TRABAJO INDIVIDUAL

INFORMATICA FORENSE
CODIGO: 233012

SONIA ERASO HANRRYR

CODIGO: 59836994

Tutor: Ing. HAROLD EMILIO CABRERA MEZA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACION EN SEGURIDAD INFORMATICA
MAYO DE 2014
 1. AUTOPSY

Es un software libre de informática forense que permite el análisis de evidencia digital. . Su

interfaz gráfica es un browser que basado en las herramientas en línea de comandos del
Sleuth Kit, permite un análisis de diversos tipos de evidencia mediante una captura de una
imagen de disco. Se permite en sistemas operativos Linux, Windows, Unix.

Al instalarse se cargan los archivos

necesarios para iniciar el
programa.

Iniciando el caso
Para iniciar por primera vez una recolección y análisis de evidencia digital, es importante
previamente haber obtenido la réplica o imagen del disco donde reside la evidencia. Una vez
iniciada la interfaz gráfica de autopsy, se procede a la creación de un nuevo caso, dando
click en la opción creando nuevo caso (Create New Case)
Al dar click en créate newcase, se despliega un formulario para diligenciar los datos básicos
del nuevo caso (Nombre del caso, descripción, investigador), como se observa en la
siguiente figura. El caso le pondrémos imagen_clonzilla_6 y creamos o seleccionamos una
carpeta donde se valla a almacenar el caso.

En la siguiente pantalla nos pide el número del caso y el nombre del investigador:
Una vez creado el caso nos pide la fuente de donde vamos a analizar el caso, existen 3
opciones:
1. Adicionar desde un archivo de imagen
2. Adicionar un disco local
3. Adicionar archivos lógicos (Para escoger una partición o el sitio donde hayamos
colocado la información analizar).
En este caso voy a escoger analizar un Imagen File que la realizaría con la práctica 1 pero
no funcionó así que se creó una imagen con Osforensics, llamada
SoniaErasoHanrryr_233012.img, que la guardé en la unidad G:

1. Escogemos Image File y empezamos a realizar el análisis:

2. Configuramos los
módulos que se
necesitarán para
realizar el análisis:
 Cada módulo significa:

 Recent Activity: extrae la actividad reciente que se ha realizado en la computadora

bajo investigación. Esto incluye los documentos recientemente abiertos, dispositivos
conectados, historial web, cookies, descargas y marcadores, por ejemplo.

 Hash Lookup: permite agregar bases de datos con valores de hash para archivos
conocidos, como los archivos del sistema operativo o de aplicaciones instaladas.

 Archive Extractor: permite recuperar archivos eliminados, basándose en los

metadatos residuales que quedan en el disco, así como también recuperar archivos en
espacios no asignados en el disco, mediante la detección de los encabezados de
archivos.

 Exif Image Parser: Esto provee información acerca de la cámara con que se tomó
la imagen, fecha y hora o la geolocalización, entre otras cosas.

 Keyword Search: puede definirse una lista de palabras clave o expresiones

regulares a buscar en todo el disco.

Después de configurar unas opciones de análisis empieza a adicionar la imagen:

Y empieza a realizar un análisis donde se podrán ver archivos recientes, eliminados, correos,
urls, etc., donde se muestra los siguientes resultados:

ARCHIVOS ELIMINADOS

ARCHIVOS RECIENTES
TIPO DE

ARCHIVOS: Imágenes, videos, audio

Tipos de documentos

ARCHIVOS ENCONTRADOS
Ultimo archivo creado y accedido: shadow.txt fecha : 2014-05-07

Fecha del archivo más antiguo: 2012-11-10 y la primer carpeta accedida y borrada 2012-11-
16. Relacionada directamente con el volumen de la unidad.
 2. OSFORENSYCS
Es un programa que permite realizarun análisis forense de un ordenador, se utiliza en
sistemas windows, y permite observar la actividad realizada en una computadora. Se trata de
una herramienta que nos pueda dar información sobre cómo se utiliza la computadora,
también información de contraseñas, como son gestionadas, así como la información del
sistema. Permite también crear hashes para que se valide la integridad de un sistema,
analizar discos duros y monitorear las actividades recientes, incluyendo chats, registros de
sesión, descargas, archivos guardados, creados, eliminados, etc.
En este programa se debe tener en cuenta que se usa el indexado de datos puede que
tome un tiempo dependiendo del tamaño del folder o disco que se haya seleccionado. Una
vez que toda esta información haya sido indexada por el programa, será capaz de buscar en
ficheros específicos y realizar el análisis más rápidamente.

