Laboratorio Practic a Unid Unid ad II – Inform ática Forense
Lady Johanna Vera Torres Universidad Nacional Nacional Abierta Y A Distancia Facul Facul tad de Ingeni ería Informática Forense 2016
Laboratorio No. II
2 TABLA DE CONTENIDOS
Introducción .............................................................................................................................. 3 Desarrollo de la Práctica...........................................................................................................4 1. Realizar el Informe donde se muestre (pantallazos importantes) los pasos realizados en la práctica, tanto en la instalación de las aplicaciones como en el análisis de la imagen ..... 4 2. Cree un cuadro sobre el análisis realizado a la imagen binaria donde se destaque: archivos borrados, fecha del archivo más antiguo y fecha del archivo más reciente. ......... 13 3.
Cree un cuadro donde se muestre: herramienta, utilidad, ventajas y desventajas. ..... 15
Conclusiones ..........................................................................................................................16 Lista de referencias ................................................................................................................17
Laboratorio No. II
3
Introducción En la actualidad existen muchas herramientas de análisis forense que permiten realizar una investigación de una imagen de un disco, permitiendo a los investigadores obtener información relevante para un caso. A la hora de analizar las evidencias digitales se necesita de herramientas que ayuden a realizar un análisis de forma más eficiente. El adecuado manejo y conocimiento de dichas herramientas permitirá obtener resultados eficientes para entregar como evidencias en un caso.
Laboratorio No. II
4
Desarrollo de la Práctica 1. Realizar el Informe donde se muestre (pantallazos importantes) los pasos realizados en la práctica, tanto en la instalación de las aplicaciones como en el análisis de la imagen Autopsy es una herramienta de análisis forense digital, permite identificar información importante en fuentes de datos como imágenes de discos duros, memorias USB, captura de tráfico de red. Esta herramienta puede ser ejecutada en varios sistemas operativos como Windows, Linux, Unix.
1.1.
Instalación de Autopsy en la máquina Virtualbox en sistema operativo Windows 7
Se da clic en ejecutar para iniciar la instalacion del Autopsy
Se inicia la instalacion
Se escoge la opcion en Nextpara iniciar la instalacion
Después se escoge la opción Install
Laboratorio No. II
5
Nos muestra la ruta en donde quedara la instalacion de la nueva herramienta
Inicia el proceso de instalación que tarda varios minutos
Continua la Instalacion de la nueva herramienta
Finaliza la instalacion del autopsy
1.2. Iniciando Caso Para iniciar por primera vez un análisis de evidencia es importante crear una copia de la imagen donde se encuentra la evidencia; se crea un nuevo caso.
Laboratorio No. II
6
1.3.
Se diligencia el formato con los datos del nuevo caso como (Nombre del Caso en nuestro caso Practica 1, y se selecciona la ruta donde se desea guardar el nuevo caso, Nombre del investigador en nuestra práctica seria jo hannavera_6.
1.4.
El caso ya se creó, por último se configura la fuente de datos que vamos a elegir en este caso es Imagen y elegimos la ruta en donde se encuentra la imagen que va hacer objeto de nuestro análisis forense y las otras opciones se dejan por defecto. (flashevidencia.dd).
Laboratorio No. II
1.5.
7
Seleccionamos las diferentes opciones que se puede realizar el análisis
Recent Activity: extrae la actividad del usuario almacenada por los navegadores Web, se deja marcada para obtener la información. Hash Lookup: Usa los hash de las bases de datos que se indique cuando se da clic en el botón Advance, se puede seleccionar ficheros de bases de datos relacionados con el sistema operativo. File Type identification : Identifica los diferentes tipos de archivos que sean reconocidos por el Instituto de estándares y Tecnología. Archive Extractor: descomprime archivos comprimidos para examinar su contenido.
Exif Parser: Extrae la información exif de las imágenes; extrae los metadatos de las imágenes.
