Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Lab 3 Informatica Forense

    Загружено:

    Jose Restrepo
    25 просмотров4 страницы
    Lab 3 Informatica Forense

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    DOCX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    Lab 3 Informatica Forense

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    25 просмотров4 страницы

    Lab 3 Informatica Forense

    Загружено:

    Jose Restrepo
    Lab 3 Informatica Forense

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 4

    INSTITUCIÓN UNIVERSITARIA PASCUAL BRAVO

    INFORMÁTICA FORENSE. LAB 3. NTFS STREAMS.

    NOMBRE: ____JOSE LUIS RESTREPO MARTINEZ_____ FECHA: __13-11-2018___

    OBJETIVO. Comprender cómo puede esconderse información en el sistema de


    archivos NTFS.

    PARTE 1. Archivos

    1. Cree un archivo de texto con notepad, renómbrelo como prueba.txt y escriba


    como contenido “Esto es una prueba” e identifique su ruta de creación: <path>

    A través de cmd.exe, ejecute el comando:

    C:\<path>notepad prueba.txt

    Verifique que el contenido coincide con lo que acabó de escribir.

    2. Para esconder información, después del último atributo MFT del archivo
    prueba.txt, ejecute lo siguiente:

    C:\<path>echo Esto es un secreto > prueba.txt:secreto.txt

    3. Para visualizar la información escondida, ejecute el comando:

    C:\<path>notepad prueba.txt:secreto.txt
    Parte 2. Aplicaciones

    1. Cree un directorio en C:\ llamado magic y copie calc.exe desde


    C:\windows\system32 a C:\magic

    2. Desde cmd.exe ubíquese en C:\magic y ejecute

    notepad readme.txt

    3. Cuando aparezca el archivo en notepad, edítelo con Hello World y guárdelo.

    4. Registre el tamaño del archivo, a través de dir


    5. Para esconder la aplicación de la calculadora en el archivo readme, ejecute:

    C:\magic\calc.exe > C:\magic\readme.txt:calc.exe

    6. Nuevamente registre el tamaño de readme a través de dir. Cambió su tamaño?

    R://El tamaño cambio, subio solo un poco.

    7. Elimine calc.exe desde el directorio magic.

    8. Desde cmd, ejecute un link simbólico, a través de:

    mklink backdoor.exe readme.txt:calc.exe

    9. Ejecute desde cmd:

    C:\magic>backdoor y presione enter

    Preguntas
    1. ¿Qué situación se presenta al ejecutar el comando del punto 9? Anexe
    imagen.

    2. ¿Se ejecutó alguna aplicación?


    No se ejecutó ninguna aplicación, solo me aparece un mensaje de error
    indicando que no es una aplicación win32 valida.
    3. ¿Qué condiciones se deben cumplir para que la aplicación pueda ser
    ejecutada?
    La aplicación debe estar en el mismo directorio donde está el archivo
    readme para ser ejecutada, ya que el sistema trata de abrir una aplicación
    no existente, o que no encuentra en la ruta especificada.

    Justifique sus respuestas.

    10. CONCLUSIONES

    Indique las conclusiones más relevantes sobre la práctica de laboratorio realizada.

     Se puede considerar muy sencillo “ocultar” un archivo dentro de otro, aunque al no


    tener un tipo de seguridad podría ser vulnerado fácilmente.
     Un problema que podemos encontrar es que si el archivo no se especifica
    adecuadamente la ruta el sistema no podrá abrirlo luego desde el archivo en el
    cual lo ocultamos.

    Вам также может понравиться