1. Una vez instalado el programa se se procedió a crear el nuevo caso:

2. Adicionamos el archivo o la imagen que queremos analizar. En este caso tenemos un

archivo de Word (evidencia 1) y el archivo de imagen que se creo de una usb a través de
esta herramienta que se guardó en la unidad g.

3. 3.
Montamos el archivo de imagen que tenemos guardada, mediante la opción Mount Drive
Imagin
En este caso nos quedo montado en una unidad virtual M, donde analizaremos los diferentes
archivos. Como en este caso montamos la imagen del disco, damos click en el botón open y
nos mostrará todos los archivos de la imagen.

4. Una vez creado el caso, procedemos a mirar los archivos eliminados, la actividad reciente,
el tipo de sistema, las claves utilizadas, etc.

ARCHIVOS ELIMINADOS:
Y actividades recientes donde encontramos el archivo shadow.txt

Archivos
más
antiguos:
Se lo
busca
desde
una
gráfica o
time line
que nos
indica
desde
que
fecha se
creó o modifico el primer archivo.

1
2
 3. AUTOPSY Y CAINE

1. Ejecutamos un nuevo caso con la imagen grabada de la memoria, de acuerdo al manual

que se revisó procedemos a ejecutar el caine versión 2.5

2. Damos click en un nuevo caso e

ingresamos los datos
solicitados

3. Luego damos click en New Case y nos aparecerá la siguiente pantalla donde nos informa
las rutas donde quedará almacenado el caso:
4. Click en Add Host para ingresar el nombre del equipo y damos click en el botón Ad Host:

5. Luego nos aparecerá la ruta donde esta almacenado el caso y la opción de adicionar la
imagen que queremos analizar. Previamente se habia copiado la imagen en el escritorio del
Caine, por lo tanto se le dará la ruta correspondiente.

6. Sale los detalles de la imagen, en que sistema está si es NFTS, Fat32, la ubicación y nos
pregunta si queremos calcular la integrity data, damos click en el botón Add, una vez
montada la imagen nos da los datos del nombre del archivo y procedemos a hacer el análisis
dando click en el botón Analyze:
7. Al dar click en el botón Analyze salen los datos
de la imagen con todos los archivos, eliminados, creados, ultimo acceso:
Archivos más antiguos

Archivo más reciente

Archivos
eliminados:
 4. BACKTRACK Y FORENSICS IMAGEN TOOLS

1. En una máquina virtual con backtrack montamos la imagen que tenemos

grabada para hacer el análisis con la herramienta de Autopsy, pero también
hay herramientas como Forensics Imagen Tool que permiten crear la
imagen a un disco, partición o memoria.

Para ello utilizaremos la herramienta dc3dd que comprende algunas de las

herramientas para clonar discos bit a bit, como dcfldd, ddrescue, etc. Esta es
una modificación de la herramienta de copia bit a bit dd, que incluye ciertas
características que facilitan la adquisición de imágenes forenses.
1. Montamos la unidad usb en el backtrack comprobando que la unidad montada
quedo con el nombre de /dev/sdb1
2. Ejecutamos el comando:
dc3dd if=/dev/sdb1
hofs=media/KINGSTON/SoniaErasoHanrryr_233012.dd.000 ofsz=4000 mb
hash=md5

 if=/dev/sdb: el disco a copiar. En este caso es un disco de 10 GB.

 hofs=/media/ … /imagen.dd.000: el destino donde guardar la imagen
realizada. Podría haberse utilizado la opción of para especificar el destino,
pero hofs permite dividir la salida en distintos archivos con una extensión
secuencial (imagen.dd.000, imagen.dd.001, etc.) y calcula el hash para cada
uno de estos archivos, comparando contra el disco de origen.
 ofsz=500M: el tamaño de cada uno de los archivos en que se dividirá la
imagen.
 hash=md5: el algoritmo de verificación a utilizar. Puede ser: md5, sha1,
sha256 ó sha512.
 log=/media/ … /imagen.txt: ruta al archivo donde se almacenarán las
estadísticas del proceso. Es opcional, ya que esta información también
aparece por pantalla.