Laboratorio No. II
8
Keyword Search: Se utiliza un listado de palabras claves para buscar los archivos de los que se trabaja, por ejemplo (números telefónicos, direcciones IP, direcciones URL de Internet, entre otras que podemos crear) Email Parser: Extrae la información de los buzones de los clientes de correo electrónico para extraer los mail que se pueden identificar. Extensión Masmacht Detector: Nos permite identificar extensiones de archivos que nos corresponden con el nombre del archivo, por ejemplo una imagen que se le e cambia de extensión, pero esta opción compara los metadatos del archivo de la imagen con su extensión real para saber si ha sido modificado. E01 Verifer: Valida la integridad de los archivos formatos E01 de unidades USB que han sido divido en diferentes archivos.
1.6.
A continuación ya tenemos configurada la fuente de datos, se procesa la imagen que seleccionamos con los módulos que se han configurado.
1.7.
Se puede ver la imagen de disco analizada se tiene diferentes modulos en Data Sources (Las Fuentes de Datos que se han configurado por defecto cada vez que se crea un caso
Laboratorio No. II 9 1.8. En la carpeta Unalloc encontramos una imagen que ha sido borrada, nos permite ver en formato hex, strings, metadatos, texto.
1.9.
En la carpeta OphanFiles encontramos 22, se puede ver cuando fue accesada, creada cada unos de los archivos que se encuentran en la imagen de disco
1.10. En el módulo de vista podemos ver los archivos que han sido borrado en total 267
Laboratorio No. II 10 1.11. Tipo de archivos son 19 imágenes, 10 videos, 22 Audios, e puede encontrar el tipo de extensión
1.12. Se puede encontrar el tamaño en megas que tiene los archivos
1.13. En el módulo de resultados podemos ver los archivos que le han cambiado la extensión las colocaron como pub
Laboratorio No. II
11
1.14. Podemos ver los resultados de los email
1.15. Para generar un reporte de los archivos de textos, se selecciona si se desea que se generen con nombre del archivo, extensión, ultimo acceso, última modificación, creación
Laboratorio No. II 1.16. Reporte generado en formato txt
12
Laboratorio No. II 13 2. Cree un cuadro sobre el análisis realizado a la imagen binaria donde se destaque: archivos borrados, fecha del archivo más antiguo y fecha del archivo más reciente. NAME
QUANTITY
Archivos bor rados – Delete Files Fyle Sistem All
257 267
Name
Modi fied Time
Acces s Time
Created Time
[parent folder]
0000-00-00 000:00:00 2001-08-24 05:00:00 COT
0000-00-00 000:00:00 2009-01-29 00:00:00 COT
0000-00-00 000:00:00 2009-01-29 17:36:45 COT
2009-08-01 18:55:28 COT
2009-08-01 00:00:00 COT
2009-07-24 15:12:45 COT
_OLINA~1.jpg _etup32.exe
Tipo de Archivo s – File Types Images Name
Modif ied Time
Acces s Time
Created Time
f0018108.jpg Puesta de sol.jpg
0000-00-00 00:00:00 2001-08-24 05:00:00 COT 2009-06-28 09:09:52 COT
0000-00-00 00:00:00 2008-01-05 00:00:00 COT 2009-06-28 00:00:00 COT
0000-00-00 00:00:00
París-Nicole_Lenz04.jpg
2008-01-05 COT
09:13:24
19
2009-06-28 09:09:50 COT
Videos Name
Modi fied Time
Acces s Time
Created Time
CULTU_LABODA.asf
2009-06-22 18:22:20 COT 2009-06-22 18:25:10 COT
2009-06-22 00:00:00 COT 2009-06-23 00:00:00 COT
2009-06-22 18:22:19 COT 2009-06-22 18:25:09 COT
