Laboratorio

Practica Unidad II – Informática Forense

Lady Johanna Vera Torres

Universidad Nacional Abierta Y A Distancia
Facultad de Ingeniería
Informática Forense
2016
Laboratorio No. II 2

TABLA DE CONTENIDOS

Introducción .............................................................................................................................. 3

Desarrollo de la Práctica ........................................................................................................... 4

1. Realizar el Informe donde se muestre (pantallazos importantes) los pasos realizados en
la práctica, tanto en la instalación de las aplicaciones como en el análisis de la imagen ..... 4

2. Cree un cuadro sobre el análisis realizado a la imagen binaria donde se destaque:

archivos borrados, fecha del archivo más antiguo y fecha del archivo más reciente. ......... 13

3. Cree un cuadro donde se muestre: herramienta, utilidad, ventajas y desventajas. ..... 15

Conclusiones .......................................................................................................................... 16

Lista de referencias ................................................................................................................ 17

Laboratorio No. II 3

Introducción

En la actualidad existen muchas herramientas de análisis forense que permiten realizar una
investigación de una imagen de un disco, permitiendo a los investigadores obtener información
relevante para un caso.

A la hora de analizar las evidencias digitales se necesita de herramientas que ayuden a realizar
un análisis de forma más eficiente. El adecuado manejo y conocimiento de dichas herramientas
permitirá obtener resultados eficientes para entregar como evidencias en un caso.
Laboratorio No. II 4

Desarrollo de la Práctica

1. Realizar el Informe donde se muestre (pantallazos importantes) los pasos realizados en

la práctica, tanto en la instalación de las aplicaciones como en el análisis de la imagen

Autopsy es una herramienta de análisis forense digital, permite identificar información

importante en fuentes de datos como imágenes de discos duros, memorias USB,
captura de tráfico de red. Esta herramienta puede ser ejecutada en varios sistemas
operativos como Windows, Linux, Unix.

1.1. Instalación de Autopsy en la máquina Virtualbox en sistema operativo Windows 7

Se da clic en ejecutar para iniciar la instalacion del Se inicia la instalacion

Autopsy

Se escoge la opcion en Nextpara iniciar la Después se escoge la opción Install

instalacion
Laboratorio No. II 5

Nos muestra la ruta en donde quedara la instalacion Inicia el proceso de instalación que tarda varios
de la nueva herramienta minutos

Continua la Instalacion de la nueva herramienta Finaliza la instalacion del autopsy

1.2. Iniciando Caso

Para iniciar por primera vez un análisis de evidencia es importante crear una copia de
la imagen donde se encuentra la evidencia; se crea un nuevo caso.
Laboratorio No. II 6

1.3. Se diligencia el formato con los datos del nuevo caso como (Nombre del Caso en
nuestro caso Practica 1, y se selecciona la ruta donde se desea guardar el nuevo
caso, Nombre del investigador en nuestra práctica seria johannavera_6.

1.4. El caso ya se creó, por último se configura la fuente de datos que vamos a elegir en
este caso es Imagen y elegimos la ruta en donde se encuentra la imagen que va
hacer objeto de nuestro análisis forense y las otras opciones se dejan por defecto.
(flashevidencia.dd).
Laboratorio No. II 7

1.5. Seleccionamos las diferentes opciones que se puede realizar el análisis

 Recent Activity: extrae la actividad del usuario almacenada por los navegadores
Web, se deja marcada para obtener la información.

 Hash Lookup: Usa los hash de las bases de datos que se indique cuando se da
clic en el botón Advance, se puede seleccionar ficheros de bases de datos
relacionados con el sistema operativo.

 File Type identification: Identifica los diferentes tipos de archivos que sean
reconocidos por el Instituto de estándares y Tecnología.

 Archive Extractor: descomprime archivos comprimidos para examinar su

contenido.

