Análisis Forense de una Memoria SD

por Jimmy Willer Maco Elera

Agenda

• Se usara caine y deft.• Instalación de caine.• Generación de una imagen (*.dd) con calculo

de MD5 y SHA256.• CAINE Interface.• Ejecución del DEFT desde un live cd.• Generación de imágenes con DEFT.

Instalación del caine (1)

Instalación del caine (2)

Instalación del caine (3)

Instalación del caine (4)

Instalación del caine (5)

Instalación del caine (6)

Instalación del caine (7)

Instalación del caine (8)

Instalación finalizada

Booteo desde caine

Escritorio del caine

Montar memoria USB

CAINE: Creando una imagen

CAINE: Parametros

procesando memoria sd

CAINE: Calculo de MD5 y SHA1

CAINE Interface

CAINE: Leyendo una imagen

CAINE: imgstat

• Muestra información del tipo de formato de la imagen (raw) y el tamaño en bytes.

CAINE: mmls

• Nos indica donde se puede comenzar a encontrar la información de las particiones dentro de la imagen. En este caso es 135.

CAINE: fsstat

CAINE: fundl• Recupera archivos

eliminados desde la imagen creada a una carpeta.

Booteo DEFT Live CD

Ejecucion de modo grafico

Herramientas DEFT

DEFT: Generación de Imagenes

DEFT: Parametros GUYMAGER

GUYMAGER: Proceso finalizado

Archivos generados

Archivos de control MD5

Archivo de información (1)

Archivo de información (2)

Conclusiones

• El CAINE Live CD tiene problemas, por eso preferí instalarlo.

• El Guymager de DEFT es mas reciente que el que viene con CAINE.

• DEFT es mucho mas liviano sin muchos utilitarios, por lo recomiendo para gente con experiencia en entornos linux.

Conclusiones

• La generación de las imágenes son una forma confiable de preservar la evidencia.

• Los valores MD5, SHA1, SHA256 sirven para verificar la confiabilidad de las pruebas extraídas de posibles adulteraciones. Son muy importantes al auditar evidencias digitales.

Análisis Informático Forense

Gracias

TwitterFacebook

Blog