Modulo 03 – Understanding Hard Disks and File Systems

Understanding Hard Disks

and File Systems
Modulo 03
 Modulo 03 – Understanding Hard Disks and File Systems

Escenario del Laboratorio

Sam, un profesional de seguridad de una empresa, descubrió que uno de los empleados
de la empresa estaba recopilando información crucial y confidencial sobre la empresa y
guardándola en su computadora para poder usarla más tarde con fines ilícitos. Sam
comenzó de inmediato a revisar la computadora de cada empleado para identificar al
empleado deshonesto. Para evadir la detección, el culpable eliminó permanentemente
la información recopilada.
Sam llamó a un investigador forense para iniciar una investigación. Sam le explicó la
situación al investigador, quien decidió analizar los sistemas de archivos y recuperar los
archivos eliminados para atrapar al empleado deshonesto.
Objetivos del Laboratorio
El objetivo de este laboratorio es ayudar a los estudiantes a comprender cómo hacer lo
siguiente:

• Analizar el sistema de archivos de imágenes de Linux y Windows

• Recuperar archivos eliminados de un disco duro
• Crear una línea de tiempo del sistema de archivos
• Analizar formatos de archivos populares
Entorno del Laboratorio
Para realizar el laboratorio se necesita:

• Máquina virtual de Windows Server 2022

• Un navegador web con acceso a Internet
• Privilegios administrativos para ejecutar herramientas
Duración del Laboratorio
Tiempo: 80 minutos
Descripción General de Comprensión de los Discos Duros y los Sistemas de Archivos
Al investigar un delito informático, lo más importante es comprender los discos duros y
los sistemas de archivos, ya que son las principales fuentes de almacenamiento de datos.
Los perpetradores suelen borrar sus huellas después de cometer un delito en un
ordenador para evitar que se les rastree. Por lo tanto, recuperar los archivos eliminados
de los discos duros y analizar los sistemas de archivos es importante al investigar un
delito informático..
Tareas del Laboratorio
Los laboratorios recomendados que le ayudarán a aprender sobre los discos duros y los
sistemas de archivos incluyen los siguientes:
• Analizar el sistema de archivos de una imagen de Linux
• Analizar el sistema de archivos de imágenes de Windows
 Modulo 03 – Understanding Hard Disks and File Systems

• Recuperar archivos eliminados de discos duros

• Creación y análisis de la línea de tiempo del sistema de archivos con The Sleuth
Kit (TSK)
• Analizar formatos de archivos populares con el editor hexadecimal
Análisis del Laboratorio
Analizar y documentar los resultados relacionados con el ejercicio de laboratorio. Da tu
opinión sobre la investigación forense.
 Modulo 03 – Understanding Hard Disks and File Systems

Lab
1
Analizar el sistema de archivos de una imagen de Linux
Escenario del Laboratorio
Un inspector que investiga un asesinato ha encontrado un sistema inactivo en la escena
del crimen y sospecha que está relacionado con el incidente y podría proporcionar
pistas. El inspector lleva el sistema al departamento de informática forense, donde se
crea una imagen del disco duro y se analiza mediante Autopsy. Tras un análisis más
profundo de los sistemas de archivos, el investigador encuentra pruebas cruciales que
podrían ayudar a resolver el caso.
Para investigar un disco duro, los investigadores forenses deben conocer los tipos de
sistemas de archivos y cómo analizarlos utilizando diversas herramientas.
Objetivos del Laboratorio
El objetivo de este laboratorio es ayudar a los investigadores a aprender y realizar
análisis de sistemas de archivos mediante Autopsy. El análisis de sistemas de archivos
permite a los investigadores determinar la siguiente información:

• Tipo de sistema de archivos

• Información de metadatos
• Información de contenido
Entorno del Laboratorio
Este laboratorio requiere:

• Un sistema que ejecuta una máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.

Duración del Laboratorio

Tiempo: 30 minutos
Descripción General del Laboratorio
Este laboratorio le permite familiarizarse con el análisis de sistemas de archivos
mediante Autopsy. Le ayuda a comprender cómo crear un caso en Autopsy y luego
examinar el sistema de archivos mediante la aplicación.
 Modulo 03 – Understanding Hard Disks and File Systems

Tareas del Laboratorio

1. Encienda la máquina con Windows Server 2022 y presione Ctrl+Alt+Supr.

2. De forma predeterminada, se selecciona el perfil de usuario Administrator;

escriba Pa$$w0rd para pegar la contraseña en el campo Contraseña y presione
Enter para iniciar sesión.
Nota: Si aparece el panel Redes, haga clic en Yes para permitir que su PC sea
detectable por otras PC y dispositivos en esta red.

