Você está na página 1de 11

Curso y Ciclo: 2 ASIR

Mdulo: SEG

Alumno/a: Moiss Pedrajas Olmo

[ANALISIS FORENSE]

Enunciado de la Enunciado de la Enunciado de la prctica prctica :


Quin es el proveedor de marihuana de Joe Jacobs y cual es la direccin listada del proveedor?
Qu dato crucial est disponible dentro de coverpage.jpg y porque el dato es crucial?
Qu (si hay) otras escuelas vecinas a Snith Hill Joe Jacobs frecuenta?
Para cada archivo, que procesos hizo el sospechoso para enmascarar de otros.
Qu procesos (usted como analista) realiz para examinar el contenido completo de
cada archivo?

Ejecucin de la prctica:
Descargamos la imagen:

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Hacemos una verificacin del hash MD5:

Descomprimir el archivo con: # unzip image.zip

Instalamos los programas autopsy y the sleuth kit

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Iniciamos autopsy con el siguiente comando, aunque tendremos que ir al navegador. Si quisiramos
conectarnos remotamente a autopsy, debemos indicar el parmetro p puerto ipcliente:
La url que pone rodeo en rojo, es la direccion que luego hay que poner en el navegador:

Yo me conectar de forma local: Habr que poner en la barra de busqueda, la direccion que pone dentro
del recuadro rojo.

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Iniciando Autopsy desde el navegador:

A continuacin, vamos a crear un nuevo caso, as que hacemos clic en new case, y rellenamos la siguiente
pantalla:

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Y hacemos clic en new case

Accederemos a esta pantalla:


Debemos aadir el nombre del host a investigar, as como una descripcin si lo creemos convenientes.

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Seguimos adelante, y se confirmaran los cambios:

Ahora, tendremos que aadir a imagen, haciendo clic en add image, que nos llevara a esta pantalla:

Ahora debemos seleccionar volume image.

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Tras esto, seleccionamos Calculate en la siguiente opcin para optener el hash.

Confirmamos.

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Llegaremos a esta pantalla, donde debemos analizar la unidad.

Pulsaremos Analizar y en el tipo de anlisis file analisis, esto nos llevar a este men.

Procedemos a visualizar los metadatos de ese archivo.

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Vemos que se le asigna un tamao de 15585 bytes, per.o solo se le asigna un sector(512 bytes) lo cual
nos hace sospechar.
Ahora hacemos una bsqueda de la firma JPEG que es JFIF. Vemos que encuentra una coincidencia
en el sector 73.

Para almancear 15885 bytes necesitamos 31 sectores, pero vemos que el archivo ocupa 36 sectores,
pero solo 31 de ellos estn asociados al archivo. Mientras analizamos los sectores vemos que en el
73 aparece una cadena de texto que pone pw=goodtimes, lo cual podra ser una contrasea.

Curso y Ciclo: 2 ASIR


Mdulo: SEG

Vamos a proseguir analizando archivos, por ejemplo el Jimmy Jungle.doc, que en teora debe ser un
archivo de texto.

Vemos que ocupa 20480 bytes, que debe ocupar 40 sectores. Todo parece correcto, por lo que lo
extraeremos para comprobar su contenido o ejecutamos el comando dd skip=33 bs=512 count=40
if=/home/image of=/media/jimmyjungle.doc para ello.Analizando el archivo, encontramos un
texto
algo incriminador para el autor.
Ahora vamos a seguir con el ultimo archivo, Scheduled Visits.exe.

Curso y Ciclo: 2 ASIR


Mdulo: SEG
Lo detecta como archivo zip y su tamao es de 1000 bytes, por lo que requiere dos sectores.
Recordemos que los sectores ocupados estn entre el 73 y 108, por lo que extraeremos desde el de
104 al 108 para ver el contenido de este ltimo archivo.

Lo intentamos extraer:

Nos pide una contrasea, introducimos la obtenida anteriormente, goodtimes. Al abrir el archivo nos
encontramos con lo siguiente, las tablas con los das que vende marihuana en los colegios.