSD_TD.dd. Haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

35. La ventana Add Data Source ahora muestra la sección Configure Ingest Modules,
que contiene una lista de opciones que están marcadas. Seleccione las opciones
según sus necesidades. También puede dejar estas opciones configuradas como
predeterminadas. Haga clic en Next.

36. Ahora aparece la sección Add Data Source con un mensaje que dice Data Source
has been added to the local database. File are being analyzed. Haga clic en
Finish.
Nota: La herramienta tardará un tiempo en analizar la imagen.
 Modulo 05 – Defeating Anti-forensics Techniques

37. La aplicación ahora te lleva a su ventana principal. Expande el nodo Data Sources
en el panel izquierdo. La opción Data Sources muestra el nombre del archivo de
imagen que has analizado (en este caso, es Windows_Evidence_SSD_TD.dd).
38. Haga clic en el nombre del archivo de imagen (aquí,
Windows_Evidence_SSD_TD.dd) para ver su contenido en el panel derecho de
la ventana de herramientas. El archivo de imagen contiene carpetas que
almacenan datos relacionados con archivos, procesos, servicios, herramientas,
etc., almacenados o utilizados en un sistema Windows.
Nota: Autopsy utiliza la mayoría de los recursos de la máquina virtual mientras
escanea la imagen. La máquina podría no responder hasta que se complete el
escaneo. Se recomienda no acceder a la máquina hasta que se complete el
escaneo.
 Modulo 05 – Defeating Anti-forensics Techniques

39. Aquí, el objetivo de nuestra tarea es recuperar los archivos tallados. La

herramienta tarda entre 10 y 15 minutos en cargar la carpeta CarvedFiles. Al
cargar la carpeta CarvedFiles, la herramienta la muestra tanto en el panel
derecho de la ventana como debajo del nodo Windows_Evidence_SSD_TD.dd,
si lo expande.

40. Para encontrar los archivos tallados, haga doble clic en la carpeta CarvedFiles en
el panel derecho de la ventana, luego haga doble clic en la carpeta denominada
1. La herramienta enumera una serie de archivos tallados, todos ellos
identificados por una marca de cruz junto con un icono de cuchillo junto a los
nombres de los archivos.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Una vez que se hayan cargado los archivos tallados, también los
encontrará en la opción Deleted Files. Expanda el nodo Deleted Files para
encontrar la categoría All debajo. Seleccione Todos y luego desplácese hacia
abajo en la lista de archivos en el panel derecho para ubicar esos archivos
tallados. Por lo tanto, puede recuperar alternativamente esos archivos tallados
desde All en Deleted Files.
41. Para ver el contenido de un archivo tallado, seleccione el archivo. Su contenido
se mostrará en el panel inferior de la ventana de herramientas. Aquí, hemos
seleccionado el archivo [Link]; el contenido de este archivo se muestra en
el panel inferior de la ventana.

Nota: Cuando selecciona un archivo tallado, la herramienta mostrará su

contenido en la pestaña Application del panel inferior de forma predeterminada.
También puede hacer clic en las pestañas Hex, Text, File Metadata, y otras para
ver los datos respectivos almacenados en ellas.
42. Ahora, para recuperar el archivo tallado seleccionado, haga clic derecho sobre él
y luego haga clic en Extract File(s) en el menú contextual.
 Modulo 05 – Defeating Anti-forensics Techniques

43. Se abre una ventana Save, que muestra la ubicación predeterminada a la que se
exportará el archivo. Esta ubicación predeterminada es la subcarpeta Export que
existe dentro de la carpeta del caso creada en la carpeta Análisis de archivos de
imagen en el escritorio. Haga clic en Save para exportar el archivo.

44. Aparece una ventana emergente que indica que se ha extraído el archivo.
Ciérrela o haga clic en Ok.
 Modulo 05 – Defeating Anti-forensics Techniques

45. Ahora, navegue manualmente hasta la ubicación donde se guardó el archivo de

imagen tallada. La ubicación es C:\Users\Administrator\Desktop\Image File
Analysis\SSD File Carving (Windows, TRIM Disabled)\Export.

46. En este caso, pudimos recuperar y ver el contenido del archivo porque se
adquirió del disco cuando TRIM estaba deshabilitado en él.
47. De manera similar, también puede recuperar y ver el contenido de otros archivos
tallados.
48. Cierre todas las ventanas abiertas.
Análisis del Laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
2
SSD File Carving on a Linux File System
Escenario del Laboratorio
John, un investigador forense, tiene la tarea de realizar un tallado de archivos en un
archivo de imagen forense de un SSD obtenido de un sistema de archivos Linux. Los
agentes de la ley obtuvieron la imagen de la máquina de un sospechoso implicado en
actividades ilícitas. Para recuperar datos adicionales relacionados con el caso, el
investigador forense debe emplear técnicas de tallado de archivos, basándose en el
conocimiento de la estructura del sistema de archivos. Esto implica identificar y
recuperar archivos y fragmentos de archivos del espacio no asignado del SSD,
especialmente en ausencia de metadatos de archivos.
Como investigador forense, debe saber cómo realizar el tallado de archivos SSD en un
sistema de archivos Linux.
Objetivos del Laboratorio
La extracción de archivos es una técnica para recuperar archivos y fragmentos de
archivos de un espacio no asignado en el disco duro en ausencia de metadatos de
archivo. La extracción de archivos SSD en un sistema de archivos Linux se realiza
mediante la herramienta forense Autopsy.
El objetivo de este laboratorio es ayudarlo a comprender cómo realizar la extracción de
archivos SSD en un sistema de archivos Linux.
Entorno del Laboratorio
Este laboratorio requiere:

• Máquina virtual Windows Server 2022

• Privilegios administrativos para instalar y ejecutar herramientas
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 20 minutos
 Modulo 05 – Defeating Anti-forensics Techniques

Descripción General del Laboratorio

Este laboratorio lo familiarizará con la herramienta Autopsy y lo ayudará a comprender

cómo recuperar datos de un sistema de archivos Linux en un SSD cuando la
funcionalidad TRIM está deshabilitada.
Tareas del Laboratorio
1. En la máquina Windows Server 2022, haga doble clic en el ícono de acceso
directo de Autopsy 4.21.0 ubicado en el Escritorio para iniciar la aplicación.

2. Se abrirá la ventana principal de Autopsy, junto con su ventana Welcome.

3. Haga clic en la opción New Case en la ventana Welcome de Autopsy.

4. Se abre una ventana de New Case Information, en la que se le solicita que

ingrese el Case Name y Base Directory. El directorio base es la ubicación donde
se almacenarán los datos del caso. El nombre del caso se puede ingresar de
 Modulo 05 – Defeating Anti-forensics Techniques

acuerdo con su propósito de identificación. En este laboratorio, asignamos el

nombre del caso como SSD File Carving (Linux File System).
5. Guardaremos los datos del caso en la carpeta de Image File Analysis ubicada en
el Desktop. Ahora, asigne esta carpeta como Base Directory y haga clic en Next.

6. Aparece la sección Optional Information. Proporcione el Case Number y

Examiner Details(aquí, hemos ingresado el Case Number como 103). Puede
ingresar sus datos en la sección Examiner. Haga clic en Finish.

7. La aplicación tarda un tiempo en crear el caso. Luego de la creación del caso

aparece la ventana Add Data Source, donde se muestra la sección Select Host,
dejar la selección predeterminada en la sección Select Host y hacer clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

8. En la sección Select Data Source Type, asegúrese de que la opción Disk Image or
VM File esté seleccionada y haga clic en Next.

9. Aparecerá la sección Select Dta Source. Haga clic en Browse.

 Modulo 05 – Defeating Anti-forensics Techniques

10. Aparecerá una ventana Abrir. Vaya a E:\CHFI-Tools\Evidence Files\Forensic

Images y seleccione Linux_Evidence_SSD.dd. Haga clic en Open.

11. La sección Select Data Source ahora muestra la ruta al archivo

Linux_Evidence_SSD.dd en el campo Ruta. Haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

12. La ventana Add Data Source ahora muestra la sección Configure Ingest, que
contiene una lista de opciones que están marcadas. Seleccione las opciones
según sus necesidades. También puede dejar estas opciones configuradas como
predeterminadas. Haga clic en Next.
13. Ahora aparece la sección Add Data Source, que muestra el siguiente mensaje:
Data Source has been added to the local database. Files are being analyzed.
Haga clic en Finish.
Nota: La herramienta Autopsy tardará un tiempo en analizar la imagen.