3. En este laboratorio, utilizaremos la herramienta Autopsy para examinar el

sistema de archivos de una imagen de Linux.
4. Para instalar Autopsy, navegue a E:\CHFI-Tools\CHFIv11 Module 03
Understanding Hard Disks and File Systems\File System Analysis
Tools\Autopsy, haga doble clic en el instalador autopsy-4.21.0-64bit.msi y siga
los pasos de instalación guiados por el asistente para completar el proceso de
instalación.
 Modulo 03 – Understanding Hard Disks and File Systems

Nota: Si aparece una ventana emergente Abrir archivo - Seguridad, haga clic en
Run.

5. Una vez completada la instalación, haga clic en Finish para salir del asistente de
configuración.

6. Haga doble clic en el icono de acceso directo de Autopsy 4.21.0 en el escritorio.

7. Aparecerá la ventana de bienvenida de Autopsy junto con la ventana principal
de Autopsy en segundo plano. En la ventana de bienvenida, haga clic en New
Case.
Nota: Si aparece una ventana emergente de información, haga clic en Aceptar.
 Modulo 03 – Understanding Hard Disks and File Systems

8. Se abre una ventana de New Case Information que le solicita que ingrese el
nombre del caso y el directorio base. El directorio base es la ubicación donde se
almacenarán los datos del caso. El nombre del caso se puede ingresar de acuerdo
con su propósito de identificación. En este laboratorio, le asignamos al caso el
nombre Linux_Analysis.
9. Antes de especificar el directorio base, crearemos una carpeta en el escritorio
con el nombre Image File Analysis y estableceremos la ruta del directorio base
en esta carpeta.
10. Después de configurar el directorio base, haga clic en Next.
 Modulo 03 – Understanding Hard Disks and File Systems

11. La ventana New Case Information caso ahora muestra la sección Optional
Information, donde puede especificar detalles como el nombre del examinador
y el número de caso. Para este laboratorio, ingresemos el nombre del
examinador como Smith y el número de caso como 1001-101. También puede
completar los demás campos opcionales. Haga clic en Fisnish después de
ingresar los detalles de los campos opcionales.

12. Aparecerá la ventana Add Data Source, que muestra la sección Select Host. Deje
la selección predeterminada y haga clic en Next.
 Modulo 03 – Understanding Hard Disks and File Systems

13. En Select Data Source Type, debe seleccionar el tipo de fuente de datos que se
proporcionará como entrada. En este laboratorio, analizaremos una imagen de
disco; por lo tanto, seleccione la opción Disk Image or VM File y haga clic en
Next.

14. La ventana Add Data Source ahora muestra la sección Select Data Source, donde
debe seleccionar la ubicación de la imagen que va a examinar. Haga clic en
Browse.
 Modulo 03 – Understanding Hard Disks and File Systems

15. Aparecerá una ventana Open en la que deberá especificar la imagen forense.
Vaya a E:\CHFI-Tools\Evidence Files\Forensic Images, seleccione
Linux_Evidence_001.img y haga clic en Open.

16. Una vez que haya establecido la ruta del archivo de imagen, haga clic en Next.

17. La ventana Add Data Source ahora muestra la sección Configure Ingest, que
contiene listas de opciones que están marcadas. Seleccione las opciones según
sus necesidades y haga clic en Next.
 Modulo 03 – Understanding Hard Disks and File Systems

18. La ventana Add Data Source ahora muestra la sección Add Data Source, que
indica que se agregó la fuente de datos. Haga clic en Finish.

Nota: La autopsia tardará un tiempo en analizar por completo el archivo de

evidencias. Puede continuar con los siguientes pasos de este laboratorio incluso
cuando el análisis del archivo de evidencias aún esté en curso.
19. La aplicación ahora muestra el resultado en la ventana principal de Autopsy.
Expanda Data Sources → Linux_Evidence_001.img_1Host en el panel izquierdo
y haga clic en el archivo de imagen, es decir, Linux_Evidence_001.img. Esto
mostrará el contenido del archivo de imagen, como se muestra en la siguiente
captura de pantalla:
 Modulo 03 – Understanding Hard Disks and File Systems

20. Expanda el archivo de imagen Linux_Evidence_001.img para ver su contenido.

Al expandir la imagen, Autopsy muestra el sistema de archivos de la imagen de
Linux como se muestra en la siguiente captura de pantalla:

21. Puede examinar todos los archivos necesarios almacenados en la imagen como
parte del análisis del sistema de archivos. En este laboratorio, vamos a ver el
archivo crontab que está almacenado en la ubicación \etc. Por lo tanto,
seleccione la carpeta etc del panel izquierdo.
22. Al seleccionar la carpeta, todos los archivos y carpetas presentes en etc se
muestran en el panel derecho de la ventana.
23. Desplácese hacia abajo en la ventana y seleccione el archivo crontab.
 Modulo 03 – Understanding Hard Disks and File Systems

24. Haga clic en la pestaña Text.

25. Autopsy muestra todo el texto (información de la cuenta de usuario) presente
en el archivo crontab, en la pestaña Strings, como se muestra en la siguiente
captura de pantalla:

26. De manera similar, haga clic en las pestañas File Metadata, Hex y Annotations
para ver otros detalles relacionados con el archivo seleccionado.
27. De esta manera, puede analizar todos los demás archivos y carpetas que elija
para obtener información detallada sobre ellos.
28. Además de examinar el sistema de archivos, también puede calcular los hashes
de los archivos que examine, lo que ayuda a validar la integridad de la evidencia.
En este laboratorio, calcularemos el hash MD5 de un archivo llamado
HideMarkedCols.xls, que se encuentra dentro de /home/roger/Documents.
29. Para ver el valor hash MD5 de este archivo, expanda home → Roger →
Documents en el panel izquierdo. El archivo HideMarkedCols.xls aparece en el
panel derecho de la ventana Autopsy. Haga clic en el archivo.
 Modulo 03 – Understanding Hard Disks and File Systems

30. La sección File Metadata muestra la información de metadatos de la

carpeta/archivo seleccionado, como las horas de creación, modificación y acceso
del archivo, seguidas de su valor hash MD5.
31. Haga clic en File Metadata y desplácese hacia abajo en la sección para encontrar
el valor MD5 del archivo HideMarkedCols.xls.
 Modulo 03 – Understanding Hard Disks and File Systems

32. La recuperación de datos eliminados y la detección de laboratorios con

extensiones de archivo no coincidentes se tratan en el Módulo 05 Cómo vencer
las técnicas antiforenses.
33. Revise todas las opciones de Autopsy en detalle según sea necesario para sus
investigaciones.
34. Cierre todas las ventanas abiertas.
Análisis del Laboratorio
Analizar y documentar los resultados relacionados con el ejercicio de laboratorio.
 Modulo 03 – Understanding Hard Disks and File Systems

Lab
2
Analizar el sistema de archivos de las imágenes de Windows
Escenario del Laboratorio
Sam, el gerente de una organización, ha llamado a un equipo forense después de que se
produjo un ciberataque. El equipo de seguridad informática de Sam ya ha creado
imágenes forenses de las máquinas afectadas con la intención de ahorrar tiempo y
esfuerzos al equipo forense. El equipo forense, al llegar, verificó la integridad de los
archivos de imagen y ahora necesitan familiarizarse con ellos. Su primera tarea es
comprender el sistema de archivos del archivo de imagen y proceder a la recuperación
de archivos.
Para investigar un disco duro, un investigador forense debe tener un conocimiento
profundo de los tipos de sistemas de archivos y cómo analizarlos utilizando varias
herramientas.
Objetivos del Laboratorio
El objetivo de este laboratorio es ayudar a los investigadores a aprender y realizar
análisis de sistemas de archivos utilizando The Sleuth Kit. The Sleuth Kit (TSK) se utiliza
para obtener la siguiente información:
• Tipo de sistema de archivos
• Información de metadatos
• Información de contenido
Entorno del Laboratorio
Este laboratorio requiere:

• Un sistema que ejecuta una máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 15 minutos
 Modulo 03 – Understanding Hard Disks and File Systems

Descripción General del Laboratorio

Este laboratorio le permitirá familiarizarse con el análisis de sistemas de archivos

mediante The Sleuth Kit. Le ayudará a comprender cómo obtener información de un
archivo de imagen, como el tipo de sistema de archivos utilizado, el contenido de los
archivos y carpetas dentro de la imagen y la información de metadatos relacionada con
la imagen.
Tareas del Laboratorio
1. En la máquina Windows Server 2022, The Sleuth Kit se puede encontrar en la
siguiente ubicación: E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard
Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK).
2. Navegue hasta la ubicación E:\CHFI-Tools\CHFIv11 Module 03 Understanding
Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit
(TSK)\bin, coloque el cursor en el campo de ruta del archivo, escriba cmd en la
ruta y presione Enter para abrir la ventana del símbolo del sistema en la
ubicación especificada.
 Modulo 03 – Understanding Hard Disks and File Systems