3. Y nos empieza a hacer el copiado en la memoria

4. Como podemos observar en la siguiente
imagen, creo 2 archivos en memoria con
extencion dd.000, el cual corresponden a la
imagen que estábamos creando:

PARA EL ANALISIS FORENSE: Como es similar

a la herramienta ejecutada en Caine, se hará de
una forma más resumida.
Ingresamos al directorio y ejecutamos:
/pentest/forensics/autopsy
./autopsy

1. Nos genera un link y lo ejecutamos en el navegador.

2. Click en New Case e introducimos los
datos correspondientes a la guía:

3. Luego click en Add Host e ingresamos el nombre del computador a investigar.

4. Click en Add Host y luego click en el botón Add Image e ingresamos todos los
datos de la ubicación del archivo.
Luego de esto nos aparecerá la imagen a analizar y click en el botón analize
donde aparecen los siguientes datos:

Archivos borrados

Vemos igualmente los archivos más antiguos

Y los últimos archivos a los que se accedieron
 CUADRO COMPARATIVO

PROGRAMAS AUTOPSY OSFORENSICS CAINE-AUTOPSY BACTRACK Y

FORENSICS IMAGIN
TOOL
HERRAMIENTA - Análisis de imagen creada Osfmount: Para montar imágenes - Análisis de imagen Herramientas para la
UTILIZADAS - Análisis de archivos eliminados de disco creada aduisición de
- Análisis de archivos creados - Análisis de particiones imágenes forenses:
- Configuración de módulos: Análisis de archivos borrados - Análisis de archivos
eliminados - Dc3dd
- Files Análisis de acciones recientes - Análisis de archivos - Dcfldd,
- Meta Data creados - Ddrescue
- Data Unit OsfClone: Para clonar imágenes Configuración de
- Keyword Search de disco exactas que a la original módulos:
- Image Details de una forma rápida
- Image Integrity - Files
- File Activity Timelines - Meta Data
- File Type Categories - Data Unit
- Report Generation - Keyword
Search
- Image Details
- Image Integrity
- File Activity
Timelines
- File Type
Categories
- Report
Generation

VENTAJAS - Extrae la actividad reciente que
se ha realizado en una
computadora involucrando
documentos, cookies, dispositivos,
etc.
- Agrega bases de datos con
valores de hash para archivos del
sistema operativo o de
aplicaciones instaladas.
Es un software eficaz para la Diseñado para análisis Permite a través de
creación de imágenes forense en sistemas diversas herramientas
forenses. Windows y Linux realizar una copia de
A través de la herramienta imagen bit a bit
OSFMount podemos montar Viene instalado por
imágenes de disco sin alterar su defecto en caine y Es gratuito
contenido. funciona como un
navegador web Permite restaurar y
Nos permite funcionar como una revisar imágenes de
versión gratuita. permite al investigador disco, compatible con
llevar una bitácora de SO Windows
- Permite descubrir contraseñas, Permite una verificación de todas las pistas
claves para una investigación hashes para la comprobación de encontradas para su Tiene una salida más
forense. la integridad. posterior análisis práctica, informando
sobre la tasa de
-Analiza información disponible de Excelente interfaz gráfica Contiene una interfaz transferencia de la
los archivos de imagen que se web muy amigable y operación
encuentran en el disco y da Fácil de conseguir y descargar a fácil de usar.
información de la cámara con que través de un sitio web. Permite escribir
se tomo la imagen, fecha, hora, et. Al trabajar en S.O Linux distintos logsen
Su versión gratuita tiene permite trabajar con fichero (hash,
- Viene con una lista de limitantes licencia libre verificación, errores),
expresiones para la búsqueda de Permite recuperar
números telefónicos, direcciones archivos eliminados Incorpora
Ip, direccioens de correo funcionalidad de
electrónico y URL. A mi parecer realiza un particionado y
análisis más exhaustivo posibilita la escritura
Permite ver archivos eliminados bajo Linux que bajo de la imagen a
Windows múltiples medios

Permite la generación
de reportes que son de
gran utilidad en hallar
las pistas encontradas y
realizar su respectivo
análisis.
 CONCLUSIONES

- A través de diferentes herramientas se puede hacer un análisis forense que permita

determinar y aclarar los hechos para lo cual se hace dicho análisis. Los resultados
que arrojan estas herramientas permiten establecer hechos sustentables que sean
parte de una evidencia.

- El análisis se lo hizo bajo dos sistemas operativos, cada uno tiene sus ventajas, el
sistema Osforensics utiliza una interfaz gráfica muy útil y fácil para su manejo, los
sistemas bajo Linux, también utilizan ambiente web, pero generan mejores resultados.

- Es bueno combinar todas estas herramientas para tener certeza de la evidencia que
se va a entregar, así como en Backtrack podemos generar imágenes bit a bit que son
mucho más confiables, tenerlas como base para hacer cualquier tipo de análisis
forense.
 BIBLIOGRAFIA

Tutorial para el Manejo de Autopsy en Caine.

Westerheide , S. (Julio de 2012) “Obtención de imágenes forenses mediante derivados

mejorados de dd: dcfldd y dc3dd” Disponible en: http://www.sahw.com/wp/

Untiveros, M. (Agosto de 2011). “CAINE”. Diposnible en

http://www.slideshare.net/miriam1785/caine-8768505#btn