14. La herramienta lo llevará a su ventana principal. Expanda el nodo Data Sources

en el panel izquierdo de la ventana. La opción Data Soures mostrará el nombre
del archivo de imagen que ha analizado (en este caso, es
Linux_Evidence_SSD.dd).
15. Haga clic en el nombre del archivo de imagen (aquí, Linux_Evidence_SSD.dd)
para ver su contenido en el panel derecho de la ventana de la herramienta.
Incluye todos los datos necesarios del sistema operativo.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Autopsy utiliza la mayoría de los recursos de la máquina virtual mientras

escanea la imagen. La máquina podría no responder hasta que se complete el
escaneo. Se recomienda no acceder a la máquina hasta que se complete el
escaneo.

16. El archivo de imagen contiene carpetas que almacenan datos relacionados con
archivos, procesos, servicios, herramientas, etc., utilizados en un sistema Linux.
17. En este laboratorio, nuestro objetivo es recuperar archivos tallados. Ahora,
después de hacer clic en el archivo de evidencia (es decir,
Linux_Evidence_SSD.dd) en el panel izquierdo, debemos esperar entre 10 y 15
minutos para que se cargue la carpeta CarvedFiles en el panel derecho de la
ventana.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Como podemos ver en la captura de pantalla anterior, la aplicación ha

cargado la carpeta Carved Files en el panel derecho de la ventana después de
esperar unos minutos.
18. Ahora, veremos el contenido de Carved Files. Haga doble clic en la carpeta 1 en
el panel izquierdo de la ventana para encontrar los archivos de imágenes talladas
almacenados en ella.

19. Haga clic en uno de los archivos de imagen tallados (aquí, es [Link]) para
ver su contenido y detalles en el panel inferior de la ventana principal de
Autopsy. De manera predeterminada, la herramienta mostrará el contenido del
archivo de imagen en la pestaña Aplicación, como se destaca en la captura de
pantalla a continuación. De manera similar, puede hacer clic en las pestañas Hex,
Text, File Metadata y otras para ver los datos respectivos almacenados en ellas.
 Modulo 05 – Defeating Anti-forensics Techniques

20. Para recuperar el archivo tallado seleccionado, haga clic derecho en el archivo y
seleccione Extract File(s) en el menú contextual.

21. Se abre una ventana Save, que muestra la ubicación predeterminada donde se
guardará el archivo extraído. Esta ubicación predeterminada es la subcarpeta
Export dentro de la carpeta del caso creada en el escritorio. Haga clic en Save
para exportar el archivo.
 Modulo 05 – Defeating Anti-forensics Techniques

22. Aparece una ventana emergente que indica que se ha extraído el archivo.
Ciérrela o haga clic en Ok.

23. Ahora, navegue manualmente hasta la ubicación donde se guardó el archivo de

imagen exportado. La ubicación es C:\Users\Administrator\Desktop\Image File
Analysis\SSD File Carving (Linux File System)\Export.

24. El archivo de imagen se ha recuperado con éxito.

25. De manera similar, de esta manera, puede recover otros archivos tallados.
 Modulo 05 – Defeating Anti-forensics Techniques

26. Cierre todas las ventanas abiertas.

Análisis del Laboratorio

Analice los atributos de archivo y los sistemas de archivos de la imagen de partición del
disco y documente los resultados relacionados con el ejercicio de laboratorio. Da tu
opinión sobre el sistema de archivos del objetivo.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
3
Recuperar Datos de una Partición de Disco Perdida o Eliminada
Escenario del Laboratorio
Un atacante guardó archivos maliciosos en una de las particiones del disco del sistema
de la estación de trabajo de la víctima y los ejecutó para robar datos comerciales
confidenciales. Después de cometer el delito, el atacante eliminó toda la partición del
disco en la que había guardado los archivos maliciosos para evitar que se detectara su
delito y su identidad. La víctima descubrió que faltaba una de las particiones del disco
de su sistema. También descubrió que el sistema se comportaba de manera sospechosa
e informó el asunto al departamento de ciberseguridad de su organización. Como parte
de la investigación forense en este caso, los investigadores ahora deben recuperar la
partición del disco eliminada para que se puedan recuperar los archivos que estaban
almacenados en ella (tanto los archivos normales como los maliciosos) y se puedan
enviar los archivos maliciosos para una investigación más a fondo.
Objetivos del Laboratorio
Cuando se elimina una partición de un disco, se pierden los archivos dentro del disco y
la computadora elimina de la tabla de particiones MBR las entradas relacionadas con la
partición eliminada. Sin embargo, siempre que no se sobrescriba la sección
correspondiente del disco, existe la posibilidad de recuperar la partición eliminada y los
archivos dentro de ella. El objetivo de este laboratorio es ayudarlo a comprender cómo
recuperar datos de particiones perdidas o eliminadas.
Entorno del Laboratorio
Este laboratorio requiere:

• Un sistema que ejecuta la máquina virtual Windows 11

• Un sistema que ejecuta una máquina virtual Windows Server 2022
• Privilegios administrativos para instalar y ejecutar herramientas
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 15 minutos
 Modulo 05 – Defeating Anti-forensics Techniques

Descripción General del Laboratorio

Este laboratorio le permitirá familiarizarse con EaseUS Data Recovery Wizard y le

ayudará a comprender cómo recuperar una partición de disco que puede haber sido
eliminada por un atacante. Una partición de disco eliminada puede contener elementos
vitales relacionados con el delito de un atacante.
Tareas del Laboratorio
Nota: En este laboratorio, consideramos que la huella de la investigación no es un
problema importante.
1. Encienda la máquina virtual de Windows 11 y presione Ctrl+Alt+Supr.
2. De manera predeterminada, está seleccionado el perfil de usuario
Administrador. Escriba Pa$$w0rd en el campo Contraseña y presione Enter
para iniciar sesión.
Nota: Si aparece el panel Redes, haga clic en Yes para permitir que otras PC y
dispositivos en esta red puedan detectar su PC.

3. Antes de comenzar este laboratorio, cree una carpeta llamada Recovered

Partition en la unidad F (que tiene aproximadamente 10 GB de espacio libre).

4. Vaya a Z:\CHFIv11 Module 02 Computer Forensics Investigation Process\Data

Recovery Tools\EaseUS Data Recovery Wizard y haga doble clic en
drw_free_installer.16989185328901b16328.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Si aparece una ventana emergente Abrir archivo - Seguridad, haga clic en
Run.
Nota: Si aparece una ventana emergente Control de cuentas de usuario, haga
clic en Yes.

5. Aparecerá el EaseUS Data Recovery Wizard Installer; haga clic en Instalar

ahora.
Nota: Si aparece una ventana emergente del asistente de recuperación de
datos de EaseUS en la esquina inferior derecha de la pantalla, ciérrela.
Nota: Si aparece una ventana emergente de Verificar actualización y la
aplicación comienza a buscar actualizaciones, haga clic en Cancelar para
cancelar las actualizaciones.
 Modulo 05 – Defeating Anti-forensics Techniques

6. Se abrirá la ventana de la herramienta EaseUS Data Recovery Wizard. Marque

el botón de opción Partición perdida 1 y haga clic en el botón Search for Lost
Data debajo de la ventana. Aquí, Lost Partition-1 indica la partición que se
eliminó o se perdió.

7. La herramienta ejecutará un análisis avanzado, tras lo cual mostrará un icono

de la partición eliminada (Lost Partition-1) en una nueva ventana. El icono de
 Modulo 05 – Defeating Anti-forensics Techniques

Lost Partition-1 se puede encontrar en el panel izquierdo de la ventana en la

parte superior. Debajo de Lost Partition-1, también encontrará una unidad
denominada To be Removed, y la misma se puede encontrar en el panel
derecho, como se muestra en la captura de pantalla:

Nota: La cantidad de archivos que aparecen en la ventana de EaseUS puede

variar en su laboratorio.
8. Para ver el contenido de la unidad To be Removed, expanda el nodo
correspondiente. Al expandir el nodo, el contenido de la carpeta se mostrará
como se muestra en la siguiente captura de pantalla:

9. Haga clic en cualquiera de ellos para ver el contenido. En este laboratorio,

veremos Audio Files.
 Modulo 05 – Defeating Anti-forensics Techniques

10. Todos los archivos de audio aparecerán en el panel derecho, como se muestra
en la siguiente captura de pantalla:

11. Dado que el objetivo de este laboratorio es recuperar una partición perdida o
eliminada completa, marcaremos el ícono Lost Partition-1 en la parte superior
del panel izquierdo de la ventana. Al marcar el ícono Lost Partition-1, se
marcan todos los datos que residen en esa partición y se habilita el botón
Recuperar en la parte inferior derecha de la ventana.
 Modulo 05 – Defeating Anti-forensics Techniques

12. Ahora, para recuperar la partición, haga clic en el botón Recover.

13. Aparecerá una ventana Save to… En la unidad F, seleccione la carpeta

Recovered Partition, que habíamos creado al comienzo del laboratorio, y luego
haga clic en Seleccionar carpeta. Todos los datos que estaban almacenados en
 Modulo 05 – Defeating Anti-forensics Techniques

la partición eliminada se recuperarán y se guardarán en la carpeta Recovered

Partition.