3. En este laboratorio, utilizaremos dos archivos de evidencia para el examen,

Windows_Evidence_001.dd y Windows_Evidence_002.dd
(Windows_Evidence_002.dd para ver las tablas de particiones y
Windows_Evidence_001.dd para ver la información asociada con la imagen y
recuperar los archivos y carpetas contenidos en la imagen).
4. Para ver las tablas de particiones asociadas con Windows_Evidence_002.dd,
escriba mmls “E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_002.dd” y presione Enter. Esto muestra el diseño
de particiones de un sistema de volumen (tablas de particiones) asociado con el
archivo de imagen, como se muestra en la siguiente captura de pantalla:
 Modulo 03 – Understanding Hard Disks and File Systems

5. De manera similar, para ver el tipo de sistema de archivos y el sistema operativo

relacionado con la imagen, escriba fsstat "E:\CHFI-Tools\Evidence
Files\Forensic Images\Windows_Evidence_001.dd" y luego presione Enter.

6. En la captura de pantalla anterior, se puede observar que el sistema de archivos

es NTFS y el sistema operativo de origen es Windows XP.
7. Utilice el comando img_stat para ver los detalles de la imagen seleccionada.
Escriba img_stat "E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd" y presione Enter para ver los detalles.
 Modulo 03 – Understanding Hard Disks and File Systems

8. Utilice la herramienta istat de The Sleuth Kit para ver los detalles de la estructura
de metadatos.
9. Para ver una descripción general del archivo MFT, escriba istat -f ntfs "E:\CHFI-
Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 0 y
presione Enter.
Nota: el argumento -f especifica el tipo de sistema de archivos.

Nota: La tabla maestra de archivos (MFT) tiene una entrada para cada archivo y
directorio; por lo tanto, es necesaria para encontrar todos los demás archivos. El
diseño de la MFT se determina procesando la entrada 0 en la MFT.
10. Para mostrar la descripción general del archivo MFTMirr, escriba istat -f ntfs
"E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 1
y presione Enter.
 Modulo 03 – Understanding Hard Disks and File Systems

Nota: La entrada 1 de MFT corresponde al archivo MFTMirr, que tiene un

atributo no residente que contiene una copia de seguridad de la primera entrada
de MFT.
11. Para visualizar una descripción general del archivo de arranque, escriba istat -f
ntfs "E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd" 7 y presione Enter.

Nota: El archivo de metadatos del sistema de archivos de arranque está en la

entrada 7 de MFT y contiene el sector de arranque del sistema de archivos.
12. Para mostrar una descripción general del archivo de metadatos del sistema de
archivos de volumen, escriba istat -f ntfs "E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd" 3 y presione Enter.
 Modulo 03 – Understanding Hard Disks and File Systems

Nota: El archivo de metadatos del sistema de archivos de volumen se encuentra

en la entrada 3 de MFT y contiene la etiqueta del volumen y otra información
relacionada con la versión.
13. Para ver una descripción general del archivo AttrDef, escriba istat -f ntfs
"E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 4
y presione Enter.

Nota: La entrada MFT para el archivo de metadatos del sistema de archivos

AttrDef es 4. Define los nombres y los identificadores de tipo para cada tipo de
atributo.
14. Para mostrar una descripción general del archivo de mapa de bits, escriba istat -
f ntfs "E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd" 6 y presione Enter.
 Modulo 03 – Understanding Hard Disks and File Systems

Nota: La entrada MFT del archivo de metadatos del sistema de archivos de mapa
de bits, que determina el estado del clúster, es 6.
15. Para ver una descripción general del archivo BadClus, escriba istat -f ntfs
"E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 8
y presione Enter.

Nota: NTFS realiza un seguimiento de los clústeres dañados asignándolos a un

atributo $DATA del archivo de metadatos del sistema de archivos BadClus. La
entrada MFT es 8.
16. Para mostrar una descripción general del archivo seguro, escriba istat -f ntfs
"E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 9
y presione Enter.
 Modulo 03 – Understanding Hard Disks and File Systems

Nota: El archivo de metadatos de archivo seguro almacena los descriptores de

seguridad que definen la política de control de acceso para un archivo o
directorio. La entrada MFT correspondiente es 9.
17. Utilice la herramienta de línea de comandos fls de TSK para enumerar los
nombres de los archivos y directorios. Escriba fls -f ntfs "E:\CHFI-Tools\Evidence
Files\Forensic Images\Windows_Evidence_001.dd" y luego presione Enter.

