TABLA DE CONTENIDO

PAG 1. HERRAMIENTAS UTILIZADAS Y SUS CARACTERISTICAS 1.1 Herramienta Helix 1.2 Herramienta forensic toolkit 1.3 Herramienta Autopsy: 2

2. PROCESO DETALLADO DE DESCARGUE Y VERIFICACION DE LA IMAGEN 3 2.1 VERIFICACION DE LA INTEGRIDAD DE LA IMAGEN 2.2 ASEGURAMIENTO DE LA IMAGEN SUMINISTRADA 2.3 REVISIN ANTIVIRUS Y VERIFICACIN DE LA INTEGRIDAD DE LA COPIA DE LA IMAGEN. 2.4 IDENTIFICACION DE LAS PARTICIONES ACTUALES Y ANTERIORES 2.5 DETECCION DE INFORMACION EN LOS ESPACIOS ENTRE LAS PARTICIONES 2.6 DETECCION DE HPA 2.7 IDENTIFICACION DEL SISTEMA DE ARCHIVOS 2.8 RECUPERACION DE ARCHIVOS BORRADOS 2.9 RECUPERACION DE INFORMACION ESCONDIDA 2.10 IDENTIFICACION DE ARCHIVOS EXISTENTES

3. ANALISIS FORENSE CON AUTOPSY

4. PREGUNTAS 5. CONCLUSIONES

14
22

ENTREGABLE INFORME ANALISIS FORENSE NICOLE ALFONSO FREDDY GUALDRON ANGELA OTERO JOSE ROJAS DIEGO RICO 1. Caractersticas de las herramientas hlix, forensic toolkit y Autopsy: 1.1. Herramienta Helix: Posee una interfaz grfica de fcil manejo que funciona con diferentes sistemas operativos. Permite revisar rpidamente los usos de internet, revisando los sitios que visito. Permite realizar capturas de pantalla o registros de claves. Recolecta imgenes forenses de sistemas, incluyendo memoria RAM en diversas plataformas, procesos en ejecucin y variables de entorno. la presentacin de informes Una aplicacin importante es la presentacin de informes sobre las auditoria realizadas

Contiene especificaciones en las que se puede realizar imgenes forenses a equipos e imgenes de discos. Est diseado para que altere ningn sistema sobre los que se esta trabajando

1.2. Herramienta forensic toolkit: Posee un conjunto de herramientas en la cual me permite revisar los ficheros de un disco para comprobar que no han sido alterados. Por medio del FTK Explorer permite navegar por ficheros que se han adquiridos de una imagen. Permite una bsqueda de imgenes JPEG y texto de internet, proporcionando resultados de bsqueda instantneos. Soporta formatos de fichero (NTFS, FAT 12/16/32 y Linux ext2/ext3). Tambin soporta formatos de imgenes adquiridas (Encase, SMART, Snapback y Linux DD). Extrae datos de ficheros comprimidos. Accede a datos protegidos. Por medio de los filtros de fichero se puede marcar aquellos que sirven como evidencias potenciales. 1.3. Herramienta Autopsy: Por ser de cdigo abierto y trabaja sobre plataformas UNIX. Muestra detalles de informacin sobre datos borrados. Es una interfaz grfica que trabaja con la herramienta sleuth kit Permite generar lneas de tiempo de la actividad de los archivos (timestamp) Dentro de las imgenes permite buscar datos incluyendo una estructura y tiempo de actividad.

2. PROCESO DETALLADO DE DESCARGUE Y VERIFICACION DE LA IMAGEN 2.1 VERIFICACION DE LA INTEGRIDAD DE LA IMAGEN Calculo del hash (MD5) de la imagen y el original suministrado por el profesor: PROFESOR (original) = MD5: ac3f7b85816165957cd4867e62cf452b Hash de la de la copia de la imagen dada por el profesor

2.2 ASEGURAMIENTO DE LA IMAGEN SUMINISTRADA Hash de las dos copias de la imagen original:

Y se realizo una copia de la imagen en un cd

2.3 REVISIN ANTIVIRUS Y VERIFICACIN DE LA INTEGRIDAD DE LA COPIA DE LA IMAGEN.

2.3.1 Verificacin del antivirus en la imagen original(copia1): Scan ---Scanned: Detected:

2 0

Untreated: Start time: Duration: Finish time:

0 12/11/2011 01:35:06 p.m. 00:00:00 12/11/2011 01:35:06 p.m.