segIVconsejo_semanal1.wmv
10
Audi o Name
Modif ied Time
Acc ess Time
Created Time
f0001512.mp3 06 Subidon.wma
0000-00-00 00:00:00 2004-05-18 11:114:26 COT 2008-01-17 10:20:18 COT
0000-00-00 00:00:00 2008-01-28 00:00:00 COT 2008-01-28 00:00:00 COT
0000-00-00 00:00:00
01 ERES.wma
2008-01-28 09:12:21 COT 2008:01:15 08:11:59 COT
22
Archives
0
Documentos Office
86
Laboratorio No. II
14
Name
Modi fied Time
Acces s Time
Created Time
Carta.docx
2008-01-03 09:09:10 COT 2009-07-05 13:34:02 COT
2008-01-03 00:00:00 COT 2009-07-05 00:00:00 COT
2008-01-03 09:09:09 COT 2009-07-05 13:06:51 COT
Name
Modi fied Time
Acces s Time
Created Time
MODELOSOLICITADOS.pdf
2009-06-12 10:54:06 COT
2009-06-23 00:00:00 COT
0000-00-00 00:00:00
Informe Mensual nuevo.doc
PDF
Ejecutables .exe Name
_etup32.exe _etup32.exe
2 Modi fied Time
Acces s Time
Created Time
2009-07-03 14:39:56 COT 2009-08-01 18:55:28 COT
2009-07-23 00:00:00 COT 2009-08-01 00:00:00 COT
2009-07-03 14:39:55 COT 2009-07-24 15:12:45 COT
.com
8
Name
Modi fied Time
Acces s Time
Created Time
erdeIect.com
2007-12-20 03:29:20 COT 2007-12-20 03:29:20 COT
2009-04-16 00:00:00 COT 2009-04-20 00:00:00 COT
2009-04-16 13:06:32 COT 2009-04-16 13:06:32 COT
erdeIect.com
1
Laboratorio No. II
15
3. Cree un cuadro donde se muestre: herramienta, utilidad, ventajas y desventajas.
Herramienta
Utilidad
AUTOPSY
Permite analizar las imágenes de disco duro, explorar sus archivos, metadatos, entre otros, con el fin de encontrar fechas de últimos accesos, creación y modificación
Ventajas
Funciona en diferentes sistemas operativos como Windows y Linux, Solaris. MAC Es una herramienta libre (es gratuita) Permite encontrar y recuperar archivos que han sido borrados. Tiene diferentes módulos de configuración que ayuda a un análisis más eficaz. Genera reportes en diferentes formatos que permiten respaldar y realizar un análisis más profundo. Es un modelo cliente servidor y puede acceder a imágenes que estén en un servidor. Tiene la integridad de las imágenes de disco en su análisis.
Puede ser una desventaja para algunos investigadores que utilizan esta herramienta que está en inglés.
Desventajas
Laboratorio No. II
16
Conclusiones
El análisis de evidencias se puede realizar mediante el uso de herramientas que permitan analizar y arrojar un reporte eficiente que aporte pruebas al caso. Las herramientas son muy útiles y fáciles de entender, aunque se requiere tener conocimiento para manipular dicha herramienta y sacar todas sus ventajas.
Laboratorio No. II
17
Lista de referencias
Eset
(2013). WeLive Security, como realizar un análisis forense con Autopsy URL http://www.welivesecurity.com/la-es/2013/09/23/como-realizar-analisis-forenseautopsy/
Jojoa P Doris E. (2014). Herramientas para el análisis forense URL http://notasinformaticaforense.blogspot.com.co/2014/11/herramientas-paraelanalisis-forense.html Díaz J Gerardo, Usme Jaime, Tutorial de Autopsy – el software libre y la informática forense URL http://software-libre-if.blogspot.com.co/p/tutorial-de-autopsy.html Martínez C William (2015), Autopsy 3 1 3 Windows – YouTube URL https://www.youtube.com/watch?v=DlZTYBuvkZY Ruiz L. Agustín (2015), Autopsy 3.1.2 (Sleuth Kit) – Visión General – YouTube URL https://www.youtube.com/watch?v=J1vhU0ZJNCs