18. Para ver la lista de información de inodos, escriba ils -r "E:\CHFI-Tools\Evidence

Files\Forensic Images\Windows_Evidence_001.dd".
Nota: De manera predeterminada, el argumento -r genera una lista de solo
inodos para los archivos eliminados.
 Modulo 03 – Understanding Hard Disks and File Systems

19. Ahora, buscaremos el nombre del archivo o directorio en el inodo número 96.
Para ello, escriba ffind -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd” 96

20. En la captura de pantalla anterior, podemos ver que Word Doc1.docx está
presente en el inodo 96.
21. Ahora, recuperaremos estos archivos de la imagen utilizando el módulo
tsk_recover. Antes de ejecutar este módulo, debe crear una carpeta llamada
Retrieved Files by SleuthKit en el escritorio.
22. Una vez creada la carpeta, vuelva al símbolo del sistema, escriba el comando
tsk_recover -i raw -e "E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd"
"C:\Users\Administrator\Desktop\Retrieved Files by SleuthKit" y presione
Enter.
23. El modificador -i representa el tipo de imagen. Dado que estamos utilizando un
archivo dd, el tipo de imagen que especificamos en el comando es "raw". Al
ingresar el modificador -e, se le indica a la herramienta que recupere todos los
archivos (asignados y no asignados).

24. La herramienta comienza a recuperar los archivos de la imagen forense. Al

finalizar, muestra un mensaje que muestra la cantidad de archivos recuperados,
como se muestra en la siguiente captura de pantalla:
 Modulo 03 – Understanding Hard Disks and File Systems

Nota: Ignore los errores que se produzcan durante el proceso de recuperación.

25. Para ver los archivos recuperados, diríjase al escritorio y abra la carpeta Archivos
recuperados por SleuthKit. Puede ver los archivos y directorios recuperados
como se muestra en la siguiente captura de pantalla:

26. De esta manera, puedes utilizar The Sleuth Kit para obtener información
relacionada con los datos contenidos en un archivo de imagen y recuperar los
archivos y carpetas que contiene.
27. Cierre todas las ventanas abiertas.
Análisis de laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 03 – Understanding Hard Disks and File Systems

Lab
3
Recuperar Archivos Borrados de Discos Duros
Escenario del Laboratorio
Los investigadores forenses comenzaron a escanear los ordenadores en busca de datos
eliminados para atrapar al autor, que había estado recopilando datos privados de la
empresa con intenciones maliciosas. Para evitar ser identificado, el autor había
eliminado los datos del sistema. Sin embargo, los investigadores pudieron rastrear el
sistema utilizado por el autor analizando los sistemas de archivos y recuperando los
datos eliminados con la herramienta WinHex.
Como investigador forense informático, debe saber cómo recuperar archivos que se han
eliminado de forma permanente y las herramientas que se pueden utilizar para
recuperarlos.
Objetivos del Laboratorio
El objetivo de este laboratorio es ayudarle a comprender cómo recuperar archivos que
se han eliminado de forma permanente utilizando la herramienta WinHex.
Entorno del Laboratorio
Este laboratorio requiere:

• Un sistema que ejecuta una máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 10 minutos
Descripción General del Laboratorio
Este laboratorio le permitirá familiarizarse con la herramienta WinHex. Le ayudará a
comprender cómo importar una imagen a esta aplicación y recuperar archivos de tipos
de archivos específicos a partir del archivo de imagen.
 Modulo 03 – Understanding Hard Disks and File Systems

Tareas del Laboratorio

1. En este laboratorio, utilizaremos los archivos de evidencia ubicados en E:\CHFI-

Tools\Evidence Files\Forensic Images.
2. En la máquina Windows Server 2022, navegue E:\CHFI-Tools\CHFIv11 Module
03 Understanding Hard Disks and File Systems\File System Analysis
Tools\WinHex y haga doble clic en winhex.exe para iniciar la aplicación.

3. Vaya a File → Open para agregar el archivo de evidencia.

4. Aparece la ventana Open Files. Vaya a E:\CHFI-Tools\Evidence Files\Forensic

Images, seleccione Todos los archivos en la lista desplegable Tipo de archivo y, a
continuación, seleccione Linux_Evidence_001.img. Una vez seleccionado el
archivo, haga clic en Open.
 Modulo 03 – Understanding Hard Disks and File Systems

5. A continuación aparecerá una ventana emergente de evaluación de WinHex;

haga clic en Ok para cerrar la ventana emergente.

