7/22/2019 Practica Analisis Forense

1/18

Autor: Victoriano Sevillano Vega

7/22/2019 Practica Analisis Forense

2/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

2 | P g i n a

Analisis forenseEnunciado de la prctica:

Quin es el proveedor de marihuana de Joe Jacobs y cual es ladireccin listada del proveedor?

Qu dato crucial est disponible dentro de coverpage.jpg y porque eldato es crucial?

Qu (si hay) otras escuelas vecinas a Snith Hill Joe Jacobs frecuenta?

Para cada archivo, que procesos hizo el sospechoso para enmascarar deotros.

Qu procesos (usted como analista) realiz para examinar el contenidocompleto decada archivo?

Ejecucin de la practica:

Descargamos la imagen:

Hacemos una verificacin del hash MD5:

7/22/2019 Practica Analisis Forense

3/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

3 | P g i n a

Y lo descomprimimos; el archivo resultante ser image:

Instalamos los programas autopsyy sleuthkit

Iniciamos autopsy con el siguiente comando, aunque tendremos que ir alnavegador. Si quisiramos conectarnos remotamente a autopsy, debemosindicar el parmetrop puerto ipcliente:

7/22/2019 Practica Analisis Forense

4/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

4 | P g i n a

De forma local:

Desde el navegador:

7/22/2019 Practica Analisis Forense

5/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

5 | P g i n a

A continuacin, vamos a crear un nuevo caso, as que hacemos clic ennew case, y rellenamos la siguiente pantalla:

Y hacemos clic en new case

Accederemos a esta pantalla:

7/22/2019 Practica Analisis Forense

6/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

6 | P g i n a

(Esta captura es un ejemplo, como se ve ms abajo, discoflexible, no es mi nombre de host)

Donde deberemos poner un nombre de host y una descripcin, seguimosadelante, y se confirmaran los cambios:

7/22/2019 Practica Analisis Forense

7/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

7 | P g i n a

Ahora, tendremos que aadir a imagen, haciendo clic en add image, quenos llevara a esta pantalla:

Hacemos clic en Volume image

7/22/2019 Practica Analisis Forense

8/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

8 | P g i n a

Hacemos clic en add image:

7/22/2019 Practica Analisis Forense

9/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

9 | P g i n a

7/22/2019 Practica Analisis Forense

10/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

10 | P g i n a

Iniciamos el anlisis:

7/22/2019 Practica Analisis Forense

11/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

11 | P g i n a

Vamos a analizar page.jpgc; Autopsy no ha reconocido el archivo como

JPEG:

Al ver el contenido en hexadecimal, vemos algo curioso que mas adelantenecesitaremos:

Vamos a visualizar los metadatos.

En size nos dice que el archivo es de 15585 bytes, pero silo asigna 512

bytes un sector.

7/22/2019 Practica Analisis Forense

12/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

12 | P g i n a

Vamos a realizar una busqueda de la firma JPEG (JFIF). Y nos dice que se encuentra en

el sector 73.

Se necesitan 31 sectores, pues 15585/512 es, redondeando al siguientesector, 31. Solo 31 estan asiciados con el archivo, como se verificar, dadoque la 104 y 105 estan asignados a otro archivo.

7/22/2019 Practica Analisis Forense

13/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

13 | P g i n a

El siguiente archivo a analizar, ser Jungle.doc:

Vamos a ver sus metadatos:

Nos dice que ocupa 20480 bytes, por tanto necesitamos 40 sectores.

7/22/2019 Practica Analisis Forense

14/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

14 | P g i n a

Extraemos el archivo:

Este es el documento que hemos recuperado:

7/22/2019 Practica Analisis Forense

15/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

15 | P g i n a

Por ltimo, y ms importante, analizamos visist.exe:

Se reconoce como un archivo .ZIP

7/22/2019 Practica Analisis Forense

16/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

16 | P g i n a

Visualizamos los metadatos, y vemos que ocupa 1000, por tanto requieredos sectores, 104 y 105, los que dijimos que estaban reservadosanteriormente.

Lo extraemos, esta vez lo muestro por comandos, pero se haceexactamente igual que antes. Este archivo tiene asignados los sectoresdesde el 73 hasta el 108.

Insertamos la contrasea que hemos obtenido del espacio de holgura delarchivo JPG.

7/22/2019 Practica Analisis Forense

17/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

17 | P g i n a

Este es el documento donde se muestran colegios, das del mes..

Las repuestas a las preguntas serian las siguientes:

Quin es el proveedor de marihuana de Joe Jacobs y cual es ladireccin listada del proveedor?

Bien, como hemos visto en el doc. Que hemos recuperado, Joe Jacobes:

7/22/2019 Practica Analisis Forense

18/18

Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega

18 | P g i n a

Qu dato crucial est disponible dentro de coverpage.jpg y porque

el dato es crucial?

La cadena pw=goodtimes que se encontr en el espacio de holgura. Escrucial porque es la contrasea que necesitamos para el archivoprotegido Scheduled Visits.exe

Qu (si hay) otras escuelas vecinas a Snith Hill Joe Jacobsfrecuenta?

Hemos comprobado en el .xls que tiene mas coleguios, adems de dasy meses:

Para cada archivo, que procesos hizo el sospechoso paraenmascarar de otros.

Qu procesos (usted como analista) realiz para examinar elcontenido completo de cada archivo?

Analizar todos los archivos uno a uno ver el tamao que ocupan y ver si

es consistente