INFORMTICA FORENSE

PRACTICA LABORATORIO I

GRUPO 233012_11
Ing. GONZALO CARRILLO ARIAS
CC. 13483233

TUTOR:
Ing. Esp. HAROLD EMILIO CABRERA MEZA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CEAD BUCARAMANGA
SEPTIEMBRE DE 2014
 DESARROLLO DE LA PRÁCTICA

AUTOPSY
Instalación del Programa
Se instala la versión autopsy-3.1.0-64bit, se le da doble clic para ejecutar el instalador y se le
da clic en next.

Fig N°1 Instalación autopsy

Fuente: el autor

Se deja la ubicación predeterminada para la instalación y se da clic en next.

Fig N°2 Instalación autopsy

Fuente: el autor
En la siguiente pantalla se clic en Install

Fig N°3 Instalación autopsy

Fuente: el autor

En la siguiente pantalla se observa el proceso de instalación

Fig N°4 Instalación autopsy

Fuente: el autor

En la siguiente pantalla se da clic en Finish, para terminar el proceso de instalación

Fig N°5 Instalación autopsy

Fuente: el autor
Utilización del Programa
Después de finalizar la instalación se ejecuta el programa para crear un nuevo caso, damos
clic en el botón “Create New Case”

Fig N°6 Abrir el programa por primera vez

Fuente: el autor

Se llena la información del nuevo caso y se da clic en next

Fig N°7 Información del nuevo caso

Fuente: el autor
En la siguiente pantalla se llena el número del caso, el examinador y se da clic en Finish.
En la pantalla que sigue se busca la ruta del archivo de la imagen que se va a analizar que
para este caso se llama “flashevidencia.dd y se da clic en next para analizar los datos de
entrada.

Fig N°8 Ingresando archivo de imagén

Fuente: el autor

Agregando a la base de datos local, este proceso puede demorar tiempo

Fig N°9 Trabajando el nuevo caso

Fuente: el autor
Se puso a correr y lo deje por un tiempo de día y medio a pesar que el compañero de grupo
Jesús Antonio Romero Ortega me informó que él lo había dejado correr más de dos días sin
obtener resultados. No encontré información que dijera el por qué? de la falla pues
aparentemente se queda procesando la información.

La expectativa cuando se matricula una materia tan importante es lograr resolver o hacer las
pruebas completas pero no solo se puede justificar con el tiempo que había para la
resolución, hace falta tip´s reales que ayuden a los estudiantes que no somos tan
aventajados en este tipo de herramientas y no es por falta de interés pues en la última
semana no he apagado el equipo, lo llevo encendido en el día al trabajo para no interrumpir
las pruebas que se están ejecutando pero realmente solo no fui capaz.
 CAINE
Instalación del Programa
Se abre la aplicación VM VirtualBox, se da clic en “Nueva”, se crea la máquina virtual para
CAINE y se da clic en next.

Fig N° 12 Instalación de CAIN en linux

Fuente: el autor

Se escoge tamaño de memoria RAM para la maquina

Fig N° 13 Instalación de CAIN en linux

Fuente: el autor
La siguiente pantalla es para crear el disco virtual se le da clic en crear

Fig N° 13 Instalación de CAIN en linux

Fuente: el autor

En la siguiente pantalla se escoge el tipo de archivo de unidad de disco duro, se dejó: VDI y
se dio clic en next. Y en la siguiente se le deja reservado dinámicamente.

Fig N° 14 Instalación de CAIN en linux

Fuente: el autor
En la siguiente pantalla se configura la ubicación del archivo y el tamaño, se dejan por
defecto y se da clic en crear.

Fig N° 15 Instalación de CAIN en linux

Fuente: el autor

En la siguiente pantalla podemos ver el icono de CAIN creado, damos clic en “iniciar”

Fig N° 16 Instalación de CAIN en linux

Fuente: el autor
En la siguiente pantalla seleccionamos la ruta del disco de inicio y damos clic en el botón
“Iniciar”

Fig N° 17 Instalación de CAIN en linux

Fuente: el autor

En la siguiente pantalla escogemos el modo: “Boot Live in safe graphics mode” damos enter
y se instala la aplicación, al finalizar nos muestra la interfaz grafica.