14. EaseUS comienza a recuperar los archivos, como se muestra en la siguiente

captura de pantalla:
Nota: Si aparece una ventana emergente Obtener Pro para disfrutar de una
recuperación ilimitada, ciérrela.

15. En un momento determinado, la aplicación pausa la recuperación y te ofrece

dos opciones. Como se trata de una versión de prueba, no podrás recuperar
todos los archivos de forma gratuita. Puedes hacer clic en Recover Remaining y
comprar una versión premium o hacer clic en Give Up. En este laboratorio,
elegimos la opción Give Up.
 Modulo 05 – Defeating Anti-forensics Techniques

16. Al hacer clic en Give Up, la aplicación lo dirigirá automáticamente a la ubicación

donde se guardaron los datos de la partición eliminada.

17. EaseUS crea automáticamente una serie de subcarpetas dentro de la carpeta

Recovered Partition. La carpeta Partición recuperada tendrá una carpeta
Recuperado en el siguiente formato: en este orden: Recovered → Lost
Pasrtiton-1 → To be Removed; todos los datos recuperados se guardarán en
una serie de subcarpetas.
 Modulo 05 – Defeating Anti-forensics Techniques

18. De esta manera, puede recuperar el contenido de una partición eliminada

utilizando EaseUS Data Recovery Wizard.
19. Cierre todas las ventanas abiertas.
Análisis del Laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
4
Recuperar Datos de una Partición Eliminada y Fusionada con
Otra Partición
Escenario del Laboratorio
Un atacante guardó archivos maliciosos en una de las particiones del disco del sistema
de la estación de trabajo de la víctima y los ejecutó para robar datos comerciales
confidenciales. Después de cometer el delito, el atacante eliminó toda la partición del
disco en la que había guardado los archivos maliciosos para evitar que se detectara su
delito y su identidad. Para complicar aún más las cosas, el atacante fusionó esta partición
con otra. La víctima descubrió que faltaba una de las particiones del disco de su sistema
y que el tamaño de otra partición había aumentado en proporción al tamaño de la
partición eliminada. Informaron del asunto al departamento de ciberseguridad de la
organización. Como parte de la investigación forense en este caso, los investigadores
ahora deben recuperar datos de la partición que existía anteriormente para poder
recuperar los archivos que estaban almacenados en ella (tanto los archivos normales
como los maliciosos) y tomar los archivos del programa malicioso para una investigación
más profunda.
Objetivo del Laboratorio
Cuando se elimina una partición de un disco, se pierden los archivos dentro del disco y
la computadora elimina de la tabla de particiones MBR las entradas relacionadas con la
partición eliminada. Sin embargo, siempre que no se sobrescriba la sección
correspondiente del disco, existe la posibilidad de recuperar la partición eliminada y los
archivos dentro de ella.
El objetivo del laboratorio es ayudarlo a comprender cómo recuperar datos de una
partición que se elimina y se fusiona con otra partición.
Entorno del Laboratorio
Este laboratorio requiere:

• Máquina virtual Windows 11

• Máquina virtual Windows Server 2016
• Privilegios administrativos para instalar y ejecutar herramientas
 Modulo 05 – Defeating Anti-forensics Techniques

Duración del Laboratorio

Tiempo: 20 minutos
Descripción General del Laboratorio
Este laboratorio demuestra las dos tareas siguientes:

• Extender el volumen de un disco fusionando una partición eliminada en él.

• Recuperar la partición eliminada después de que se fusiona con otra partición.
Tareas del Laboratorio
Nota: En este laboratorio, consideramos que la huella de la investigación no es un
problema importante.
1. Este laboratorio es una continuación del laboratorio anterior. En este
laboratorio, ampliaremos la partición del disco forense (unidad F, que ya tiene
10 GB de espacio de almacenamiento) fusionando el espacio libre de 20 GB en
ella. 20 GB es el espacio que ocupaba la partición que se eliminó y, por lo tanto,
se mostrará como espacio libre en Disk Management.
2. Ahora, veremos cómo recuperar la partición eliminada con R-Studio.
Nota: La siguiente operación se realiza para crear un escenario en el que el
atacante ha fusionado una partición de disco eliminada con una partición
existente/primaria, lo que hace que el proceso de investigación forense sea
complejo.
3. Escriba disk management en la barra de búsqueda y haga clic en Abrir debajo
de la opción Create and format hard disk partitions, como se muestra en la
siguiente captura de pantalla.
 Modulo 05 – Defeating Anti-forensics Techniques

4. Aparece la ventana Administración de discos, donde encontrará una partición

llamada Disco Forense (F:) con 10 GB de almacenamiento junto con el espacio
libre de 20 GB en el Disco 0.
5. Para ampliar el volumen de la partición del Forensic Disk, haga clic derecho sobre
él y seleccione Extend Volumen… en el menú contextual.

6. Aparecerá el Extend Volumen Wizard. Haga clic en Next.

7. Aparece la sección Seleccionar discos del asistente, donde encontrará el espacio

no asignado en el Disco 0 (~20 GB) seleccionado de manera predeterminada.
Haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

8. Aparece el paso final del asistente, en el que se muestra el disco seleccionado en

el paso anterior. Haga clic en Finish.

9. En la sección Disco 0, deberías poder observar que el tamaño del Forensic Disk
(F:) ha aumentado a ~30 GB desde que hemos fusionado el espacio libre de 2 GB
en él.
 Modulo 05 – Defeating Anti-forensics Techniques

10. Cierre la ventana Administración de discos. Hemos finalizado la tarea de fusionar

la partición eliminada en una partición activa. Ahora, recuperaremos los archivos
de esta partición (que se eliminó y se fusionó en otra partición).
11. Navegue hasta Z:\CHFIv11 Módulo 05 Defeating Anti-forensics
Techniques\Partition Recovery Tools\R-Studio y haga doble clic en el archivo
[Link]. Aparecerá una ventana emergente de R-Studio que le solicitará
que elija un idioma. Seleccione English y haga clic en Ok.
Nota: Si aparece una ventana emergente Abrir archivo - Advertencia de
seguridad, haga clic en Run.
Nota: Si aparece una ventana emergente Control de cuentas de usuario, haga
clic en Yes.
12. Haga clic en Next y siga las instrucciones del asistente para instalar la aplicación.

13. En el último paso de la instalación, marque Launch R-Studio y haga clic en Finish.
 Modulo 05 – Defeating Anti-forensics Techniques

14. Ahora aparecerá la ventana de registro de la herramienta. Haga clic en Demo

para continuar.

15. Ahora se abrirá la ventana principal de la herramienta. Debemos comprobar si

hay alguna partición que haya sido eliminada y recuperar los datos de la partición
eliminada. Para comprobar si hay una partición eliminada, primero
seleccionamos una partición existente (aquí, Unidad F:) y luego hacemos clic en
el icono Escanear de la barra de herramientas, como se muestra en la captura de
pantalla.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Cuando selecciona una unidad/partición listada, el panel derecho de la

ventana mostrará las propiedades correspondientes a esa unidad/partición,
como se ve en la captura de pantalla anterior.
16. Aparecerá la ventana Scan. Asegúrese de que la opción Detailed (Scan progress
and found objects. Slower.) esté seleccionada y, a continuación, haga clic en el
botón Scan.

17. La herramienta comenzará a realizar un análisis y se mostrará información

detallada del análisis en el panel derecho de la ventana de la herramienta.
También puede observar el progreso del análisis en la parte inferior de la
ventana.
Nota: La duración del análisis dependerá de la capacidad de almacenamiento de
la unidad que se esté analizando.
 Modulo 05 – Defeating Anti-forensics Techniques

18. Al completar el escaneo, la herramienta enumerará las Recognized Partition(s)

debajo de la unidad que seleccionamos para escanear (aquí, debajo de la unidad
F:).

19. En la unidad F:, examine la partición que se ha enumerado como Recognized1;

la herramienta muestra que su tamaño es de 20 GB, lo que es un espacio
desconocido. Esto indica que Recognized1 es la partición perdida/eliminada con
un tamaño de 20 GB que se fusionó con la unidad F: existente, que tenía un
tamaño de 10 GB, para que pareciera una única partición de disco de 30 GB.
Nota: En este laboratorio, la aplicación ha identificado la partición como
Recognized1. El número de la partición reconocida puede variar en su entorno
de laboratorio.
20. Para ver el contenido de la partición perdida/eliminada (Recognized1), haga
doble clic en ella.
 Modulo 05 – Defeating Anti-forensics Techniques

21. Si desea ver el contenido de una carpeta que se almacenó en la partición

eliminada, haga clic en esa carpeta; su contenido se mostrará en el panel derecho
de la ventana. Para los fines de este laboratorio, veremos el contenido de la
carpeta Audio Files.
 Modulo 05 – Defeating Anti-forensics Techniques

22. Dado que el objetivo de esta tarea es recuperar una partición eliminada
completa, recuperaremos toda la partición Recognized1.
23. Marque el icono Recognized1 en la parte superior del panel izquierdo de la
ventana para que todas las carpetas de la partición estén seleccionadas para la
recuperación. A continuación, haga clic en Recover Marked en la barra de
herramientas.