Detected -------Status Object ------ ------

Events -----Time Name Status Reason ------------ ------

Statistics ---------Object Scanned Detected Untreated Disinfected DeletedMoved Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ----------------- ------------------- -------- --------------------------------

to -----

Settings -------Parameter Value --------- ----Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan installation packages All Scan embedded OLE objects All Skip compound files larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology Yes Enable iSwift technology Yes Record information about dangerous objects to program statistics

Yes

Verificacin del antivirus en la imagen original(copia 2):

Scan ---Scanned: Detected: Untreated: Start time: Duration: Finish time: Detected -------Status Object ------ ------

2 0 0 12/11/2011 01:35:08 p.m. 00:00:00 12/11/2011 01:35:08 p.m.

Events -----Time Name Status Reason ------------ -----Statistics ---------Object Scanned Detected Untreated Disinfected DeletedMoved Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ----------------- ------------------- -------- --------------------------------

to -----

Settings -------Parameter Value --------- ----Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan installation packages All Scan embedded OLE objects All Skip compound files larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology Yes Enable iSwift technology Yes Record information about dangerous objects to program statistics

Yes

2.3.2 Verificacin de la Integridad de la imagen Como podemos verificar la imagen despus del paso del antivirus no ha sido modificado el hash

2.4 IDENTIFICACION DE LAS PARTICIONES ACTUALES Y ANTERIORES

Se realiza el anlisis la herramienta y nos muestra solo 1 particion:

2.5 DETECCION DE INFORMACION EN LOS ESPACIOS ENTRE LAS PARTICIONES

Al no haber particiones detectadas por el forensic toolkit, no existe espacio entre las particiones que pueda ser analizado.
2.6 DETECCION DE HPA

En este caso no se realiza deteccion de HPA pues se esta trabajando sobre la imagen de un disquete.
2.7 IDENTIFICACION DEL SISTEMA DE ARCHIVOS

A Continuacin se muestra el sistema de archivos de la imagen forense:

2.8 RECUPERACION DE ARCHIVOS BORRADOS

El foresic toolkit nos muestra los archivos que han sido borrados en la imagen del caso:

Exportamos el archivo y lo abrimos en word y nos muestra el siguiente texto:

2.9 RECUPERACION DE INFORMACION ESCONDIDA Se procedio a mirar los cluster perdidos de la imagen y se encontro lo siguiente:

La figura anterior muestra la vista del archivo en texto formal tal cual fue enviada.

El mismo archivo analizado en formato hexa muestra lo siguiente:

La figura anterior muestra una palabra que puede hacer referencia al password que se nombra en el documento de jimmy jungle.doc 2.10 IDENTIFICACION DE ARCHIVOS EXISTENTES En el forensic toolkit solo muestra dos archivos existentes y un archivo perdido(lostfilechain):

2.11 IDENTIFICACION DE ARCHIVOS PROTEGIDOS El forensic Toolkit identifica dos archivos protegidos:

2.12 DETERMINACION DEL SISTEMA OPERATIVO Y LAS APLICACIONES INSTALADAS No aplica porque se esta trabajando en un disquete 2.13 CONTENIDO Y DETALLE DE LOS ARCHIVOS ENCONTRADOS El analisis del documento de word encontrado (jimmy jungle) se muestra previamente, al igual que el analisis de la imagen encontrada. Analisis del documento perdido que muestra el forensic toolkit: Procedemos a exportar el archivo

2. seleccionamos la ubicacion del archivo a exportar

3. es exportado un archive .zip al escritorio, al cual intentamos abrir y nos pide una contrasea

Insertamos los datos que encontramos en el archivo de imagen, cuando se analizo en hexa: Pw=goodtimes

El archivo .xls es extraido y nos muestra una lista de las escuelas donde se repartia la droga.

