Unidad 1: Introducción al

análisis forense
Uso de herramienta Autopsy en caso (Parte 3)
Módulos Importantes:
• Recent Activity: extrae la actividad reciente que se ha realizado en la computadora bajo
investigación. Esto incluye los documentos recientemente abiertos, dispositivos conectados,
historial web, cookies, descargas y marcadores, por ejemplo.
• Hash Lookup: permite agregar bases de datos con valores de hash para archivos conocidos,
como los archivos del sistema operativo o de aplicaciones instaladas. Así, puede ahorrarse
mucho tiempo al evitar realizar búsquedas en estos archivos conocidos.
• Archive Extractor: permite recuperar archivos eliminados, basándose en los metadatos
residuales que quedan en el disco, así como también recuperar archivos en espacios no
asignados en el disco, mediante la detección de los encabezados de archivos.
• Exif Image Parser: permite analizar la información disponible en el encabezado Exif de los
archivos de imagen JPEG que se encuentran en el disco. Esto provee información acerca de
la cámara con que se tomó la imagen, fecha y hora o la geolocalización, entre otras cosas.
• Keyword Search: puede definirse una lista de palabras clave o expresiones regulares a buscar
en todo el disco. Como se observa en la imagen anterior, Autopsy ya viene con una lista de
expresiones regulares incluidas para búsqueda de números telefónicos, direcciones IP,
direcciones de correo electrónico y URL.
Preguntas a responder:
• ¿Cual es el hash de la imagen de disco? ¿Coincide el hash de adquisición
y verificación?
• ¿Qué sistema operativo se utilizó en el dispositivo?
• ¿Cuándo fue la fecha de instalación?
• ¿Cuál es la configuración de zona horaria?
• ¿Quién es el propietario registrado? (hasta clase anterior)
• ¿Cuántas cuentas están registradas (número total)?
• ¿Quién fue el último usuario que inició sesión en la computadora?
• ¿Quién es el propietario?
• ¿Aplicación extraña?
• Enumerar tarjetas de red utilizadas en la computadora
• ¿Cuál es la dirección IP y la dirección MAC?
¿Cuál es la dirección de correo electrónico de
Mr. Evil?

whoknowsme@sbcglobal.net
Que cliente de correo electrónico utilizó mr.
Evil? • https://culturacion.com/que-es-el-archivo-ntuser-dat-en-windows-y-p
or-que-no-eliminarlo/
• Esto lo podemos encontrar en el archivo ntuser.dat
¿Cuáles son las configuraciones NNTP
(servidor de noticias) para Mr. Evil?
• https://ccnatutorials.in/application-layer-of-tcp-ip/nntp-network-new
s-transfer-protocol/
Protocolo de noticias
Network News Transport Protocol (NNTP) es un protocolo inicialmente
creado para la lectura y publicación de artículos de noticias en Usenet.
Su traducción literal al español es "protocolo para latransferencia de
noticias en red".NNTP consta de un servidor en el que están
almacenadas las noticias y a él se conectan los clientes a través de la
red. La conexión entre cliente y servidor se hace de forma interactiva.
Esta conexión se realiza sobre el protocolo TCP (Puerto 1 19). Si se
utiliza SSL seemplea el puerto 569.
Grupos de noticias a las que estaba suscrito
Mr. Evil • Path: C:\Document and Settings\Mr. Evil\Local Settings\
Application Data\Identities\{EF086998–1115–4ECD-9B13
9ADC067B4929} \Microsoft\Outlook Express
Entender sobre análisis forense de archivos
de Outlook:
• https://www.mailxaminer.com/blog/outlook-express-email-forensics/

• Todas las carpetas y mensajes de correo electrónico de Outlook

Express, las carpetas IMAP locales y las configuraciones se almacenan
en una sola carpeta. La ubicación de este directorio es:
• Documents and Settings\user_name\Local Settings\Application Data\
Identities\Microsoft\Outlook Express
Un programa llamado mIRC ?
• (Internet Relay Chat).
• mIRC es un popular cliente de Internet Relay Chat utilizado
por individuos y organizaciones para comunicarse,
compartir, jugar y trabajar entre sí en redes IRC de todo el
mundo. mIRC, que presta servicios a la comunidad de
Internet durante más de dos décadas, se ha convertido en
una pieza de tecnología poderosa, confiable y divertida.
• https://www.mirc.com/
¿Qué datos podemos encontrar acerca de la
configuración de este chat?
¿Podemos encontrar chats?
-SI
Otro programa llamativo: Ethereal
• También se encontró instalado Ethereal, un popular programa de
"rastreo" que se puede utilizar para interceptar paquetes de Internet
inalámbricos y por cable. Cuando los paquetes TCP se recopilan y se
vuelven a ensamblar, el directorio de almacenamiento
predeterminado es el directorio \Mis documentos del usuario. ¿Cuál
es el nombre del archivo que contiene los datos interceptados?
¿Qué contiene ese archivo?
Quien era la victima ? Que utilizaba?

Un teléfono :
https://udger.com/resources/ua-list/device-detail?device=PDA
¿A que sitios accedió la victima?
¿Que páginas web visitó mr. evil?
En los sitios, existe un login de usuario
mrevilrulez, el cual ya habíamos visto antes:

(mIRC)
 Podemos confirmar la dirección de mr. Evil?
• Buscamos el correo:
• Con esto nos damos cuenta de que existe un
directorio que aloja estos correos:
¿Dónde están los eliminados de la papelera
de reciclaje? ¿Cuántos Hay?

Ni le intenten con los .exe

¿Estos archivos están realmente eliminados?

-NO
¿Cuáles si?
¿Habían virus en este sistema?

¿Qué es un ZIP BOMB?

Un ejemplo práctico, primero investigue que es y para que sirve:

https://www.unforgettable.dk/
Actividad
• Agregar avance al documento word con paso a paso realizado.
• Investigue las herramientas y/o elementos que desconozca, describa
función y uso.
• Recuerde que en el nombre del caso, colocar su nombre_apellido.
• Enviar por correo con nombre asunto “Actividad Autopsy 3”