Scribd Logo
Importer

Bienvenue sur Scribd !

  • Practica Analisis Forense

    Transféré par

    Victor Sevillano
    331 vues18 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    331 vues18 pages

    Practica Analisis Forense

    Transféré par

    Victor Sevillano

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 18

    Autor: Victoriano Sevillano Vega

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Analisis forense

    Enunciado de la prctica: Quin es el proveedor de marihuana de Joe Jacobs y cual es la direccin listada del proveedor? Qu dato crucial est disponible dentro de coverpage.jpg y porque el dato es crucial? Qu (si hay) otras escuelas vecinas a Snith Hill Joe Jacobs frecuenta? Para cada archivo, que procesos hizo el sospechoso para enmascarar de otros. Qu procesos (usted como analista) realiz para examinar el contenido completo de cada archivo?

    Ejecucin de la practica: Descargamos la imagen:

    Hacemos una verificacin del hash MD5:

    2|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Y lo descomprimimos; el archivo resultante ser image: Instalamos los programas autopsy y sleuthkit

    Iniciamos autopsy con el siguiente comando, aunque tendremos que ir al navegador. Si quisiramos conectarnos remotamente a autopsy, debemos indicar el parmetro p puerto ipcliente:

    3|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    De forma local:

    Desde el navegador:

    4|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    A continuacin, vamos a crear un nuevo caso, as que hacemos clic en new case, y rellenamos la siguiente pantalla:

    Y hacemos clic en new case

    Accederemos a esta pantalla:

    5|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    (Esta captura es un ejemplo, como se ve ms abajo, discoflexible, no es mi nombre de host)

    Donde deberemos poner un nombre de host y una descripcin, seguimos adelante, y se confirmaran los cambios:

    6|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Ahora, tendremos que aadir a imagen, haciendo clic en add image, que nos llevara a esta pantalla:

    Hacemos clic en Volume image

    7|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Hacemos clic en add image:

    8|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    9|Pgina

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Iniciamos el anlisis:

    10 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Vamos a analizar page.jpgc; Autopsy no ha reconocido el archivo como JPEG:

    Al ver el contenido en hexadecimal, vemos algo curioso que mas adelante necesitaremos:

    Vamos a visualizar los metadatos. En size nos dice que el archivo es de 15585 bytes, pero silo asigna 512 bytes un sector. 11 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Vamos a realizar una busqueda de la firma JPEG (JFIF). Y nos dice que se encuentra en el sector 73.

    Se necesitan 31 sectores, pues 15585/512 es, redondeando al siguiente sector, 31. Solo 31 estan asiciados con el archivo, como se verificar, dado que la 104 y 105 estan asignados a otro archivo. 12 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    El siguiente archivo a analizar, ser Jungle.doc:

    Vamos a ver sus metadatos: Nos dice que ocupa 20480 bytes, por tanto necesitamos 40 sectores.

    13 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Extraemos el archivo:

    Este es el documento que hemos recuperado:

    14 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Por ltimo, y ms importante, analizamos visist.exe: Se reconoce como un archivo .ZIP

    15 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Visualizamos los metadatos, y vemos que ocupa 1000, por tanto requiere dos sectores, 104 y 105, los que dijimos que estaban reservados anteriormente.

    Lo extraemos, esta vez lo muestro por comandos, pero se hace exactamente igual que antes. Este archivo tiene asignados los sectores desde el 73 hasta el 108.

    Insertamos la contrasea que hemos obtenido del espacio de holgura del archivo JPG.

    16 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Este es el documento donde se muestran colegios, das del mes..

    Las repuestas a las preguntas serian las siguientes:

    Quin es el proveedor de marihuana de Joe Jacobs y cual es la direccin listada del proveedor? Bien, como hemos visto en el doc. Que hemos recuperado, Joe Jacob es:

    17 | P g i n a

    Curso:ASIR 2 Mdulo: SGBD

    Autor: Victoriano Sevillano Vega

    Qu dato crucial est disponible dentro de coverpage.jpg y porque el dato es crucial? La cadena pw=goodtimes que se encontr en el espacio de holgura. Es crucial porque es la contrasea que necesitamos para el archivo protegido Scheduled Visits.exe Qu (si hay) otras escuelas vecinas a Snith Hill Joe Jacobs frecuenta? Hemos comprobado en el .xls que tiene mas coleguios, adems de das y meses:

    Para cada archivo, que procesos hizo el sospechoso para enmascarar de otros. Qu procesos (usted como analista) realiz para examinar el contenido completo de cada archivo? Analizar todos los archivos uno a uno ver el tamao que ocupan y ver si es consistente
    18 | P g i n a

    Vous aimerez peut-être aussi