24. Aparecerá una ventana de recuperación. En el campo Output folder en la parte

superior, debemos proporcionar el directorio de salida donde se guardarán los
datos de la partición recuperada. Estableceremos la ruta del directorio de salida
como C:\Recovered Partition. En la misma ventana, en la pestaña Main, marque
las opciones según sus necesidades y luego haga clic en Ok.
Nota: Si aparece una ventana emergente Seleccionar carpeta, haga clic en Yes.
 Modulo 05 – Defeating Anti-forensics Techniques

25. Si aparece un cuadro de diálogo de R-Studio Demo que le solicita que elija si
desea eliminar atributos o dejar la configuración como está, marque Apply the
answer to all recovered files y haga clic en Continue.

26. R-Studio crea una carpeta denominada Root dentro de C:\Recovered Partition.
Los datos de la partición perdida o eliminada se recuperarán y se guardarán en
esta carpeta, es decir, C:\Recovered Partition\Root.
27. Dado que se trata de una versión de demostración de la herramienta, no se
recuperarán archivos con un tamaño superior a 256 KB. Si ve una ventana
emergente de demostración de R-Studio que indica que no se pueden recuperar
archivos que superen el límite de 256 KB, marque Don’t show this message again
y haga clic en Skip, como se muestra en la captura de pantalla:

28. R-Studio comienza a recuperar los archivos y muestra el estado como se muestra
en la siguiente captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

29. Si aparece la ventana File already exists (By default), marque Apply the answer
to all recovered files y haga clic en el botón Skip como se muestra en la siguiente
captura de pantalla:

30. Al completar el proceso de recuperación, podrá encontrar los datos recuperados

en el directorio C:\Recovered Partition\Root.
 Modulo 05 – Defeating Anti-forensics Techniques

31. De esta manera, puedes recuperar datos de una partición eliminada y fusionada
con otra partición mediante R-Studio.
32. Cierre todas las ventanas abiertas.
Análisis del Laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
5
Extraer Hashes de Contraseñas del Sistema de Destino mediante
Pwdump
Escenario del Laboratorio
Smith, un investigador forense, estaba trabajando en un caso en el que un empleado
descontento había cifrado datos importantes de la organización en su PC y había
abandonado la organización. Ahora, para reunir los datos cruciales que se guardaban en
el sistema del sospechoso, Smith necesita descifrar la cuenta del perpetrador. Para
descifrar la contraseña de la cuenta del perpetrador, Smith necesita primero reunir los
hashes de contraseñas LM y NTLM del sistema.
Como investigador forense experto, debe saber cómo reunir los hashes de contraseñas
LM y NTLM del sistema para descifrar las contraseñas del sistema.
Objetivo del Laboratorio
El hash NTLM se utiliza para verificar la contraseña del usuario en el sistema operativo
Windows.
Los hashes NTLM se pueden utilizar para descifrar contraseñas de usuario cuando se
combinan con otras herramientas como Mimikatz, John the Ripper y Hashcat.
Entorno del Laboratorio

Este laboratorio requiere:

• Máquina virtual Windows Server 2022

• Máquina virtual con Windows 11
• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio

Tiempo: 5 minutos
Descripción General del Laboratorio
Este laboratorio lo familiarizará con la herramienta pwdump7 y lo ayudará a
comprender cómo recopilar los hashes de contraseñas LM y NTLM del sistema.
 Modulo 05 – Defeating Anti-forensics Techniques

Tareas del Laboratorio

Nota: En este laboratorio, consideramos que la huella de la investigación no es un

problema importante.
1. En la máquina con Windows 11, navegue a Z:\CHFIv11 Module 05 Defeating
Anti-forensics Techniques\Password Cracking Tools y copie la carpeta
pwdump7 y péguela en el escritorio.

2. En la barra de búsqueda, escriba cmd y haga clic en Ejecutar como administrador

para abrir el Símbolo del sistema con privilegios de administrador.
Nota: Si aparece una ventana emergente de Control de cuentas de usuario, haga
clic en Yes.
 Modulo 05 – Defeating Anti-forensics Techniques

3. En la ventana del símbolo del sistema, escriba cd

C:\Users\Admin\Desktop\pwdump7 para navegar al Escritorio

4. Ahora, escriba [Link] y presione Enter para volcar los hashes de la

máquina con Windows 11 en la ventana del símbolo del sistema.
 Modulo 05 – Defeating Anti-forensics Techniques

5. Los investigadores forenses pueden utilizar estos hashes junto con herramientas
de descifrado de contraseñas para descifrar las contraseñas del sistema.
6. Cierre todas las ventanas abiertas.
Análisis del Laboratorio
Analizar y documentar los resultados relacionados con el ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
6
Descifrar Contraseñas de Aplicaciones
Escenario del Laboratorio
Una investigación sobre un caso de robo de propiedad intelectual y secretos comerciales
pertenecientes a una organización de banca de inversión ha llevado a los investigadores
forenses a un ordenador personal que pertenece al autor del delito. El autor ha
almacenado toda la información robada en forma de varios documentos en su
ordenador y ha establecido contraseñas para esos documentos para evitar que otros
puedan acceder a ellos. Con la ayuda de las autoridades policiales, los investigadores
forenses confiscaron el ordenador del autor del delito para buscar en él la información
robada. Durante el curso de la investigación, los investigadores encontraron algunos
archivos protegidos con contraseña, cuyas contraseñas deben descifrarse para obtener
acceso a la información confidencial que pertenece a la organización de banca de
inversión. ¿Cómo deben proceder los investigadores para descifrar las contraseñas de
los documentos protegidos?
Como investigador forense experto, debe saber cómo descifrar las contraseñas de
archivos y aplicaciones protegidos con contraseña.
Objetivo del Laboratorio
Las contraseñas suelen ser una cadena de caracteres que se utilizan para verificar la
identidad de un usuario durante el proceso de autenticación.
El objetivo de este laboratorio es ayudarle a comprender cómo descifrar las contraseñas
de archivos y aplicaciones protegidos con contraseña.
Entorno del Laboratorio
Este laboratorio requiere:

• Máquina virtual Windows 11.

• Máquina virtual Windows Server 2022.
• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 15 minutos
 Modulo 05 – Defeating Anti-forensics Techniques

Descripción General del Laboratorio

Este laboratorio lo familiarizará con la herramienta forense Passware Kit y lo ayudará a

comprender cómo descifrar contraseñas de aplicaciones/archivos protegidos con
contraseña en una computadora con fines de investigación forense.
Tareas del Laboratorio
Nota: En este laboratorio, consideramos que la huella de la investigación no es un
problema importante.
1. En la máquina Windows 11, navegue hasta Z:\CHFIv11 Module 05 Defeating
Anti-forensics Techniques\Password Cracking Tools\Passware Kit Forensic y
haga doble clic en PasswareKitForensic-Demo_64bit_Setup.msi para iniciar la
instalación. Siga los pasos de instalación guiados por el asistente para completar
la instalación.
Nota: Si aparece una ventana emergente Abrir archivo - Advertencia de
seguridad, haga clic en Run.
Nota: Si aparece una ventana emergente Control de cuentas de usuario, haga
clic en Yes.

2. Durante el paso final de la instalación, asegúrese de que la opción Run Passware

Kit Forensic Demo esté marcada. Haga clic en Finish.
 Modulo 05 – Defeating Anti-forensics Techniques

3. Aparece la GUI forense de Passware Kit, como se muestra en la siguiente captura

de pantalla:

4. Haga clic en la opción Recover File Password en la ventana principal de la

herramienta.
 Modulo 05 – Defeating Anti-forensics Techniques

5. Vaya a la ubicación Z:\CHFIv11 Module 05 Defeating Anti-forensics

Techniques\Password Cracking Tools\Passware Kit Forensic, seleccione el
archivo [Link] y haga clic en Open.

6. Al cargar el archivo a la aplicación, aparece la ventana del asistente Recover File

Password, donde deberá seleccionar la opción Use Predefined Settings.
 Modulo 05 – Defeating Anti-forensics Techniques

7. La herramienta tardará un tiempo en descifrar la contraseña. El tiempo necesario

es proporcional a la cantidad y tipos de caracteres utilizados en la contraseña.