Fig N° 18 Instalación de CAIN en linux

Fuente: el autor
Utilización del Programa
En la esquina inferior izquierda damos clic en “Main Menu” vamos Forensic tolos” y
escogemos “Autopsy” para comenzar a crear un nuevo caso damos clic en el botón “Mew
Case”.

Fig N° 19 Información del nuevo caso

Fuente: el autor

En la siguiente pantalla ingresamos los datos del caso y damos clic en el botón “New Case”

Fig N° 20 Información del nuevo caso

Fuente: el autor
Nos muestra como quedó configurado el nuevo caso y damos clic en el botón “Add Host”

Fig N° 21 Información del nuevo caso

Fuente: el autor

En la siguiente pantalla se llenan los datos del Host Name y se da clic en “Add Host”

Fig N° 22 Información del nuevo caso

Fuente: el autor
Queda como se muestra en la pantalla y damos clic en “Add Image”

Fig N° 23 Información del nuevo caso

Fuente: el autor

En la siguiente imagen damos clic en “Add Image File”

Fig N° 24 Información del nuevo caso

Fuente: el autor

En la siguiente le damos la ruta de ubicación de la imagen del archivo que vamos a analizar
Fig N° 25 Información del nuevo caso

Fuente: el autor
En la siguiente pantalla damos clic en “OK”

Fig N° 26 Información del nuevo caso

Fuente: el autor

En la siguiente pantalla damos clic en “detalle” y nos despliega lo siguente: miramos y

cerramos.

Fig N° 27 Información del nuevo caso

Fuente: el autor
Al retornar a esta pantalla le damos clic en “Analyze”

Fig N° 28 Información del nuevo caso

Fuente: el autor

En la siguiente pantalla se ve que no quedó activo el primer botón “File Analysis”

Fig N° 29 Información del nuevo caso

Fuente: el autor

No entiendo si se realizó paso a paso de acuerdo a las instrucciones por que no funcionó.
Más que una excelente nota lo realmente importante para los que laboramos en un
departamento de sistemas es aprender para aplicar estos recursos.

Leí de un compañero que lo pudo llevar a cabo y dice que la falla era porque dejaba espacios
en blanco, pero este no era el caso. Espero se de una retroalimentación con la que podamos
completar el ejercicio pero ya no por una nota si no por el aprendizaje.

Hoy 25 de Septiembre lo vuelvo a intentar con un consejo que me dio por el correo privado el
compañero Pablo Gonzalo Chamorro.

Por primera vez después de tantos intentos cambiando las opciones me sale que el type:
win95 Fat 16, esto me da indicio que esta vez está quedando bien montado, damos clic en
Add.
 Fig N° 30 Información del nuevo caso

Fuente: el autor

Nos aparece el siguiente resumen y damos clic en ok

Fig N° 31 Información del nuevo caso

Fuente: el autor

Nos aparece el siguiente cuadro y damos clic en detail, damos clic en “close”

Fig N° 32 Información del nuevo caso

Fuente: el autor
Regresamos a la pantalla en que estábamos antes y damos clic en “Analyze” seleccionando
el disco C y ahora si se activaron los botones del menú y damos clic en el botón “File
Analysis”
Fig N° 33 Información del nuevo caso

Fuente: el autor

Nos muestra la siguiente información donde se ven tanto los archivos borrados como los que
se encuentran actualmente en las respectivas carpetas y con las diferentes fechas, tamaño,
etc.

Fig N° 34 Información del nuevo caso

Fuente: el autor
 OSFORENSICS

Instalación del Programa

Se instala el programa Osforensics dándole doble clic al archivo de programa osf y despliega
la siguiente pantalla y se le da “next”

Fig N° 35 Instalación de Osforensics

Fuente: el autor

La siguiente pantalla es de: License Agreement, señalamos en el botón “I accept the

agreement y damos clic en “next”.

Fig N° 36 Instalación de Osforensics

Fuente: el autor
En la siguiente pantalla seleccionamos la ubicación del destino, dejamos la que viene y
damos clic en “next”.

Fig N° 37 Instalación de Osforensics

Fuente: el autor

La siguiente pantalla es para crear el icono de acceso en el escritorio, damos clic en “next”.