3. ANALISIS FORENSE CON AUTOPSY

3.1 Creacin de una copia de la imagen suministrada. Se realiz una copia exacta de la imagen suministrada para el el caso. 3.2 Calculo de valor hash de la imagen original con la herramienta gtkhash Helix cuenta con una herramienta llamada gtkhash para el clculo de valor hash de archivos e imgenes.

Hash de la imagen original

Hash de la copia en la que vamos a trabajar

3.3 ANALISIS CON AUTOPSY DE LA COPIA DE LA IMAGEN A ANALIZAR 1. Por medio de vm ware creamos una mquina virtual y arrancamos el hlix desde el cd para ver todas las aplicaciones del hlix. 2. Una vez estamos dentro del hlix damos click en applications-forensics & IR, seleccionamos AUTOPSY.

3. Al ejecutar AUTOPSY se abre un terminal realizando una advertencia por favor no cerrar esta terminal si esta utilizando AUTOPSY

4. El AUTOPSY se utiliza mediante el explorador de Mozilla y seleccionamos Nuevo caso.

5. Registramos los datos iniciales del caso que estamos abriendo con el nombre de los investigadores.

6. Una vez dando click en new case el AUTOPSY nos indica la ruta donde fue almacenado el caso junto con su nmobre y archivo de configuracin.

7. Llenamos los datos adicionales solicitados para el presente caso.

8. Agregamos la ruta donde queremos almacenar el hash de los archivos que esta en buen estado.

9. 10. Agregamos la imagen del caso.

11. Esta imagen se encuentra ubicada en /media/sdb/imagen taller2/imagen-copia, y definimos el tipo de imagen que vamos analizar. , next

12. Seleccionamos la picoion de calcular el valor has de la imagen y chequear la caja de verificar despus de importar el valor hash.

13. Una vez calculado el valor hash lo verificamos con el hash entregado en el taller con un valor: ac3f7b85816165957cd4867e62cf452b Y ok

14. Una vez verificado el valor hash de la imagen del diskkete nos muestra una interfaz principal con los detalles del caso.

15. Verificamos los detalles del sistema de archivos.

16. Podemos verificar el contenido de la imagen. E identificar los archivos existentes En la opcin de file Analysis.

17. Podemos identificar que el archivo Jimmy jungle.doc aparece en rojo porque a sido borrado. Despus de esto podemos recuperarlo exportndolo.

18. Una vez exportado el archivo borrado y encontramos la forma como sera el modus operandi y la explicacin de uso de la contrasea para la apertura del archivo. Enviado que en hlix encontramos la limitante de no poderlo abrir ya que lo reconoce como .exe y el identifica que es un archivo daado.

4. PREGUNTAS 1. Jimmy Jungle 626 Jungle Ave Apt 2 Jungle, NY 11111 2. El dato encontrado en su contenido en vista hexadecimal del archivo passwd=goodtimes 3. Birard High School (D)
Key High School (B) Hull High School (F) Leetch High School (C) Richter High School (E)

4. Algunos de estos archivos fueron solamente borrados del disco y otros fueron
almacenados en el espacio no almacenado del disco dentro de cluster perdido. 5. Exportando los archivos desde la aplicacion en el caso de archivos .doc y el archive .zip dentro del cual estaba el Scheduled Visits.xls los abrimos con la contrasea encontrada en la imagen.

6. CONCLUSIONES Existen un gran numero de aplicaciones que permiten a los investigadores realizer el analisis forense, cada una de ellas emite resultados en diferentes formatos pero siempre apuntando a un objetivo en comun el cual debe ser fundamentado por los conocimientos tecnicos de cada investigador. El analisis individual de cada uno de los casos ayuda a los investigadores junto con el uso de diversas herramientas a incrementar el nivel tecnico y de cada uno de ellos, apesar de que el investigador cuente con un numero de herramientas considerable debe tener con un instinto y conocer las diferentes tecnicas que utilizan los delincuentes y poder inicia a realizar la busqueda de todas las huellas dejados por ellos.