Taller de Cómputo Forense

Práctica 2

Análisis de caso Se sorprende a un apersona en su casa que aparentemente se dedica a la

venta de estupefacientes Se le detecta una usb y se procede al análisis

Para iniciar el análisis forense:2. Copiar la evidencia, para trabajar con la copia.

cp <evidencia> <copia>3. Verificar la huella digital de la copia

md5sum -c imagen.md54. Identificar el sistema de archivos del que procede esa imagen

file <copia>5. Hay que montar la imagen en modo de sólo lectura

mount -o loop,ro <copia> /mnt/img1 //As root6. Revisar archivos existentes

ls /mnt/img17. Checar archivos borrados

debugfs -w <copia>debugfs: ls -ld //Si hay archivos borrados los inodo no los muestradebugfs: lsdel // Muestra la información de los archivos borradosdebugfs: stat <[inodo]> //Muestra las estadísticas del archivodebugfs: dump_unused //Saca un archivo desde inodo y fuera del debugfsdebugfs: undel <[inodo]> <archivo> debugfs: quit

8. Identificar si los archivos tienen datos ocultos a través de Esteganografía steghide info <arch> // para saber si tiene datos ocultos steghide extract –sf <arch> //Para extraer archivo oculto

9. Truecrypt es el programa más utilizado para cifrar datos truecrypt –text –mount <arch_encriptado> <dir> //As root

10. Revisar los archivos montados11. Los PDFs también pueden tener información oculta, para ver si tienen algo, hay que

montar el archivo pdf. mount_pdf <pdf> <dir> //as root

12. Copiar los archivos para posterior análisis13. Desmontar las imágenes

truecrypt –text –dismount <dir> //As root umount <dir> //as root del pdf

14. Volver a buscar algo encriptado con el nuevo descubrimiento

ANEXO I.Algunos comandos de Linux

catdddebugfsfilemanmoremountmount_pdfsusudosteghidetruecryptumount