6. WinHex procesará el archivo de imagen y mostrará la siguiente ventana con una

ventana emergente de Data Interpreter en la esquina inferior derecha de la
ventana.
 Modulo 03 – Understanding Hard Disks and File Systems

7. Vaya a Tools → Disk Tools → File Recovery by Type…

8. Aparecerá una ventana emergente de WinHex; haga clic en Ok.

 Modulo 03 – Understanding Hard Disks and File Systems

9. Aparece la ventana de File Header Search on Linux_Evidence_001.img y

muestra los tipos de archivos que desea extraer.

10. En este laboratorio, vamos a extraer documentos; por lo tanto, haga clic en el
nodo + para expandir la carpeta Documents.
 Modulo 03 – Understanding Hard Disks and File Systems

11. Seleccione las casillas de verificación junto a los formatos de archivo que desee
en la carpeta Documents y haga clic en Ok.
Nota: De manera similar, también puede elegir otros tipos de archivos para el
proceso de investigación. El resultado puede variar según los tipos de archivos
que haya seleccionado.
 Modulo 03 – Understanding Hard Disks and File Systems

12. Aparecerá la ventana Select Target Folder. Navegue hasta la ubicación donde
desea guardar los archivos recuperados (aquí, Escritorio), cree una carpeta
llamada Retrieved Files y luego haga clic en Open.

13. La aplicación ahora muestra la carpeta seleccionada. Haga clic en Ok.

14. Para iniciar el proceso de recuperación, haga clic en Ok en la File Header Search
on Linux_Evidence_001.img. Esta acción cerrará la ventana y comenzará a
recuperar los archivos (con los tipos de archivo especificados) de la imagen.
 Modulo 03 – Understanding Hard Disks and File Systems

15. Una vez completado el proceso de recuperación, haga clic en Ok en la ventana

emergente File Recovery by Type para cerrar la ventana de procesamiento.
 Modulo 03 – Understanding Hard Disks and File Systems

16. Para ver los archivos recuperados, abra la carpeta de destino (aquí es Retreived
Files en Desktop) donde los guardó.

17. De esta manera, puede recuperar archivos de una imagen forense utilizando
WinHex.
18. Cierre todas las ventanas abiertas.
Análisis de laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 03 – Understanding Hard Disks and File Systems

Lab
4
Creación y Análisis de la Línea de Tiempo del Sistema de Archivos
con The Sleuth Kit (TSK)
Escenario del Laboratorio
Smith, un investigador forense, recibió la tarea de investigar un ciberataque a una
organización. Su equipo ya ha creado una imagen forense de la máquina sospechosa.
Ahora, Smith necesita generar las líneas de tiempo de las actividades que se realizaron
en la máquina sospechosa para investigar el incidente.
Como investigador forense informático, debe saber cómo generar las líneas de tiempo
de las actividades que se realizaron en la máquina sospechosa.
Objetivos del Laboratorio
El objetivo de este laboratorio es ayudarle a comprender cómo generar las líneas de
tiempo de varias actividades que se realizaron en la máquina sospechosa.
Entorno del Laboratorio
Este laboratorio requiere:

• Un sistema que ejecuta una máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 10 minutos
Descripción General del Laboratorio
Este laboratorio lo familiarizará con algunos de los comandos de The Sleuth Kit (TSK) que
se utilizan para generar la línea de tiempo de las actividades realizadas por el sospechoso
en su máquina.
Tareas del Laboratorio
1. En la máquina Windows Server 2022, The Sleuth Kit se puede encontrar en la
siguiente ubicación: E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard
Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK).
 Modulo 03 – Understanding Hard Disks and File Systems

2. Navegue hasta la ubicación, E:\CHFI-Tools\CHFIv11 Module 03 Understanding

Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit
(TSK)\bin, coloque el cursor en el campo de ruta del archivo y escriba cmd en la
ruta y presione Enter para abrir una ventana del símbolo del sistema en la
ubicación especificada.

