Asignatura Datos del alumno Fecha

Apellidos: Palafox Pascual

Análisis forense 22/01/2018
Nombre: Lorena

Actividades

Trabajo: Recuperación de ficheros eliminados

El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado

a lo largo del tema. Durante el desarrollo de la misma, has de recuperar de manera
manual, tal y como se explica en el apartado «2.5 Ejemplo de recuperación de un
archivo eliminado», el archivo eliminado dentro de una partición FAT32 y visualizar los
metadatos asociados a dicho archivo.

Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el

apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
entradas del directorio raíz de una partición FAT. El artículo está disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29

Para realizar la práctica, podéis utilizar el software que creáis conveniente, aunque se
recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
que permita el cálculo de hashes). Para el análisis de los metadatos podéis utilizar
ExifTool, o la herramienta online Metashield Analyzer1.

Para realizar la práctica debéis hacer lo siguiente:

Calcular el SHA1 del archivo facilitado para realizar la práctica

(VHD03.E01).
Recuperar el archivo eliminado y obtención de datos

Para proceder al cálculo del SHA1 (Segure Hash Algoritm 1) función criptográfica que
toma una entrada y produce un valor hash de 160 bits conocido como resumen del
mensaje se ha utilizado la herramienta HashMyfiles, de este modo ejecutando el
programa y abriendo el archivo se obtiene la siguiente figura con los datos obtenidos
por medio de la herramienta:

1
https://metashieldanalyzer.elevenpaths.com/

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

Figura 1. Propiedades del archivo por medio dela herramienta HashMyfiles.

Obtener mediante Winhex y haciendo uso de las plantillas incluidas:

A continuación, se procede al montaje de la imagen que tenemos mediante el software

FTK Imagen, de este modo mediante la selección del fichero se procede a dejar las
opciones por defecto que trae la interfaz dado que son las que interesan para llevar a
cabo la presente actividad:

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

Figura 2. Selección de fichero para montaje de imagen.

Se observa que el archivo de la imagen es el contemplado en la actividad y se procede a

seleccionar la pestaña “Mount” para realizar el montaje. De este modo, una vez
realizada la acción anterior, se puede observar el resultado obtenido como “Mapped
Images” teniendo así tanto la parte física como la parte lógica, montada sobre la unidad
G:, por tanto si se exploran los archivos de dicha unidad se contempla que se encuentra
en dicha ubicación.
El siguiente paso seguido en la presente actividad se centra en añadir las evidencias
desde el menú File en el software para así poder visualizar las diferentes particiones
además de la unidad montada, es en este momento cuando se observa el tipo de fichero,
como fichero eliminado ya que su comienzo está determinado por E5, asi como el
fichero en la estructura del directorio que ha sido creado:

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

Figura 3. Árbol de evidencias de FTK Imagen.

Finalmente, FTK Imagen permite la visualización del fichero previo antes de realizar
los pasos de recuperación de la imagen con la herramienta WinHex, por lo que dicha
herramienta pre visualiza el fichero que será recuperado con WinHex:

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

Figura 4. Visualización del fichero con FTK Imagen.

A continuación, es utilizada la herramienta pedida en la actividad para la realización de

este apartado, en este caso, WinHex, así es seleccionado el disco físico sobre el que se
realiza el trabajo según la siguiente imagen, en este caso HD1: StarLib Visual Storage
(50,0 MB, ATA)

Figura 5. Selección de disco en WinHex.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

El resultado obtenido es el siguiente:

Figura 6. Resultado de Disco duro.

En este momento es seleccionada la Partición 1 que se puede observar dentro de la

pestaña de Disco duro 1, una vez realizada esta opción, una nueva pestaña aparece a
continuación la cual contiene los datos relacionados con el directorio raíz y el archivo
que se deber recuperar, por tanto, es necesario obtener los datos del tamaño del mismo,
su comienzo y fin para realizar los cálculos necesarios para su recuperación:

Figura 7. Contenido Partición 1.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

La siguiente imagen que se muestra a continuación contiene por tanto los datos que
hacen referencia al cluster de inicio y al tamaño, referenciando también el atributo que
hace referencia al archivo eliminado (E5):

Figura 8. Datos archivo eliminado.

En este momento son aplicadas las plantillas sobre el archivo anterior ofreciendo el
resultado que se muestra en las siguientes figuras:

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

Figura 9. Gestor de plantillas.

Figura 10. FATDirectory Entry.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

En la siguiente imagen se puede comprobar que aparecen los datos tanto del nombre
como de la extensión (Filename, Extensión),también las fechas de creación,
modificación y último acceso y cluster inicial, offset inicial y final:

Figura 11.Resultados del archivo eliminado.

En este momento se procede a buscar el fichero por lo que desde el mení “Ir al Sector”
del menú “Navegación” con el valor 3 obtenido en el cluster nos situamos en la posición
inicial del archivo ya que es quien lo marca:

Figura 12. Ir a sector con valor de cluster.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

Figura 13. Inicio del offset 4194816

Con los valores de offset se define el tamaño y así el bloque queda marcado de otro
color como se muestra a continuación. El valor del tamaño final del archivo será de los
valores de offset del bloque 4194816 +4704570 = 8899386

Figura 14. Definición de bloque.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

En este momento se procede a obtener la copia del bloque en un archivo nuevo desde el
menú de edición lo que no es posible debido a la que versión de evaluación del
programa no puede guardar archivos mayores de 200 KB.

Figura 15. Aviso.

Por tanto, los datos obtenidos son los que se observan en la figura 11.

Calcular el SHA1 del archivo recuperado.

Para la obtención del SHA1 se vuelve a utilizar el software HashMyfiles, el cual ya ha

sido utilizado posteriormente para calcular el SHA1 del archivo recuperado, como se
muestra en la siguiente figura:

Figura 16. Valor del SHA 1.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena

Obtener los metadatos asociados al archivo recuperado.

Una vez se ha llegado a este punto, se procede a obtener los metadatos del archivo
recuperado utilizado el programa exiftool, se accede a la carpeta donde se encuentra
dicho programa y el archivo en cuestión:

Figura 17. Metadatos.

TEMA 2 – Actividades