Practica Analisis Forense
-
Upload
victor-sevillano -
Category
Documents
-
view
315 -
download
6
Transcript of Practica Analisis Forense
-
7/22/2019 Practica Analisis Forense
1/18
Autor: Victoriano Sevillano Vega
-
7/22/2019 Practica Analisis Forense
2/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
2 | P g i n a
Analisis forenseEnunciado de la prctica:
Quin es el proveedor de marihuana de Joe Jacobs y cual es ladireccin listada del proveedor?
Qu dato crucial est disponible dentro de coverpage.jpg y porque eldato es crucial?
Qu (si hay) otras escuelas vecinas a Snith Hill Joe Jacobs frecuenta?
Para cada archivo, que procesos hizo el sospechoso para enmascarar deotros.
Qu procesos (usted como analista) realiz para examinar el contenidocompleto decada archivo?
Ejecucin de la practica:
Descargamos la imagen:
Hacemos una verificacin del hash MD5:
-
7/22/2019 Practica Analisis Forense
3/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
3 | P g i n a
Y lo descomprimimos; el archivo resultante ser image:
Instalamos los programas autopsyy sleuthkit
Iniciamos autopsy con el siguiente comando, aunque tendremos que ir alnavegador. Si quisiramos conectarnos remotamente a autopsy, debemosindicar el parmetrop puerto ipcliente:
-
7/22/2019 Practica Analisis Forense
4/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
4 | P g i n a
De forma local:
Desde el navegador:
-
7/22/2019 Practica Analisis Forense
5/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
5 | P g i n a
A continuacin, vamos a crear un nuevo caso, as que hacemos clic ennew case, y rellenamos la siguiente pantalla:
Y hacemos clic en new case
Accederemos a esta pantalla:
-
7/22/2019 Practica Analisis Forense
6/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
6 | P g i n a
(Esta captura es un ejemplo, como se ve ms abajo, discoflexible, no es mi nombre de host)
Donde deberemos poner un nombre de host y una descripcin, seguimosadelante, y se confirmaran los cambios:
-
7/22/2019 Practica Analisis Forense
7/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
7 | P g i n a
Ahora, tendremos que aadir a imagen, haciendo clic en add image, quenos llevara a esta pantalla:
Hacemos clic en Volume image
-
7/22/2019 Practica Analisis Forense
8/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
8 | P g i n a
Hacemos clic en add image:
-
7/22/2019 Practica Analisis Forense
9/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
9 | P g i n a
-
7/22/2019 Practica Analisis Forense
10/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
10 | P g i n a
Iniciamos el anlisis:
-
7/22/2019 Practica Analisis Forense
11/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
11 | P g i n a
Vamos a analizar page.jpgc; Autopsy no ha reconocido el archivo como
JPEG:
Al ver el contenido en hexadecimal, vemos algo curioso que mas adelantenecesitaremos:
Vamos a visualizar los metadatos.
En size nos dice que el archivo es de 15585 bytes, pero silo asigna 512
bytes un sector.
-
7/22/2019 Practica Analisis Forense
12/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
12 | P g i n a
Vamos a realizar una busqueda de la firma JPEG (JFIF). Y nos dice que se encuentra en
el sector 73.
Se necesitan 31 sectores, pues 15585/512 es, redondeando al siguientesector, 31. Solo 31 estan asiciados con el archivo, como se verificar, dadoque la 104 y 105 estan asignados a otro archivo.
-
7/22/2019 Practica Analisis Forense
13/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
13 | P g i n a
El siguiente archivo a analizar, ser Jungle.doc:
Vamos a ver sus metadatos:
Nos dice que ocupa 20480 bytes, por tanto necesitamos 40 sectores.
-
7/22/2019 Practica Analisis Forense
14/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
14 | P g i n a
Extraemos el archivo:
Este es el documento que hemos recuperado:
-
7/22/2019 Practica Analisis Forense
15/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
15 | P g i n a
Por ltimo, y ms importante, analizamos visist.exe:
Se reconoce como un archivo .ZIP
-
7/22/2019 Practica Analisis Forense
16/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
16 | P g i n a
Visualizamos los metadatos, y vemos que ocupa 1000, por tanto requieredos sectores, 104 y 105, los que dijimos que estaban reservadosanteriormente.
Lo extraemos, esta vez lo muestro por comandos, pero se haceexactamente igual que antes. Este archivo tiene asignados los sectoresdesde el 73 hasta el 108.
Insertamos la contrasea que hemos obtenido del espacio de holgura delarchivo JPG.
-
7/22/2019 Practica Analisis Forense
17/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
17 | P g i n a
Este es el documento donde se muestran colegios, das del mes..
Las repuestas a las preguntas serian las siguientes:
Quin es el proveedor de marihuana de Joe Jacobs y cual es ladireccin listada del proveedor?
Bien, como hemos visto en el doc. Que hemos recuperado, Joe Jacobes:
-
7/22/2019 Practica Analisis Forense
18/18
Curso:ASIR 2Mdulo: SGBD Autor: Victoriano Sevillano Vega
18 | P g i n a
Qu dato crucial est disponible dentro de coverpage.jpg y porque
el dato es crucial?
La cadena pw=goodtimes que se encontr en el espacio de holgura. Escrucial porque es la contrasea que necesitamos para el archivoprotegido Scheduled Visits.exe
Qu (si hay) otras escuelas vecinas a Snith Hill Joe Jacobsfrecuenta?
Hemos comprobado en el .xls que tiene mas coleguios, adems de dasy meses:
Para cada archivo, que procesos hizo el sospechoso paraenmascarar de otros.
Qu procesos (usted como analista) realiz para examinar elcontenido completo de cada archivo?
Analizar todos los archivos uno a uno ver el tamao que ocupan y ver si
es consistente