Fig N° 38 Instalación de Osforensics

Fuente: el autor
En la siguiente pantalla se resume las tres opciones anteriores y pregunta si quiere cambiar
alguna puede dar retroceder o si estamos de acuerdo damos clic en “Install”.

Fig N° 39 Instalación de Osforensics

Fuente: el autor

En la siguiente pantalla se observa el progreso de la instalación y la ubicación.

Fig N° 40 Instalación de Osforensics

Fuente: el autor
En la siguiente pantalla se lee información importante y damos clic en “next”.

Fig N° 41 Instalación de Osforensics

Fuente: el autor

La siguiente pantalla muestra que terminó la instalación y está señalada la opción de abrir el
programa, la dejamos asi y damos clic en “Finish”.

Fig N° 42 Instalación de Osforensics

Fuente: el autor
Utilización del Programa
Despliega una pantalla en la que pregunta si vamos a continuar utilizando la versión libre o
actualizamos a la versión profesional, escogemos la versión libre y nos despliega la interfaz
del aplicativo.

Fig N° 43 Utilización de Osforensics

Fuente: el autor

En la ventana “Case Management damos clic en el icono “Create Case” y llenamos los datos.

Fig N° 44 Utilización de Osforensics

Fuente: el autor
En la siguiente pantalla se ve el caso que se acabó de crear.

Fig N° 45 Utilización de Osforensics

Fuente: el autor

Damos clic en el botón “Add Atachment…” y seleccionamos el archivo de la imagen.

Fig N° 46 Utilización de Osforensics

Fuente: el autor

Damos clic en el botón “Add Device…” y seleccionamos la ruta de “image File”.

Fig N° 47 Utilización de Osforensics

Fuente: el autor
A continuación verifiqué el archivo.

Fig N° 48 Utilización de Osforensics

Fuente: el autor

En este ejercicio llegué hasta aquí y no supe cómo se analizaba.

INFORME SOBRE EL ANALIZIS REALIZADO DE LA IMAGEN

Aplicativo Archivos Fecha del Fecha del Fecha del
borrados último archivo archivo más archivo más
abierto antiguo reciente
Autopsy
CAINE 256 2009-07-05 2004-08-19 2009-07-05
00:00:00 (BTS) 15:42:14 (BTS) 13:06:51 (BTS)
Osforensics

CUADRO COMPARATIVO
Aplicativo Herramientas y Ventajas Desventajas
utilidad
Autopsy  Files  Interfaz Web 
 Meta Data  Es gratuita
 Data Unit  Diseño estructural
 Keyword earch eficiente
 Image Details  Permite recuperar
 Image Integrity archivos borrados
 File Activity a través de una
Timelines imagen forense
 File Type  Facil de conseguir
Categories
 Report
 Generation
CAINE  Autopsy  Es de código 
 FMount abierto
 Fred  Es gratuita
 Gtk Hash  Tiene interfaz
 Guymager grafica
 Mixed scripts  Contiene variedad
 Mobius de herramientas
 NBTempo  No afecta el
 Photorec rendimiento del
 Remote sistema
Filesystem
Mounter
 Testdisk
 TKDiff
 XDeview
 XHFS
 XMount-gui
Osforensics  OSFClone  Eficaz para crear  La versión
 OSFMount imágenes comercial es cara
 ImageUSB  Se pueden  LA versión
montar imágenes gratuita es
sin alterar el disco limitada
 Permite  Algunas
verificación de herramientas son
hashes para inestables
comprobar
integridad
 Facil de conseguir
 CONCLUSIONES

Las herramientas indicadas en la práctica ofrecen una importante cantidad de información

que puede ser vital para el desarrollo de un caso forense, lastimosamente por cuestiones
técnicas (especialmente con las imágenes iso) no ha sido posible llevar la práctica de forma
exitosa.

No obstante siembran curiosidad en la forma como se pueden usar y la información que

pueden ofrecer, profundizar más en las opciones que presenta y usarlas en diferentes
ambientes.

Tengo que reconocer que aunque al principio no me pareció que la solución fuera ampliar el
plazo de entrega de esta actividad, el dia de hoy me funcionó al menos el análisis en una de
las tres herramientas lo que me anima a aprender bien el manejo de las otras dos.