8. Después del análisis, la herramienta muestra la cracked password, como se

muestra en la captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

9. Cierre la aplicación.
10. Ahora, examinaremos cómo descifrar un archivo compressed password-
protected.
11. 11. Para descifrar la contraseña de una carpeta o un archivo RAR comprimido,
navegue hasta Z:\CHFIv11 Módulo 05 Defeating Anti-forensics
Techniques\Password Cracking Tools\Advanced Archive Password Recovery y
haga doble clic en el archivo de instalación archpr_setup_en.msi.
Nota: Si aparece una ventana emergente Abrir archivo - Advertencia de
seguridad, haga clic en Run.
12. Haga clic en Next y siga los pasos de instalación guiados por el asistente hasta
llegar a la sección Custom Setup.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Si aparece una ventana emergente de advertencia de seguridad de

archivo abierto, haga clic en Run.
13. En la sección Custom Setup, debe desmarcar Elcomsoft Updater expandiendo el
menú desplegable y seleccionando Entire feature Will be unavailable. Al
hacerlo, continúe con el proceso de instalación y finalícelo.
Nota: Si aparece una ventana emergente de Control de cuentas de usuario, haga
clic en Yes.

14. Durante el paso final de la instalación, asegúrese de que la opción Run Advanced
Archive Password Recovery esté marcada y haga clic en Finish.
 Modulo 05 – Defeating Anti-forensics Techniques

15. Aparece la Advanced Archive Password Recovery GUI, como se muestra en la

siguiente captura de pantalla:

16. Ahora, establezca un rango para las opciones de ataque de fuerza bruta
marcando las opciones en la pestaña Range. Para el propósito demostrativo de
este laboratorio, marcamos la opción All digitis (0-9) mientras dejamos todas las
demás opciones con los valores predeterminados. Mientras ejecuta el
laboratorio en tiempo real, puede marcar estas opciones según sus necesidades.
 Modulo 05 – Defeating Anti-forensics Techniques

17. Desde la barra de herramientas de la ventana de herramientas, haga clic en Open

para agregar el archivo WinRAR que desea descifrar.

18. Aparecerá una ventana abierta. Navegue hasta la ubicación Z:\CHFIv11 Módulo
05 Defeating Anti-forensics Techniques\Password Cracking Tools\Advanced
Archive Password Recovery, seleccione el archivo [Link] y haga clic en
Open.
 Modulo 05 – Defeating Anti-forensics Techniques

19. La herramienta descifra la contraseña y la muestra junto con otros detalles,

como se muestra en la captura de pantalla:

20. En un escenario real, debe configurar todas las opciones, ya que normalmente
no tendrá ni idea de la contraseña que protege el archivo. Por lo tanto, la
herramienta tarda mucho tiempo en descifrar una contraseña, si es de
naturaleza compleja.
21. Cierre la aplicación.
22. Ahora descifraremos la contraseña de un archivo PDF protegido con contraseña.
23. Para descifrar la contraseña, utilizaremos la herramienta Advanced PDF
Password Recovery.
 Modulo 05 – Defeating Anti-forensics Techniques

24. Para instalar la herramienta, navegue hasta Z:\CHFIv11 Module 05 Defeating

Anti-forensics Techniques\Password Cracking Tools\Advanced PDF Password
Recovery, haga doble clic en apdfpr_setup_en.msi.
25. Haga clic en Next y siga los pasos de instalación guiados por el asistente para
completar la instalación de la herramienta.
Nota: Si aparece una ventana emergente Abrir archivo - Advertencia de
seguridad, haga clic en Run.
Nota: Si aparece una ventana emergente Control de cuentas de usuario, haga
clic en Yes.

26. En el paso final de la instalación, asegúrese de que la opción Run Advanced PDF
Password Recovery esté marcada y haga clic en Finish.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Una vez finalizada la instalación, si aparece una ventana de Elcomsoft

Updater, ciérrela.
27. Aparece la interfaz gráfica de usuario de Advanced PDF Password Recovery,
como se muestra en la siguiente captura de pantalla:

28. Nuevamente, configure el rango para los ataques de fuerza bruta marcando las
opciones en la pestaña Range. Para el propósito demostrativo de este
laboratorio, marcamos la opción All small latín (a-z) y dejamos las otras opciones
sin marcar. Mientras ejecuta el laboratorio en tiempo real, puede marcar las
opciones según sus necesidades.
 Modulo 05 – Defeating Anti-forensics Techniques

29. Desde la barra de herramientas de la ventana de herramientas, haga clic en Open

para agregar el archivo PDF que desea descifrar.

30. Aparecerá una ventana abierta. Navegue hasta la ubicación del archivo
Z:\CHFIv11 Módulo 05 Defeating Anti-forensics Techniques\Password Cracking
Tools\Advanced PDF Password Recovery, seleccione el archivo [Link]
y haga clic en Open.
 Modulo 05 – Defeating Anti-forensics Techniques

31. Aparecerá una ventana emergente de APDFPR con un mensaje que le solicitará
que ingrese la contraseña del documento. Haga clic en el botón Start recovery.

32. Luego de realizar el análisis, la herramienta mostrará una ventana con la

contraseña del archivo [Link], como se muestra en la siguiente
captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

33. En un escenario real, debes configurar todas las opciones, ya que normalmente
no tendrás ni idea de la contraseña que protege el archivo. Por lo tanto, la
herramienta tarda mucho tiempo en descifrar una contraseña si es compleja por
naturaleza.
34. Ahora descifraremos la contraseña de un archivo de Excel protegido con
contraseña, cerraremos la ventana emergente y la herramienta APDFPR.
35. Inicia un navegador web (aquí, Firefox) y navega hasta la URL
[Link]
36. Aparece la página web de Excel Password Recovery, como se muestra en la
siguiente captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

37. Desplácese hacia abajo en la página web y haga clic en el cuadro que dice Drop
file to upload.

Nota: Marque la casilla de verificación y complete la verificación captcha.

38. En la ventana Cargar archivo, navegue hasta Z:\CHFIv11 Módulo 05 Defeating
Anti-forensics Techniques\Password Cracking Tools y seleccione el archivo
[Link] y haga clic en Open.
 Modulo 05 – Defeating Anti-forensics Techniques

39. El archivo se carga en la página web y Excel Password Recovery comienza a

descifrar la contraseña.
40. Una vez que se completa el descifrado de la contraseña, la contraseña descifrada
se mostrará como se muestra en la captura de pantalla.

41. Cierre todas las ventanas abiertas.

Análisis del Laboratorio
Analizar y documentar los resultados relacionados con el ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
7
Detectar Esteganografía
Escenario del Laboratorio
En ocasiones, los atacantes intentan engañar a los usuarios y a la seguridad del sistema
ocultando un programa malicioso dentro de una imagen o un archivo aparentemente
útil. De esta manera, pueden evitar los controles de seguridad y atraer a las víctimas
para que descarguen y ejecuten malware, además de impedir la identificación forense.
Como investigador forense experto, debe ser capaz de detectar y analizar archivos de
esteganografía.
Objetivo del Laboratorio
La esteganografía es el proceso de ocultar información o un archivo dentro de otro
archivo. En otras palabras, es el proceso de disfrazar un archivo dañino como un archivo
seguro.
El objetivo de este laboratorio es ayudarlo a analizar archivos ocultos mediante
esteganografía y descubrir su impacto en un sistema o red.
Entorno del Laboratorio
Para realizar el laboratorio se necesita:

• Máquina virtual Windows Server 2022

• Máquina virtual Ubuntu Forensics
• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 20 minutos
Descripción General del Laboratorio
Este laboratorio lo familiarizará con herramientas como StegSpy, Image Steganography,
OpenStego y DeepSound, y lo ayudará a comprender cómo identificar mensajes o
archivos con contenido oculto utilizando estas herramientas.
 Modulo 05 – Defeating Anti-forensics Techniques

Tareas del Laboratorio

Nota: En este laboratorio, consideramos que la huella de la investigación no es un
problema importante.
1. Encienda la máquina virtual Ubuntu Forensic.
2. Cambie a la máquina virtual Windows Server 2022 y navegue hasta E:\CHFI-
Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Steganography
Detection Tools\StegSpy y haga doble clic en [Link] para iniciar la
herramienta.

3. Haga clic en el botón Run de la página principal de la herramienta para agregar

el archivo sospechoso.
4. Aparecerá una ventana Abrir. Navegue hasta la ubicación del archivo
sospechoso, E:\CHFI-Tools\Evidence Files\Image Files. Seleccione el archivo
[Link] y haga clic en el botón Open.
 Modulo 05 – Defeating Anti-forensics Techniques

5. La herramienta escaneará el archivo y mostrará el tipo de técnica de

esteganografía utilizada para ocultar otro archivo dentro de él.

