Scribd
Cargar
30 vistas17 páginas

Practica8 2

La práctica 8.2 consiste en la clonación de discos utilizando Kali LIVE y herramientas forenses. Se simula la clonación de un disco de 2 GB y se analiza una imagen de partición para extraer información relevante, incluyendo datos en base64 y hexadecimal. Además, se investiga tráfico de red en un archivo pcap para identificar comunicaciones y credenciales de acceso.

Cargado por

dario.briceno.b
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
30 vistas17 páginas

Practica8 2

La práctica 8.2 consiste en la clonación de discos utilizando Kali LIVE y herramientas forenses. Se simula la clonación de un disco de 2 GB y se analiza una imagen de partición para extraer información relevante, incluyendo datos en base64 y hexadecimal. Además, se investiga tráfico de red en un archivo pcap para identificar comunicaciones y credenciales de acceso.

Cargado por

dario.briceno.b
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

PRACTICA 8.

SAMUEL VASQUEZ
BRAYAN ORTEGA
DARIO BRICEÑO

CURSO 2023-2024
Equipos a utilizar: Kali LIVE

• Maquina B Windows XP IP [Link]

- Para la práctica vamos a utilizar un disco de 2 GB el cual fue añadido a la máquina virtual para simular la clonación
de discos:
- Se agrega contenido en la unidad para simular información en el disco:

- Al equipo virtual se agrega un disco adicional ([Link]) de 2GB, para simular el destino de la clonación del disco.
También se agrega el “LIVEOS” de KALI el cual nos permitirá realizar la clonación.
- Se procede a escoger el boot para ejecutar el KALI.

- El Kali nos ofrece unas herramientas de “Forensics” donde utilizaremos el “Forensic Imaging Tools – guymanager”
para realizar la clonación.
- Donde se aprecia lo siguiente:

El device: Será nuestro disco de origen (/dev/sdb) y (/dev/sdc) será nuestro disco Destino.

- Con el Click derecho sobre el disco podemos clonarlo fácilmente.


- Se procede a seleccionar el disco destino y se configura el archivo de salida a “clonacion” con las opciones de
verificación “Calculate MD5” y “Calculate SHA-1”

- Se ejecuta.

- Se valida con MD5-SHA los discos y se comprueba que la clonación es exacta.


- Para esta práctica se va a utilizar una imagen de partición suministrada por el profesor “[Link]” la cual vamos a
analizar.
- Se utilizará un equipo KALI con la herramienta Autopsy.

- Al ejecutar la aplicación se activa un terminal con un servicio http. ([Link]


- Creamos un caso para el análisis.

- Añadimos el Host.
- Añadimos la imagen a analizar
- Con la detección del Disco, vamos a proceder a Analizarlo con el botón “Analyze”.
- Con la opción “File Analysis” obtenemos este resultado.
¿Hay información en base64?

Al revisar los archivos, se observa en los “ALL DELETED FILES” algunos interesantes.

El archivo “C:/$OrphanFiles/OrphanFile-70”

- Convertimos dicho texto de Base64 a algo legible utilizando “CyberChef”

¿Hay algún dato en hexadecimal en algún fichero? El archivo “C:/$OrphanFiles/OrphanFile-69”


- Convertimos dicho texto de HEX a algo legible utilizando “CyberChef”

¿Qué clave tiene el fichero .doc?

Podríamos asumir que es la contraseña en HEXA del archivo eliminado “C:/$OrphanFiles/OrphanFile-69”

123abc.

¿Cuál es el mensaje que hay en el interior del .doc?


- Ubicamos el documento “[Link]” el cual esta protegido como se observa en la imagen. “Security: 1”. Y lo
exportamos para validar la información.

¿Cuál es el mensaje que hay en el interior del .doc?

Intentamos con la contraseña “123abc.”


- Para esta práctica se va a utilizar una fichero suministrado por el profesor “[Link]” el cual vamos a analizar.

- ¿Qué IP y Nick utiliza en el canal IRC para comunicarse con los miembros?
IP: [Link]
NICK: Anon64bit
- ¿Envió algún mensaje el usuario por IRC? ¿A qué sala?
Mensaje: Ya está el comunicado
Sala: #Winsock

- ¿Qué versión de la aplicación del protocolo FTP aparece?

Aplicación y versión: Filezilla 0.9.41 beta

- ¿Aparece algún login en la conexión sin cifrar?


Usuario: admin
Password: hack123day
- ¿A qué carpeta e IP se envían los documentos?
Directorio: /Keylogs

- ¿Cuál es el documento más relevante en la muestra?

Nombre del fichero: Keys_Apr_30_2012__16_10_02.html


- ¿Qué nombre tenía el fichero sobre el sistema y que aplicación lo ejecutaba?

(Consigue exportar el fichero y obtener esa información de su interior)

- Aplicación: Lo extrajimos como .html y lo visualizamos en un buscador (firefox) y abrirlo pudimos ver que es un
archivo .txt llamado ano_comunicado.txt ejecutado con [Link]
-

También podría gustarte