metadatos

May 12, 2018 | Author: Löręną Pąląføx | Category: Computer File, Software, Computer Data, Technology, Computing


Comments



Description

Asignatura Datos del alumno FechaApellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Actividades Trabajo: Recuperación de ficheros eliminados El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado a lo largo del tema. Durante el desarrollo de la misma, has de recuperar de manera manual, tal y como se explica en el apartado «2.5 Ejemplo de recuperación de un archivo eliminado», el archivo eliminado dentro de una partición FAT32 y visualizar los metadatos asociados a dicho archivo. Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las entradas del directorio raíz de una partición FAT. El artículo está disponible en: http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29 Para realizar la práctica, podéis utilizar el software que creáis conveniente, aunque se recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software que permita el cálculo de hashes). Para el análisis de los metadatos podéis utilizar ExifTool, o la herramienta online Metashield Analyzer1. Para realizar la práctica debéis hacer lo siguiente: Calcular el SHA1 del archivo facilitado para realizar la práctica (VHD03.E01). Recuperar el archivo eliminado y obtención de datos Para proceder al cálculo del SHA1 (Segure Hash Algoritm 1) función criptográfica que toma una entrada y produce un valor hash de 160 bits conocido como resumen del mensaje se ha utilizado la herramienta HashMyfiles, de este modo ejecutando el programa y abriendo el archivo se obtiene la siguiente figura con los datos obtenidos por medio de la herramienta: 1 https://metashieldanalyzer.elevenpaths.com/ TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Figura 1. Propiedades del archivo por medio dela herramienta HashMyfiles. Obtener mediante Winhex y haciendo uso de las plantillas incluidas: A continuación, se procede al montaje de la imagen que tenemos mediante el software FTK Imagen, de este modo mediante la selección del fichero se procede a dejar las opciones por defecto que trae la interfaz dado que son las que interesan para llevar a cabo la presente actividad: TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Figura 2. Selección de fichero para montaje de imagen. Se observa que el archivo de la imagen es el contemplado en la actividad y se procede a seleccionar la pestaña “Mount” para realizar el montaje. De este modo, una vez realizada la acción anterior, se puede observar el resultado obtenido como “Mapped Images” teniendo así tanto la parte física como la parte lógica, montada sobre la unidad G:, por tanto si se exploran los archivos de dicha unidad se contempla que se encuentra en dicha ubicación. El siguiente paso seguido en la presente actividad se centra en añadir las evidencias desde el menú File en el software para así poder visualizar las diferentes particiones además de la unidad montada, es en este momento cuando se observa el tipo de fichero, como fichero eliminado ya que su comienzo está determinado por E5, asi como el fichero en la estructura del directorio que ha sido creado: TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Figura 3. Árbol de evidencias de FTK Imagen. Finalmente, FTK Imagen permite la visualización del fichero previo antes de realizar los pasos de recuperación de la imagen con la herramienta WinHex, por lo que dicha herramienta pre visualiza el fichero que será recuperado con WinHex: TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Figura 4. Visualización del fichero con FTK Imagen. A continuación, es utilizada la herramienta pedida en la actividad para la realización de este apartado, en este caso, WinHex, así es seleccionado el disco físico sobre el que se realiza el trabajo según la siguiente imagen, en este caso HD1: StarLib Visual Storage (50,0 MB, ATA) Figura 5. Selección de disco en WinHex. TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena El resultado obtenido es el siguiente: Figura 6. Resultado de Disco duro. En este momento es seleccionada la Partición 1 que se puede observar dentro de la pestaña de Disco duro 1, una vez realizada esta opción, una nueva pestaña aparece a continuación la cual contiene los datos relacionados con el directorio raíz y el archivo que se deber recuperar, por tanto, es necesario obtener los datos del tamaño del mismo, su comienzo y fin para realizar los cálculos necesarios para su recuperación: Figura 7. Contenido Partición 1. TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena La siguiente imagen que se muestra a continuación contiene por tanto los datos que hacen referencia al cluster de inicio y al tamaño, referenciando también el atributo que hace referencia al archivo eliminado (E5): Figura 8. Datos archivo eliminado. En este momento son aplicadas las plantillas sobre el archivo anterior ofreciendo el resultado que se muestra en las siguientes figuras: TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Figura 9. Gestor de plantillas. Figura 10. FATDirectory Entry. TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena En la siguiente imagen se puede comprobar que aparecen los datos tanto del nombre como de la extensión (Filename, Extensión),también las fechas de creación, modificación y último acceso y cluster inicial, offset inicial y final: Figura 11.Resultados del archivo eliminado. En este momento se procede a buscar el fichero por lo que desde el mení “Ir al Sector” del menú “Navegación” con el valor 3 obtenido en el cluster nos situamos en la posición inicial del archivo ya que es quien lo marca: Figura 12. Ir a sector con valor de cluster. TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Figura 13. Inicio del offset 4194816 Con los valores de offset se define el tamaño y así el bloque queda marcado de otro color como se muestra a continuación. El valor del tamaño final del archivo será de los valores de offset del bloque 4194816 +4704570 = 8899386 Figura 14. Definición de bloque. TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena En este momento se procede a obtener la copia del bloque en un archivo nuevo desde el menú de edición lo que no es posible debido a la que versión de evaluación del programa no puede guardar archivos mayores de 200 KB. Figura 15. Aviso. Por tanto, los datos obtenidos son los que se observan en la figura 11. Calcular el SHA1 del archivo recuperado. Para la obtención del SHA1 se vuelve a utilizar el software HashMyfiles, el cual ya ha sido utilizado posteriormente para calcular el SHA1 del archivo recuperado, como se muestra en la siguiente figura: Figura 16. Valor del SHA 1. TEMA 2 – Actividades Asignatura Datos del alumno Fecha Apellidos: Palafox Pascual Análisis forense 22/01/2018 Nombre: Lorena Obtener los metadatos asociados al archivo recuperado. Una vez se ha llegado a este punto, se procede a obtener los metadatos del archivo recuperado utilizado el programa exiftool, se accede a la carpeta donde se encuentra dicho programa y el archivo en cuestión: Figura 17. Metadatos. TEMA 2 – Actividades
Copyright © 2024 DOKUMEN.SITE Inc.