6. Cierre la aplicación.
7. Ahora intentaremos extraer el archivo oculto de la imagen ([Link])
utilizando la herramienta OpenStego.
8. 8. Para instalar OpenStego, navegue hasta E:\CHFI-Tools\CHFIv11 Module 05
Defeating Anti-forensics Techniques\Steganography Detection
Tools\OpenStego y haga doble clic en el archivo [Link].
Nota: Si aparece una ventana emergente Abrir archivo - Advertencia de
seguridad, haga clic en Run.
Nota: En la ventana Select Setup Install Mode, haga clic en Install for me only.
9. Aparecerá el asistente de instalación de OpenStego. Acepte el acuerdo de
licencia y siga los pasos de instalación guiados por el asistente para instalar la
aplicación.

10. Vaya al menú Inicio y haga clic en OpenStego en la lista de aplicaciones.

 Modulo 05 – Defeating Anti-forensics Techniques

11. Aparece la interfaz gráfica de usuario de OpenStego. Haga clic en el botón Extract
Data en la sección Data Hiding para ingresar el archivo que contiene la
esteganografía y extraer los datos ocultos.

12. Proporcione la ruta del archivo que contiene la esteganografía en el campo Input
Stego File y especifique una carpeta como directorio de salida en el campo
Output Folder for Message File. La ruta al archivo que contiene la esteganografía
es E:\CHFI-Tools\Evidence Files\Image Files\[Link]. En este laboratorio,
estamos configurando la carpeta de salida como Escritorio.
13. Haga clic en el botón Extract Data.
 Modulo 05 – Defeating Anti-forensics Techniques

14. La herramienta analizará el archivo y extraerá los datos ocultos con éxito. Guarda
los datos extraídos en el escritorio. Haga clic en Ok.

15. El archivo oculto se ha extraído al escritorio como [Link], que contiene el texto
que se muestra en la siguiente captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

16. De esta manera, puede extraer datos ocultos de un archivo de imagen. Cierre el
archivo de texto y la aplicación OpenStego.
17. Ahora analizaremos y visualizaremos la información incrustada en una imagen
([Link]) utilizando la herramienta zsteg.
18. Cambie a la máquina virtual Ubuntu Forensics.
19. De forma predeterminada, se selecciona el perfil de usuario Jason. Escriba toor
en el campo Contraseña y presione Enter para iniciar sesión.

20. Haga clic en el ícono Files en el panel Iniciador para iniciar el Administrador de
archivos.
 Modulo 05 – Defeating Anti-forensics Techniques

21. Aparecerá una ventana del administrador de archivos que apuntará al directorio
de Home. Haga clic en el directorio chfi-tools en [Link] que se ha marcado
como favorito.

22. Aparece la carpeta compartida CHFI-Tools.

23. A continuación, vaya a Evidence Files → Image Files y copie [Link] y péguelo
en el directorio de Home.
 Modulo 05 – Defeating Anti-forensics Techniques

24. Haga clic en el ícono Terminal desde el panel de inicio para iniciar la terminal de
línea de comandos.

25. Se inicia la terminal de línea de comandos. Necesita privilegios de root en la

terminal para instalar una aplicación.
26. 26. Escriba sudo su y presione Enter. Se le solicitará que ingrese la contraseña.
Escriba toor como contraseña y presione Enter.
27. Ahora, ingresará a la terminal root como se muestra en la siguiente captura de
pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

28. Para instalar zsteg, necesitamos instalar ruby; escriba el comando sudo apt
install ruby y presione Enter.

29. Ahora, escriba el comando sudo gem install zsteg y presione Enter.

30. En la terminal, escriba zsteg [Link] y presione Enter.

 Modulo 05 – Defeating Anti-forensics Techniques

31. Se mostrará la información que está cifrada en el archivo .png

32. Durante la investigación, también puede encontrarse con archivos de audio que
contienen datos ocultos.
33. En esta sección, aprenderá el proceso de extracción de datos ocultos de un
archivo de audio con DeepSound.
34. Ahora, cambie a la máquina Windows Server 2022, navegue hasta la ubicación
del archivo [Link], E:\CHFI-Tools\CHFIv11 Módulo 05 Defeating Anti-
forensics Techniques\Steganography Detection Tools\DeepSound, haga doble
clic en el archivo [Link] y siga las instrucciones del asistente para
instalar la aplicación.
Nota: Si aparece una ventana emergente Abrir archivo - Advertencia de
seguridad, haga clic en Run.

35. Al finalizar la instalación, aparecerá un cuadro de diálogo que le solicitará que

elija un navegador y seleccione Ok, o se abrirá automáticamente un navegador
web que mostrará una página web asociada con la aplicación DeepSound. Cierre
la ventana del navegador.
36. Haga doble clic en el icono de DeepSound ubicado en el escritorio para iniciar la
aplicación.
 Modulo 05 – Defeating Anti-forensics Techniques

37. La GUI de DeepSound aparece como se muestra en la siguiente captura de

pantalla:

38. Haga clic en el botón Open Carrier files para agregar el archivo que contiene la
esteganografía.
 Modulo 05 – Defeating Anti-forensics Techniques

39. Navegue a la ubicación E:\CHFI-Tools\Evidence Files\Audio Files; seleccione el

archivo que contiene la esteganografía, [Link], y haga clic en el botón
Open.

40. Haga clic en el botón Extract secret files para comenzar a extraer los archivos o
datos ocultos.
 Modulo 05 – Defeating Anti-forensics Techniques

41. Después de la extracción, la herramienta generará un mensaje que muestra la

ubicación del archivo extraído. Haga clic en Ok.

42. Para ver el archivo oculto que se extrajo en el paso anterior, navegue a la
ubicación que se muestra en la captura de pantalla anterior, es decir,
C:\Users\Administrator\Documents
 Modulo 05 – Defeating Anti-forensics Techniques

43. De esta manera, puedes detectar y analizar datos ocultos en archivos de varios
formatos mediante esteganografía.
44. Cierre todas las ventanas abiertas.
45. Apague la máquina virtual Ubuntu Forensics.
Análisis del Laboratorio
Analizar y documentar los resultados relacionados con el ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
8
Detectar Flujos de Datos Alternativos
Escenario del Laboratorio
Como parte de una gran empresa criminal, los atacantes han robado información
financiera confidencial de ciertas multinacionales con sede en Europa engañándolas
mediante ciberataques. Como parte de su plan, los atacantes utilizaron ADS (flujos de
datos alternativos) ocultos para introducir y ejecutar rootkits y herramientas de hackers
ocultos en sus sistemas objetivo sin ser detectados. Unos días después de los ataques,
las multinacionales descubrieron que su información financiera confidencial había sido
violada.
Las multinacionales consultaron a investigadores forenses expertos para resolver el caso
y proteger sus sistemas. El desafío ante los investigadores forenses era extraer la
información oculta en los flujos de datos alternativos que fue utilizada por los atacantes
para ejecutar su plan. La información oculta extraída por los investigadores forenses de
los ADS puede ayudar a los equipos de respuesta a incidentes de las multinacionales a
evitar que los atacantes causen más daños.
Como investigador forense experto, debe saber cómo extraer información de los ADS
ocultos.
Objetivo del Laboratorio
El uso de secuencias de datos alternativas (ADS) es una técnica antiforense que permite
a los atacantes ocultar datos en Windows NTFS. En ocasiones, estas secuencias de datos
alternativas ocultas se pueden utilizar para explotar de forma remota un servidor web.
El objetivo de este laboratorio es ayudarlo a aprender a detectar ADS.
Entorno del Laboratorio
Para realizar el laboratorio se necesita:

• Máquina virtual Windows Server 2022

• Máquina virtual Windows 11
• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
 Modulo 05 – Defeating Anti-forensics Techniques

Duración del Laboratorio

Tiempo: 15 minutos
Descripción General del Laboratorio
Este laboratorio lo familiarizará con el concepto de flujos de datos alternativos (ADS) y
lo ayudará a comprender cómo detectar ADS en un sistema Windows.
Tareas del Laboratorio
Nota: En este laboratorio, consideramos que la huella de la investigación no es un
problema importante.
1. Cambie a la máquina virtual de Windows 11.
2. En este laboratorio, utilizaremos Windows PowerShell para detectar
transmisiones y verlas. Para iniciar PowerShell, haga clic con el botón derecho en
el ícono de Windows y seleccione Windows Terminal (Administrador).

Nota: Si aparece una ventana emergente de Control de cuentas de usuario, haga

clic en Yes.
3. Se inicia Windows PowerShell (Admin). En PowerShell, escriba cd
C:\Windows\system32 y presione Enter para navegar a la carpeta system32.
Para identificar ADS ocultos a través de PowerShell, ingrese el comando gci -
recurse | % { gi $_.FullName - stream * } | where stream -ne ‘:$Data’ y presione
Enter.
 Modulo 05 – Defeating Anti-forensics Techniques

4. Como se ve en la captura de pantalla anterior, ejecutar el comando descrito en

Windows PowerShell detectará los archivos que contienen ADS y mostrará los
resultados.
5. Ahora, navegaremos hasta la ruta (aquí, C:\Windows\System32) donde residen
los archivos de texto simple_file1.txt y simple_file2.txt y los abriremos.