3. Ahora, recopilaremos los datos temporales del archivo de imagen mediante la

utilidad fls. Para ello, escriba fls -m 63 "E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd" y presione Enter en la ventana del símbolo
del sistema.
Nota: En el comando anterior, el argumento -m muestra los archivos en formato
de máquina del tiempo, de modo que se pueda crear una línea de tiempo con
mactime(1). 63 representa que el sistema de archivos comienza en el sector 63
(para una imagen de disco, el sistema de archivos comienza en el sector 63).
 Modulo 03 – Understanding Hard Disks and File Systems

4. Ahora escribiremos estos datos temporales en un archivo body.txt. Para ello,

escriba fls -m 63 "E:\CHFI-Tools\Evidence Files\Forensic
Images\Windows_Evidence_001.dd" > body.txt y presione Enter en la ventana
del símbolo del sistema.

5. Vaya a E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File

Systems\File System Analysis Tools\The Sleuth Kit (TSK)\bin. Puede ver que se
crea un archivo body.txt.
 Modulo 03 – Understanding Hard Disks and File Systems

6. Ahora crearemos un archivo timeline.txt usando este archivo body.txt donde

podremos ver la línea de tiempo de las actividades realizadas en el sistema
sospechoso.
7. Primero, instalaremos perl en la máquina Windows Server 2022 para ejecutar el
script mactime.pl.
8. Navigate to E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and
File Systems\File System Analysis Tools\Perl. Double-click strawberry-perl-
5.38.0.1-64bit.msi and follow the wizard-driven steps to install perl.
 Modulo 03 – Understanding Hard Disks and File Systems

9. Después de completar la instalación, desmarque la casilla de verificación Read

README file y haga clic en Finish.

10. Cierre la ventana del símbolo del sistema y repita el paso 2 para abrir la ventana
del símbolo del sistema, en E:\CHFI-Tools\CHFIv11 Module 03 Understanding
Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit
(TSK)\bin.
11. Cambie a la ventana del símbolo del sistema y escriba perl mactime.pl -b
body.txt -z EST5EDT > timeline.txt y presione Enter.
Nota: Si recibe algún error, ignórelo.
Nota: En el comando anterior, el indicador -z representa la zona horaria y el
indicador -b representa el archivo del cuerpo.

12. Vaya E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File

Systems\File System Analysis Tools\The Sleuth Kit (TSK)\bin y haga doble clic
en timeline.txt para abrirlo en el Bloc de notas.
 Modulo 03 – Understanding Hard Disks and File Systems

13. Podemos ver que los datos en el bloc de notas se organizarán mostrando la fecha
y hora, el tamaño del archivo, el tipo de actividad (macb), los permisos de Unix,
el ID de usuario/ID de grupo, el inodo y el nombre del archivo.
 Modulo 03 – Understanding Hard Disks and File Systems

14. De esta manera, puede generar las líneas de tiempo de varias actividades que se
realizaron en la máquina sospechosa utilizando las utilidades de The Sleuth Kit
(TSK).
15. Cierre todas las ventanas abiertas.
Análisis de laboratorio
Analice y documente los resultados de este ejercicio de laboratorio.
 Modulo 03 – Understanding Hard Disks and File Systems

Lab
5
Analice los Formatos de Archivos más Populares usando el Editor
Hexadecimal
Escenario del Laboratorio
Dave, un investigador forense, está trabajando en una investigación forense. En el
proceso, descubrió muchos archivos en diferentes formatos, como documentos de
Word, Excel, PNG, JPEG, RAR, etc.
Como investigador forense informático, debe saber cómo analizar varios formatos de
archivo durante una investigación forense.
Objetivos del Laboratorio
El objetivo de este laboratorio es ayudarle a comprender cómo analizar formatos de
archivos populares utilizando un visor hexadecimal.
Entorno del Laboratorio
Este laboratorio requiere:

• Un sistema que ejecuta una máquina virtual Windows Server 2022

• Privilegios administrativos para ejecutar los comandos.
• Un navegador web con acceso a Internet.
Duración del Laboratorio
Tiempo: 15 minutos
Descripción General del Laboratorio
Este laboratorio le permitirá familiarizarse con la forma de analizar varios formatos de
archivos utilizando la herramienta Hex Editor Neo.
Tareas del Laboratorio
1. En la máquina Windows Server 2022, navegue hasta E:\CHFI-Tools\CHFIv11
Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Hex
Editor Neo y haga doble clic en free-hex-editor-neo.exe.
Nota: Si aparece una ventana emergente Abrir archivo - Seguridad, haga clic en
Run.
 Modulo 03 – Understanding Hard Disks and File Systems

2. En la ventana HHD Software Free Hex Editor Neo Setup Package, haga clic en
Install.

3. Desmarque la casilla de verificación Viw reease notes… y haga clic en Close en la

ventana HHD Software Free Hex Editor Neo Setup Package.
 Modulo 03 – Understanding Hard Disks and File Systems

Nota: Si aparece una ventana emergente, haga clic en Ok.

