(SGY) Ejercicio.
Análisis Forense
Prof. Samuel Méndez González
(1) Piensa en un ataque real de cualquier índole a un sistema Informático (del aula ó de
una empresa). Pon un ejemplo de las actividades específicas que llevarías acabo en
cada una de las fases del análisis forense.
(2) Busca información sobre los siguientes S.O. orientados a análisis forense:
➢ CAINE
➢ Kali-Linux (la parte forense)
➢ Deft Linux y Deft Zero
(3) Con el objetivo de practicar con alguna herramienta de análisis forense, descarga el
archivo comprimido ZIP ([Link]) que contiene la imagen de un pendrive
(formato DD) y tres capturas de red de la persona que queremos investigar (ficheros
LOG).
Hay muchos software que nos permiten obtener una imagen real del disco o unidad a
examinar (copia bit a bit), para no dañar la integridad de la prueba real. En este caso
partimos que hemos hecho ya la imagen y además disponemos de las trazas de red.
El objetivo es descubrir ciertos elementos que sirvan como prueba para el juicio que
se celebrará próximamente. Tu eres el encargado de realizar el análisis forense.
Utilizaremos el software Autospy 4.19.1. Lo primero que debes hacer es
descargar e instalar este software.
Puntos a desarrollar\investigar por parte del alumno:
Crea un nuevo caso al que añadirás tanto la imagen como los ficheros log de la traza.
Al añadir los ficheros comprueba que su hashes MD5 son correctos:
c0d0093eb1664cd7b73f3a5225ae3f30 *[Link]
cd21eaf4acfb50f71ffff857d7968341 *[Link]
7e29f9d67346df25faaf18efcd95fc30 *[Link]
80348c58eec4c328ef1f7709adc56a54 *[Link]
CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 1/3
Tel: 922-477200 [Link] 38016571@[Link]
� (SGY) Ejercicio. Análisis Forense
Prof. Samuel Méndez González
Hay que encontrar al menos 7 fotos de rinocerontes que han sido borradas por el
sujeto. Recupera los ficheros a una carpeta.
Encuentra un documento de Word en el que especifica que ha escondido las fotos de
los rinocerontes.
Se sabe que ha utilizado un servidor FTP para trasnferir ficheros. Averigua en las
trazas el usuario y la contraseña del FTP.
Intenta averiguar quien le dió (nombre) al acusado una cuenta telnet/ftp
En las distintas pestañas de contenidos que te ofrece el Autospy, localiza dos ficheros
GIF sobre rinocerontes.
Instala el programa WireShark y carga el archivo [Link] Debes localizar la
descarga del fichero [Link] y recuperar el fichero de la captura de red. Exporta la
imagen y comprueba que se puede ver la foto.
Utilizando el WireShark de la captura de red [Link] debes recuperar el fichero
[Link] que se descargó utilizando el protocolo HTTP.
Investiga con que correo electrónico está relacionada la imagen [Link]
(4) En linux existe la utilidad dd para realizar una imagen (clonación). La idea es que
hagas una imagen de un Pendrive o tarjeta SD, en la que hayas borrado ficheros
previamente. Luego analiza la imagen con el programa AutoSPY y asegúrate de que
aparezcan esos archivos que has eliminado.
Artículos con información, uso de Autospy y referencias de Análisis Forense:
[Link]
Autopsy: Guía Completa para realizar Análisis Forense » EsGeeks
INCIBE: Programas Forense Windows
CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 2/3
Tel: 922-477200 [Link] 38016571@[Link]
� (SGY) Ejercicio. Análisis Forense
Prof. Samuel Méndez González
Entrega del ejercicio:
Sube a la tarea correspondiente un fichero en formato PDF (será el documento que has
creado con el LibreOffice Writer o Microsoft Word).
Debe contener todos los puntos que has trabajado en la práctica. Añade la descripción y
todo el texto que se requiera a los pantallazos para explicar el proceso que has llevado
acabo. Se valorará la calidad de la presentación, el orden y la limpieza a la hora de
expresar los contenidos.
Importante para la corrección:
• No dudes en añadir los suficientes pantallazos que garanticen que has realizado cada
acción que se pide en la práctica.
CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 3/3
Tel: 922-477200 [Link] 38016571@[Link]