6. Los archivos, cuando se abren, muestran los datos que contienen, pero los flujos
de datos alternativos ocultos no se pueden ver a través del Explorador de
Windows.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Para fines demostrativos de este laboratorio, los archivos simples que se
muestran en la captura de pantalla anterior muestran la línea This file is thought
to deceive you!. En un escenario real, los archivos que contienen ADS mostrarán
contenido normal que no parece sospechoso; los atacantes usan archivos con
contenido normal para ocultar sus mensajes secretos y evitar la detección.
7. Ahora extraeremos la secuencia oculta adjunta al primer archivo, es decir,
simple_file1.txt. Para extraer la secuencia oculta, ejecute el comando get-
content -path C:\Windows\system32\simple_file1.txt -stream secret_file1.txt
en Windows PowerShell.
8. PowerShell extraerá y mostrará el contenido almacenado en la secuencia oculta
como se muestra en la siguiente captura de pantalla:

9. De manera similar, ahora extraeremos el flujo oculto adjunto al segundo archivo,

es decir, simple_file2.txt. Para extraer el flujo oculto, ejecute el comando get-
content - path C:\Windows\system32\simple_file2.txt -stream
secret_file2.txt.
10. PowerShell extraerá y mostrará el contenido almacenado en el flujo oculto como
se muestra en la siguiente captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

11. De esta manera, podemos utilizar Windows PowerShell para identificar

transmisiones y visualizar el contenido de ADS. Cierre Windows PowerShell.
12. Ahora, utilizaremos NoVirusThanks Stream Detector para detectar
transmisiones. Para instalarlo, navegue hasta Z:\CHFIv11 Module 05 Defeating
Anti-forensics Techniques\Alternate Data Stream Detection
Tools\NoVirusThanks Stream Detector, haga doble clic en el archivo stream-
detector_setup.exe para iniciar la instalación y siga los pasos del asistente para
instalar la aplicación.
Nota: Si aparece una ventana emergente Abrir archivo – Seguridad, haga clic en
Run.
Nota: Si aparece una ventana emergente Control de cuentas de usuario, haga
clic en Yes.
 Modulo 05 – Defeating Anti-forensics Techniques

13. En el último paso de la instalación, asegúrese de que la opción Open

NoVirusThanks Stream Detector esté marcada y haga clic en Finish.

Nota: Si aparece una ventana emergente de Control de cuentas de usuario, haga

clic en Yes.
14. Al finalizar la instalación, aparecerá la ventana principal de NoVirusThanks
Stream Detector, junto con una ventana del navegador que muestra una página
web de novirusthanks. Cierre el navegador web.

15. Ahora, asignaremos una carpeta para escanear en busca de ADS. En este
laboratorio, escanearemos los archivos en C:\Windows\System32. Ahora, haga
clic en Browse.
 Modulo 05 – Defeating Anti-forensics Techniques

16. Aparecerá una ventana para Browse for Folder. Navegue y seleccione el
directorio que desea escanear en busca de ADS (aquí, C:\Windows\System32) y
haga clic en Ok.

17. La ruta de la carpeta seleccionada aparecerá ahora en la sección Select Foler to

Scan. Haga clic en Scan para ejecutar un escaneo en el directorio.
 Modulo 05 – Defeating Anti-forensics Techniques

18. La herramienta escanea en busca de archivos ADS. Al finalizar el escaneo,

muestra las secuencias presentes en el directorio con detalles como el Stream
Name, el Filename (nombres de los archivos en los que se encuentran esas
secuencias) y el Size de los archivos.

19. Si desea guardar la información que se muestra en la captura de pantalla

anterior, haga clic en el botón Export en la parte inferior de la ventana.
 Modulo 05 – Defeating Anti-forensics Techniques

20. Aparecerá la ventana Save file as… Seleccione la ubicación donde desea guardar
la información (aquí, elegiremos Escritorio para guardar la información), deje el
nombre de archivo predeterminado y haga clic en Save.

21. El archivo se guardará y se exportará al escritorio. Vaya al escritorio y abra el

archivo para ver los detalles de los archivos que contienen ADS.
 Modulo 05 – Defeating Anti-forensics Techniques

22. De esta manera, puedes detectar transmisiones en una máquina y verlas.

23. Cierre todas las ventanas abiertas.
24. Apague la máquina virtual de Windows 11.
Análisis de laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
9
Detectar Incompatibilidad de Extensiones de Archivos
Escenario del Laboratorio
Un atacante ha guardado archivos maliciosos en un sistema para ejecutarlos y robar
datos confidenciales del usuario. Para engañar al firewall y al programa antimalware del
sistema, utilizan la técnica antiforense de cambiar la extensión de esos archivos
maliciosos para que no sean detectados. El atacante también puede haber cambiado la
extensión de algunos de estos archivos maliciosos a .sys para disfrazarlos como archivos
del sistema y disuadir a los investigadores forenses. Los investigadores que examinan el
sistema deben detectar cada uno de estos archivos maliciosos para que puedan
recopilarse y estudiarse para una investigación más profunda.
Para ser un investigador forense experto, debe saber cómo detectar archivos con
extensiones no coincidentes utilizando las herramientas adecuadas.
Objetivo del Laboratorio
Una extensión de archivo es un identificador especificado como sufijo al final de un
nombre de archivo. Ayuda a identificar el tipo de archivo en sistemas operativos como
Windows.
El objetivo de este laboratorio es ayudarlo a aprender a detectar errores de coincidencia
en las extensiones de archivo.
Entorno del Laboratorio

Para realizar el laboratorio se necesita:

• Máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 20 minutos
 Modulo 05 – Defeating Anti-forensics Techniques

Descripción General del Laboratorio

Este laboratorio lo familiariza con el concepto de desajuste de extensión de archivo y,

con la ayuda de la herramienta Autopsia, lo ayuda a comprender cómo detectar un
desajuste de extensión de archivo.
Tareas del Laboratorio
1. Cambie a la máquina virtual Windows Server 2022.
2. Inicie Autopsy haciendo doble clic en el icono de acceso directo en el escritorio.
Al iniciar Autopsy, se abrirá la ventana principal de la herramienta, junto con su
ventana Welcome. En la ventana Welcome, haga clic en New Case.
Nota: Aquí estamos iniciando la herramienta Autopsy que se instaló en
laboratorios anteriores. Si ha reiniciado la instancia de laboratorio, instale
Autopsy desde E:\CHFI-Tools\CHFIv11 Note: Module 03 Understanding Hard
Disks and File Systems\File System Analysis Tools\Autopsy.

3. Se abre una ventana de New Case Information, en la que se le solicita que

ingrese el Case Name y Base Directory. El directorio base es la ubicación donde
se almacenarán los datos del caso. El nombre del caso se puede ingresar de
acuerdo con su propósito de identificación. En este laboratorio, asignamos al
nombre del caso File Extension Mismatch.
4. Guardaremos los datos del caso en la carpeta Image File Analysis ubicada en el
escritorio. Ahora, asigne esta carpeta como Base Directory y haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

5. Aparecerá la sección Optional Information. Ingrese el Case Number y Examiner

Details (aquí, hemos ingresado el número de caso como 104). Puede ingresar sus
datos en la sección Examiner. Haga clic en Finish.

6. La aplicación tardará un momento en crear el caso.

7. La aplicación tarda un tiempo en crear el caso. Luego de la creación del caso
aparece la ventana Add Data Source, donde se muestra la sección Select Host,
dejar la selección predeterminada en la sección Select Host y hacer clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

8. En la sección Select Data Source Type, asegúrese de que la opción Disk Image or
VM File esté seleccionada y haga clic en Next.

9. Aparece la sección Select Data Source. Haga clic en Browse para elegir el archivo
de imagen de origen, como se resalta en la captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

10. Al hacer clic en Browse, aparece una ventana Open. Vaya a E:\CHFI-
Tools\Evidence Files\Forensic Images y seleccione el archivo
Windows_Evidence_001.dd. Haga clic en Open.

11. Ahora, la ruta al archivo Windows_Evidence_001.dd se mostrará en el campo

Path, como se muestra en la captura de pantalla siguiente. Haga clic en Next.
 Modulo 05 – Defeating Anti-forensics Techniques

12. Ahora, aparece la sección Configure Ingest. En la Run ingest modules on:,
selecciona las opciones según tus requisitos. Aquí, hemos marcado las opciones
File Type Identification, Extension Mismatch Detector y Embedded File
Extractor. Una vez hecho esto, haz clic en Next.

