Módulo 2: Análisis Forense en la Ciberseguridad

Caso de Objeto de Estudio de la Informática Forense

NOMBRE: BYRON RODRIGO ILLAPA G.

Se busca resolver los siguientes interrogantes:

1. ¿Qué datos se han ubicado en la imagen? Argumente sus características.

Se utilizó un dispositivo USB de 8GB con sistema de archivos NTFS, con archivos almacenados,
borrados como se observa en la Imagen1.

Imagen1

Se procede a la realización de la practica según la clase virtual y las indicaciones propias de esta tarea
donde se obtuvo los siguientes elementos en la imagen obtenida con el software de análisis forense
AccessData FTK Imager.

CARACTERÍSTICAS:

Se crean 6 archivos de imagen esto porque es una Memoria USB de 8GB, con un total de 6 imágenes
pertenecientes a la evidencia EV001, divididas en 5 (EV001.001, EV001.002, EV001.003, EV001.004,
EV001.005), archivos de 1.536.001 kb y un archivo (EV001.006) de 513.024 kb como se observa en la
Imagen2.

Imagen2
 2. ¿Cuántos sectores fueron copiados?

16386048

Imagen3

3. ¿Qué otra información se genera después del proceso?

Imagen4

Se genera un archivo Excel con elementos hexadecimales con una capacidad de 61kb y un archivo .txt
con toda la información recabada del proceso de creación de imagen como se observa en la Imagen5.

Imagen5
 4. ¿En el procedimiento de creación de imagen resultante cuales el tamaño?

Como se puede observar en la Imagen1 la capacidad real de la memoria USB es de 7,12GB y en el

SOURCE DATA SIZE nos da un 8,001 GB o (8001 MB como se ve en la Imagen6), por lo que
identifico que en la memoria existen sectores con información borrada lo que hace que
incremente el tamaño de la imagen sobre la capacidad del dispositivo USB.

Imagen6

5. ¿Qué identifico en la revisión de la evidencia?

Se procede a montar las 6 imágenes con la finalidad de obtener la información integra de la

memoria USB utilizada como se ve en la Imagen7.

Imagen7
En donde se identifica que existen los archivos que propiamente estaban almacenados como se ve
en la Imagen8, asi como archivos borrados, debido a que es una imagen puramente de los sectores
de la memoria USB.

Imagen8

Como se puede observar la imagen realizada en la práctica contiene los archivos almacenados como
se puede observar en la Imagen9, donde se los puede exportar y migrara una ubicación en el equipo
para utilizarlo, con respecto a los archivos borrados identifica los sectores mediante búsquedas
implícitas con la combinación de teclas CTRL+F, por ejemplo, buscar alguna extensión en particular
.doc, .xls, etc. Con lo que si se encuentra se puede realizar la recuperación de la información un
sinnúmero de herramientas especializadas en la recuperación de información.

Imagen9
6. ¿Qué sucede si inserto un certificado adicional?

En la práctica se insertó una clave como para proteger la autenticidad de la imagen como se
puede ver en la Imagen10.

Imagen10

Si se inserta un certificado puede ser .pfx, .p12, .pem , Stand-alone public key only (*.cer, *.crt,
*.der) basados en X.509 son los soportados, también los certificados que contienen claves
basadas en RSA.

Mediante el uso de certificados, asegura que la imagen creada este protegido con algoritmos
no violentados como RSA, ya que otros algoritmos ya han sido abiertos y son inseguros.

7. ¿Qué conclusiones adicionales puede aportar respecto al laboratorio realizado?

Como conclusión se podría establecer que FTK IMAGER, es una herramienta completamente
funcional de software libre que realiza las tareas como las herramientas de licenciamiento
que existen en el mercado para estas actividades.

FTK IMAGER crea copias bit a bit haciendo, copias perfectas (imágenes forenses) de datos
de computadora sin realizar cambios en la evidencia original.