Documentos de Académico
Documentos de Profesional
Documentos de Cultura
análisis forense
Uso de herramienta Autopsy en caso (Parte 3)
Módulos Importantes:
• Recent Activity: extrae la actividad reciente que se ha realizado en la computadora bajo
investigación. Esto incluye los documentos recientemente abiertos, dispositivos conectados,
historial web, cookies, descargas y marcadores, por ejemplo.
• Hash Lookup: permite agregar bases de datos con valores de hash para archivos conocidos,
como los archivos del sistema operativo o de aplicaciones instaladas. Así, puede ahorrarse
mucho tiempo al evitar realizar búsquedas en estos archivos conocidos.
• Archive Extractor: permite recuperar archivos eliminados, basándose en los metadatos
residuales que quedan en el disco, así como también recuperar archivos en espacios no
asignados en el disco, mediante la detección de los encabezados de archivos.
• Exif Image Parser: permite analizar la información disponible en el encabezado Exif de los
archivos de imagen JPEG que se encuentran en el disco. Esto provee información acerca de
la cámara con que se tomó la imagen, fecha y hora o la geolocalización, entre otras cosas.
• Keyword Search: puede definirse una lista de palabras clave o expresiones regulares a buscar
en todo el disco. Como se observa en la imagen anterior, Autopsy ya viene con una lista de
expresiones regulares incluidas para búsqueda de números telefónicos, direcciones IP,
direcciones de correo electrónico y URL.
Preguntas a responder:
• ¿Cual es el hash de la imagen de disco? ¿Coincide el hash de adquisición
y verificación?
• ¿Qué sistema operativo se utilizó en el dispositivo?
• ¿Cuándo fue la fecha de instalación?
• ¿Cuál es la configuración de zona horaria?
• ¿Quién es el propietario registrado? (hasta clase anterior)
• ¿Cuántas cuentas están registradas (número total)?
• ¿Quién fue el último usuario que inició sesión en la computadora?
• ¿Quién es el propietario?
• ¿Aplicación extraña?
• Enumerar tarjetas de red utilizadas en la computadora
• ¿Cuál es la dirección IP y la dirección MAC?
¿Cuál es la dirección de correo electrónico de
Mr. Evil?
whoknowsme@sbcglobal.net
Que cliente de correo electrónico utilizó mr.
Evil? • https://culturacion.com/que-es-el-archivo-ntuser-dat-en-windows-y-p
or-que-no-eliminarlo/
• Esto lo podemos encontrar en el archivo ntuser.dat
¿Cuáles son las configuraciones NNTP
(servidor de noticias) para Mr. Evil?
• https://ccnatutorials.in/application-layer-of-tcp-ip/nntp-network-new
s-transfer-protocol/
Protocolo de noticias
Network News Transport Protocol (NNTP) es un protocolo inicialmente
creado para la lectura y publicación de artículos de noticias en Usenet.
Su traducción literal al español es "protocolo para latransferencia de
noticias en red".NNTP consta de un servidor en el que están
almacenadas las noticias y a él se conectan los clientes a través de la
red. La conexión entre cliente y servidor se hace de forma interactiva.
Esta conexión se realiza sobre el protocolo TCP (Puerto 1 19). Si se
utiliza SSL seemplea el puerto 569.
Grupos de noticias a las que estaba suscrito
Mr. Evil • Path: C:\Document and Settings\Mr. Evil\Local Settings\
Application Data\Identities\{EF086998–1115–4ECD-9B13
9ADC067B4929} \Microsoft\Outlook Express
Entender sobre análisis forense de archivos
de Outlook:
• https://www.mailxaminer.com/blog/outlook-express-email-forensics/
Un teléfono :
https://udger.com/resources/ua-list/device-detail?device=PDA
¿A que sitios accedió la victima?
¿Que páginas web visitó mr. evil?
En los sitios, existe un login de usuario
mrevilrulez, el cual ya habíamos visto antes:
(mIRC)
Podemos confirmar la dirección de mr. Evil?
• Buscamos el correo:
• Con esto nos damos cuenta de que existe un
directorio que aloja estos correos:
¿Dónde están los eliminados de la papelera
de reciclaje? ¿Cuántos Hay?