13. Ahora aparece la sección Add Data Source, que muestra el mensaje Data source
has been added to the local database. Files are being analyzed. Haga clic en
Finish.
Nota: La herramienta tardará un tiempo en analizar el archivo de imagen
proporcionado.
 Modulo 05 – Defeating Anti-forensics Techniques

14. La herramienta lo llevará a su ventana principal. Expanda el nodo Data Sources

en el panel izquierdo de la ventana. La opción Data Sources mostrará el nombre
del archivo de imagen que ha analizado (en este caso, es
Windows_Evidence_001.dd).
Nota: Autopsy utiliza la mayoría de los recursos de la máquina virtual mientras
escanea la imagen. La máquina podría no responder hasta que se complete el
escaneo. Se recomienda no acceder a la máquina hasta que el escaneo se
complete al 100 %.
15. Haga clic en el nombre del archivo de imagen (en este caso,
Windows_Evidence_001.dd) para ver su contenido en el panel derecho de la
ventana de herramientas. Incluye todos los datos necesarios del sistema
operativo.
 Modulo 05 – Defeating Anti-forensics Techniques

16. Para ver los archivos que se han detectado con una discrepancia de extensión,
haga clic en la categoría Extension Mismatch Detected en el panel izquierdo. La
herramienta mostrará los archivos con discrepancia de extensión en el panel
derecho de la ventana, como se muestra en la siguiente captura de pantalla:

Nota: En la captura de pantalla anterior, la columna Extension en el panel

derecho de la ventana muestra las extensiones modificadas de los archivos,
mientras que la columna MIME Type muestra sus extensiones originales. Como
las extensiones de los archivos han sido modificadas, significa que han sido
manipuladas.
17. Para ver el contenido de un archivo con una extensión no coincidente, seleccione
el archivo; su contenido se mostrará en el panel inferior de la ventana, como se
muestra en la siguiente captura de pantalla (aquí, hemos seleccionado el archivo
[Link]. Al seleccionar este archivo, se muestra la imagen de
un circuito electrónico en el panel inferior de la ventana. Como se puede ver en
la captura de pantalla a continuación, .trace es la extensión modificada de este
archivo, mientras que .jpeg es su extensión original.
 Modulo 05 – Defeating Anti-forensics Techniques

Nota: Cuando selecciona un archivo de imagen, la herramienta le mostrará su

contenido en la pestaña Application del panel inferior de la ventana de forma
predeterminada. También puede hacer clic en las pestañas Hex, Text, File
Metadata,y otras para ver los datos respectivos almacenados en ellas.
18. De esta manera, puede identificar archivos con extensiones alteradas, ver sus
extensiones originales y realizar análisis adicionales si es necesario.
19. Cierre todas las ventanas abiertas.
Análisis de laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 05 – Defeating Anti-forensics Techniques

Lab
10
Desempaquetar los Empaquetadores de Programas
Escenario del Laboratorio
Un atacante guardó un archivo de programa malicioso en la computadora de la estación
de trabajo que utiliza un contador de una empresa de corretaje de bolsa. El atacante
disfrazó el archivo malicioso como un archivo inofensivo mediante un empaquetador de
programas. El empaquetador de programas permitió que el archivo malicioso se
ejecutara en el sistema sin que lo detectara el firewall del sistema y el programa anti-
malware. El archivo malicioso empaquetado provocó que la información confidencial
almacenada en el sistema de destino se viera comprometida. La empresa consultó a una
agencia de investigación forense para resolver el caso y proteger sus sistemas. Como
investigador forense experto, debe saber cómo descomprimir archivos empaquetados.
Objetivo del Laboratorio
El uso de empaquetadores de programas es una técnica eficaz contra el análisis forense
que permite a un atacante evitar que se detecten programas maliciosos en un sistema.
El objetivo de este laboratorio es ayudarle a aprender a descomprimir archivos de
programas empaquetados.
Entorno del Laboratorio
Para realizar el laboratorio se necesita:

• Máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 15 minutos
Descripción General del Laboratorio
Este laboratorio lo familiarizará con el proceso de identificación del empaquetador
utilizado para empaquetar un archivo mediante Detect it Easy (DiE), ExeInfo PE y luego
descomprimiendo el archivo mediante UPX.
 Modulo 05 – Defeating Anti-forensics Techniques

Tareas del Laboratorio

Nota: En este laboratorio, consideramos que la huella de la investigación no es un

problema importante.
1. En este laboratorio, nuestra primera tarea es identificar el empaquetador
utilizado para empaquetar un archivo llamado [Link] ubicado en E:\CHFI-
Tools\Evidence Files.
2. Usaremos Detect it Easy (DiE) para realizar esta tarea.
3. En la máquina virtual Windows Server 2022, navegue hasta E:\CHFI-
Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Program
Unpacking Tools\Detect it Easy (DiE) y haga doble clic en el archivo [Link] para
iniciar la herramienta.

4. Aparece la ventana principal de la herramienta, como se muestra en la siguiente

captura de pantalla:

5. Haga clic en los tres puntos en la esquina superior derecha de la herramienta.

 Modulo 05 – Defeating Anti-forensics Techniques

6. Aparece la ventana Open file… Vaya a E:\CHFI-Tools\Evidence Files, seleccione

el archivo [Link] y haga clic en Open.

7. La ventana principal de la herramienta ahora mostrará los detalles de la

aplicación que se utilizó para empaquetar el archivo ejecutable seleccionado (es
decir, [Link]).
 Modulo 05 – Defeating Anti-forensics Techniques

8. Cierre la ventana Detect It Easy.

9. Ahora, utilizaremos ExeInfo PE para realizar esta tarea. Vaya a E:\CHFI-
Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Program
Unpacking Tools\ExeInfo PE y haga doble clic en el archivo [Link] para
iniciar la herramienta.
10. Aparece la ventana principal de la herramienta, como se muestra en la siguiente
captura de pantalla:

11. Haga clic en el ícono Open file en el panel derecho de la ventana principal de
herramientas, como se resalta en la captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

12. Aparecerá la ventana Open EXE, DLL file. Vaya a E:\CHFI-Tools\Evidence Files,
seleccione el archivo [Link] y haga clic en Open.

Nota: Para fines demostrativos de este laboratorio, el archivo de evidencia de

destino se denominó [Link]. En un escenario real, un archivo de programa
malicioso podría tener un nombre que parezca normal. Los atacantes disfrazan
los archivos maliciosos como archivos normales mediante herramientas de
empaquetado de programas para que no sean detectados por el firewall y el
software antimalware de un sistema.
 Modulo 05 – Defeating Anti-forensics Techniques

13. La ventana principal de la herramienta mostrará ahora los detalles de la

aplicación que se utilizó para empaquetar el archivo ejecutable seleccionado (es
decir, [Link]).

14. En la captura de pantalla anterior, se puede ver que el archivo ejecutable

seleccionado se ha comprimido con la herramienta UPX. Por lo tanto,
utilizaremos la misma herramienta (UPX) para descomprimirlo. Cierre la ventana
ExeInfo PE.
15. Ejecutaremos la utilidad UPX a través de PowerShell. Vaya a E:\CHFI-
Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Program
Unpacking Tools\UPX y coloque el cursor en el campo de ruta del archivo.
Escriba cmd en la ruta y presione Enter para abrir una ventana del símbolo del
sistema en la ubicación especificada.
 Modulo 05 – Defeating Anti-forensics Techniques

16. Se abre el símbolo del sistema, con la ruta establecida en E:\CHFI-Tools\CHFIv10

Module 05 Defeating Anti-forensics Techniques\Program Unpacking
Tools\UPX.

17. Para descomprimir el archivo de destino, es decir, [Link] (ubicado en

E:\CHFI-Tools\Evidence Files), y guardarlo como [Link], ejecute el
comando [Link] -d -o “E:\CHFI-Tools\Evidence Files\[Link]” “E:\CHFI-
Tools\Evidence Files\[Link]”.
 Modulo 05 – Defeating Anti-forensics Techniques

18. La herramienta UPX unpacks el archivo correctamente, como se muestra en la

siguiente captura de pantalla:

19. El archivo empaquetado ahora se ha descomprimido como [Link] y se

ha guardado en el directorio E:\CHFI-Tools\Evidence Files, como se muestra en
la captura de pantalla:
 Modulo 05 – Defeating Anti-forensics Techniques

20. Este archivo [Link] es el archivo original (sin comprimir) que se ha

comprimido y puede observar que su tamaño es mayor que el del archivo
comprimido.
21. De esta manera, puede detectar los empaquetadores utilizados para comprimir
archivos y descomprimirlos utilizando las herramientas adecuadas.
22. Cierre todas las ventanas abiertas.
23. Apague la máquina virtual de Windows Server 2022.
Análisis de laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.