 Exif Parser: Extrae la información exif de las imágenes; extrae los metadatos de
las imágenes.
Laboratorio No. II 8

 Keyword Search: Se utiliza un listado de palabras claves para buscar los archivos
de los que se trabaja, por ejemplo (números telefónicos, direcciones IP,
direcciones URL de Internet, entre otras que podemos crear)

 Email Parser: Extrae la información de los buzones de los clientes de correo

electrónico para extraer los mail que se pueden identificar.

 Extensión Masmacht Detector: Nos permite identificar extensiones de archivos

que nos corresponden con el nombre del archivo, por ejemplo una imagen que
se le e cambia de extensión, pero esta opción compara los metadatos del archivo
de la imagen con su extensión real para saber si ha sido modificado.

 E01 Verifer: Valida la integridad de los archivos formatos E01 de unidades USB
que han sido divido en diferentes archivos.

1.6. A continuación ya tenemos configurada la fuente de datos, se procesa la imagen

que seleccionamos con los módulos que se han configurado.

1.7. Se puede ver la imagen de disco analizada se tiene diferentes modulos en Data
Sources (Las Fuentes de Datos que se han configurado por defecto cada vez que
se crea un caso
Laboratorio No. II 9
1.8. En la carpeta Unalloc encontramos una imagen que ha sido borrada, nos permite
ver en formato hex, strings, metadatos, texto.

1.9. En la carpeta OphanFiles encontramos 22, se puede ver cuando fue accesada,
creada cada unos de los archivos que se encuentran en la imagen de disco

1.10. En el módulo de vista podemos ver los archivos que han sido borrado en total 267
Laboratorio No. II 10
1.11. Tipo de archivos son 19 imágenes, 10 videos, 22 Audios, e puede encontrar el tipo
de extensión

1.12. Se puede encontrar el tamaño en megas que tiene los archivos

1.13. En el módulo de resultados podemos ver los archivos que le han cambiado la
extensión las colocaron como pub
Laboratorio No. II 11

1.14. Podemos ver los resultados de los email

1.15. Para generar un reporte de los archivos de textos, se selecciona si se desea que se
generen con nombre del archivo, extensión, ultimo acceso, última modificación,
creación
Laboratorio No. II 12

1.16. Reporte generado en formato txt

Laboratorio No. II 13
2. Cree un cuadro sobre el análisis realizado a la imagen binaria donde se destaque:
archivos borrados, fecha del archivo más antiguo y fecha del archivo más reciente.

NAME QUANTITY

Archivos borrados – Delete Files

Fyle Sistem 257

All 267
Name Modified Time Access Time Created Time

[parent folder] 0000-00-00 0000-00-00 0000-00-00

000:00:00 000:00:00 000:00:00
_OLINA~1.jpg 2001-08-24 2009-01-29 2009-01-29
05:00:00 COT 00:00:00 COT 17:36:45 COT
_etup32.exe 2009-08-01 2009-08-01 2009-07-24
18:55:28 COT 00:00:00 COT 15:12:45 COT

Tipo de Archivos – File Types

Images
Name Modified Time Access Time Created Time

f0018108.jpg 0000-00-00 00:00:00 0000-00-00 00:00:00 0000-00-00 00:00:00

Puesta de sol.jpg 2001-08-24 05:00:00 2008-01-05 00:00:00 2008-01-05 09:13:24 19
COT COT COT
París-Nicole_Lenz- 2009-06-28 09:09:52 2009-06-28 00:00:00 2009-06-28 09:09:50
04.jpg COT COT COT

Videos
Name Modified Time Access Time Created Time

CULTU_LABODA.asf 2009-06-22 2009-06-22 2009-06-22 10

18:22:20 COT 00:00:00 COT 18:22:19 COT
segIVconsejo_semanal1.wmv 2009-06-22 2009-06-23 2009-06-22
18:25:10 COT 00:00:00 COT 18:25:09 COT

