Taller 1

Informatica forense
Actividades
1) LVM filesytem vfat

Crear un volumen lógico de 1 GiB agregando un

disco virtual de 3 GiB a la VM ol8-gui-lab, el
nombre del LV corresponde a su apellidonombre,
este volumen lógico se debe formatear con filesytem
vfat, una vez creado de manera persistente debe
quedar montado en /nombreappellido

Material de apoyo:
https://docs.oracle.com/en/operating-systems/linux/oracle-linux/7/admin/o
l7-s9-storage.html
 1) LVM filesytem vfat (entregable)
Actividades Pegar pantallazo(s) que permita evidenciar la resolución del punto 1.

A. Pantallazo comando:
a. cat /etc/fstab

Nota del
punto =1

B. Pantallazo comando:
b. df -hT
Actividades
2) Poblar el filesytem

A. Copiar el directorio /usr/share/pixmaps/ y su contenido en

/nombreappellido.
B. Generar la suma de comprobación con el comando sha256sum
para los siguientes archivos:
○ /nombreappellido/pixmaps/faces/cat.jpg
○ /nombreappellido/pixmaps/faces/astronaut.jpg
○ /nombreappellido/pixmaps/faces/penguin.jpg
,guardando la salida de cada suma de comprobación en el
archivo fotos.txt.
C. Verificar la integridad de los archivos anteriores usando el
comando sha256sum y el archivo fotos.txt

Material de apoyo:
Manpage comandos cp y sha256sum
Actividades2) Poblar el filesytem (entregable)
Pegar pantallazo que permita evidenciar la resolución de los puntos 2B, 2C

Nota del
punto 0,75.
El punto
2C
requeria
usar el
comandosh
a256sum
-c fotos.txt
Actividades
3) Encontrar información oculta desde el
shell

A. Usar el comando cat como usuario root en la

VM ol8-gui-lab, inserte al final del
archivo /nombreapellido/pixmaps/faces/penguin.jpg
el contenido del archivo binario /bin/ls:

Material de apoyo:
Manpage cat y operadores de redirección <,>,<<,>>
Actividades
3) Encontrar información oculta desde el
shell

● B) Usar los comando xxd y grep para

encontrar la posición en hexacimal de la
cadena ELF del archivo modificado
/nombreapellido/pixmaps/faces/penguin.jpgg

Material de apoyo:
Manpage xxd, grep
Actividades
3) Encontrar información oculta desde el
shell

● C) eliminar los archivos:

○ /nombreapellido/pixmaps/faces/cat.jpg
○ /nombreapellido/pixmaps/faces/astronaut.jpg
○ /nombreapellido/pixmaps/faces/penguin.jpg

Material de apoyo:
Manpage rm
Actividades3) Ocultar información (entregable)
Pegar pantallazo que permita evidenciar la resolución del punto 3B

Nota del
punto 0,75. El
archivo ls se
insertaba al
final
Actividades
4) Volcar información filesystem LVM
filesytem vfat

Inicie la VM ol8-gui-lab desde CDROM usando

el iso de Caine Linux, una vez iniciado Caine
linux, en una terminal bash realice un volcado del
sistema de archivos VFAT del volumen lógico LV
creado en punto 1.
Material de apoyo:
http://www.sleuthkit.org/sleuthkit/man/fsstat.html
Actividades
4) Volcar información filesystem LVM filesytem vfat

Pegar pantallazo que permita evidenciar la resolución del punto 4.

 Fdisk -l

Nota del punto

0.5, el volcado
del filesytem
FAT se
realizaba con
el comando
fsstat, que
puse en el
material de
apoyo
Actividades
5) Recuperar archivos borrados del
filesytem vfat

Inicie la VM ol8-gui-lab desde CDROM usando

el iso de Caine Linux, una vez iniciado Caine
linux, en una terminal bash recupere los archivos
borrados del punto 3C, montando el LVM creado en
el punto 1 en modo lectura:
○ /nombreapellido/pixmaps/faces/cat.jpg
○ /nombreapellido/pixmaps/faces/astronaut.jpg
○ /nombreapellido/pixmaps/faces/penguin.jpg
Material de apoyo:
man foremost
Actividades 5) Recuperar archivos borrados del filesytem vfat

Pegar pantallazos que permitan evidenciar la resolución del punto 5, visualizando el

contenido del directorio de recuperación y las imágenes de los archivos:
Nota del punto ○ cat.jpg
0,75 ○ astronaut.jpg
○ penguin.jpg
El comando
foremost se
debe ejecutar
sobre el LV,
falto la
visualización
de las
imágenes

Nota del taller:

3,8 . Buen
trabajo