Audio
Name Modified Time Access Time Created Time

f0001512.mp3 0000-00-00 00:00:00 0000-00-00 00:00:00 0000-00-00 00:00:00

06 Subidon.wma 2004-05-18 11:114:26 2008-01-28 00:00:00 2008-01-28 09:12:21 22
COT COT COT
01 ERES.wma 2008-01-17 10:20:18 2008-01-28 00:00:00 2008:01:15 08:11:59
COT COT COT

Archives 0

Documentos
Office 86
Laboratorio No. II 14

Name Modified Time Access Time Created Time

Carta.docx 2008-01-03 2008-01-03 2008-01-03

09:09:10 COT 00:00:00 COT 09:09:09 COT
Informe Mensual nuevo.doc 2009-07-05 2009-07-05 2009-07-05
13:34:02 COT 00:00:00 COT 13:06:51 COT

PDF
1
Name Modified Time Access Time Created Time

MODELOSOLICITADOS.pdf 2009-06-12 2009-06-23 0000-00-00

10:54:06 COT 00:00:00 COT 00:00:00

Ejecutables
.exe 2
Name Modified Time Access Time Created Time

_etup32.exe 2009-07-03 2009-07-23 2009-07-03

14:39:56 COT 00:00:00 COT 14:39:55 COT
_etup32.exe 2009-08-01 2009-08-01 2009-07-24
18:55:28 COT 00:00:00 COT 15:12:45 COT

.com 8

Name Modified Time Access Time Created Time

erdeIect.com 2007-12-20 2009-04-16 2009-04-16

03:29:20 COT 00:00:00 COT 13:06:32 COT
erdeIect.com 2007-12-20 2009-04-20 2009-04-16
03:29:20 COT 00:00:00 COT 13:06:32 COT
Laboratorio No. II 15

3. Cree un cuadro donde se muestre: herramienta, utilidad, ventajas y desventajas.

AUTOPSY
Herramienta

Permite analizar las imágenes de disco duro,

explorar sus archivos, metadatos, entre
Utilidad
otros, con el fin de encontrar fechas de
últimos accesos, creación y modificación

 Funciona en diferentes sistemas

operativos como Windows y Linux,
Solaris. MAC
 Es una herramienta libre (es gratuita)
 Permite encontrar y recuperar archivos
que han sido borrados.
 Tiene diferentes módulos de
configuración que ayuda a un análisis
Ventajas más eficaz.
 Genera reportes en diferentes formatos
que permiten respaldar y realizar un
análisis más profundo.
 Es un modelo cliente servidor y puede
acceder a imágenes que estén en un
servidor.
 Tiene la integridad de las imágenes de
disco en su análisis.

 Puede ser una desventaja para

Desventajas algunos investigadores que utilizan
esta herramienta que está en inglés.
Laboratorio No. II 16

Conclusiones

 El análisis de evidencias se puede realizar mediante el uso de herramientas que

permitan analizar y arrojar un reporte eficiente que aporte pruebas al caso.

 Las herramientas son muy útiles y fáciles de entender, aunque se requiere tener
conocimiento para manipular dicha herramienta y sacar todas sus ventajas.
Laboratorio No. II 17

Lista de referencias

Eset (2013). WeLive Security, como realizar un análisis forense con Autopsy
URL http://www.welivesecurity.com/la-es/2013/09/23/como-realizar-analisis-forense-
autopsy/

Jojoa P Doris E. (2014). Herramientas para el análisis forense

URL http://notasinformaticaforense.blogspot.com.co/2014/11/herramientas-para-
elanalisis-forense.html

Díaz J Gerardo, Usme Jaime, Tutorial de Autopsy – el software libre y la informática forense
URL http://software-libre-if.blogspot.com.co/p/tutorial-de-autopsy.html

Martínez C William (2015), Autopsy 3 1 3 Windows – YouTube

URL https://www.youtube.com/watch?v=DlZTYBuvkZY

Ruiz L. Agustín (2015), Autopsy 3.1.2 (Sleuth Kit) – Visión General – YouTube
URL https://www.youtube.com/watch?v=J1vhU0ZJNCs