Nota: Si aparece una ventana de Componnet Updates, seleccione Discard y
presione Enter; en la siguiente ventana emergente, haga clic en Yes.
4. Aparece la ventana Free Hex Editor Neo; haga clic en File →Open → Open File…
en el menú.

5. Analizaremos un documento de Word utilizando el visor hexadecimal. En la

ventana Open, navegue hasta E:\CHFI-Tools\CHFIv11 Module 03
Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files,
seleccione el archivo Sample.docx y haga clic en Open.
 Modulo 03 – Understanding Hard Disks and File Systems

6. Free Hex Editor Neo muestra los valores hexadecimales del documento
seleccionado.
 Modulo 03 – Understanding Hard Disks and File Systems

7. En las capturas de pantalla anteriores podemos ver que el valor hexadecimal de

un archivo DOCX comienza con 50 4b 03 04 14 00 06 00 y contiene 77 6f 72 64
valores.
8. Cierre la pestaña Sample.docx en el editor hexadecimal gratuito Neo y haga clic
en File → Open → Open File… en el menú.

9. A continuación, analizaremos un archivo GIF con el visor hexadecimal. En la

ventana Open, navegue hasta E:\CHFI-Tools\CHFIv11 Module 03
Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files,
seleccione el archivo Sample.gif y haga clic en Open.
 Modulo 03 – Understanding Hard Disks and File Systems

10. Free Hex Editor Neo muestra los valores hexadecimales del archivo
seleccionado.

11. En la captura de pantalla anterior podemos ver que el valor hexadecimal de un

archivo GIF comienza con 47 49 46 38.
12. 12. Cierre la pestaña Sample.gif en el editor hexadecimal gratuito Neo y haga clic
en File → Open → Open File… en el menú.
 Modulo 03 – Understanding Hard Disks and File Systems

13. Ahora, analizaremos un archivo JPEG con el visor hexadecimal. En la ventana

Open, navegue hasta E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard
Disks and File Systems\File Analysis Tools\Sample Files, seleccione Sample.jpg
y haga clic en Open.

14. Free Hex Editor Neo muestra los valores hexadecimales del archivo
seleccionado.
 Modulo 03 – Understanding Hard Disks and File Systems

15. En la captura de pantalla anterior podemos ver que el valor hexadecimal de un

archivo jpg comienza con ff d8 ff.
16. Cierre la pestaña Sample.jpg en Free Hex Editor Neoy haga clic en File → Open
→ Open File… en el menú.

17. Ahora, analizaremos un archivo PDF con el visor hexadecimal. En la ventana

Open, navegue hasta E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard
Disks and File Systems\File Analysis Tools\Sample Files, seleccione Sample.pdf
y haga clic en Open.
 Modulo 03 – Understanding Hard Disks and File Systems

18. Free Hex Editor Neo muestra los valores hexadecimales del archivo
seleccionado.

19. En la captura de pantalla anterior podemos ver que el valor hexadecimal de un

archivo PDF comienza con 25 50 44 46.
20. Cierre la pestaña Sample.pdf en el Free Hex Editor Neo y haga clic en File →
Open → Open File… en el menú.
 Modulo 03 – Understanding Hard Disks and File Systems

21. Analizaremos un archivo PNG usando el visor hexadecimal. En la ventana Open,

navegue a E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and
File Systems\File Analysis Tools\Sample Files, seleccione Sample.png y haga clic
en Open.

22. Free Hex Editor Neo muestra los valores hexadecimales del archivo
seleccionado.
23. En la captura de pantalla anterior, podemos ver que el valor hexadecimal de un
archivo PNG comienza con 89 50 4e 47.
24. Cierre la pestaña Sample.png en el Free Hex Editor Neo y haga clic en File →
Open → Open File… en el menú.
 Modulo 03 – Understanding Hard Disks and File Systems

25. Analizaremos un archivo RAR con el visor hexadecimal. En la ventana Open,

navegue hasta E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks
and File Systems\File Analysis Tools\Sample Files, seleccione el archivo
Sample.rar y haga clic en Open.

26. Free Hex Editor Neo muestra los valores hexadecimales del archivo
seleccionado.
 Modulo 03 – Understanding Hard Disks and File Systems

27. En la captura de pantalla anterior, podemos ver que el valor hexadecimal de un

archivo RAR comienza con 52 61 72 21 1a 07.
28. Cierre la pestaña Sample.rar en el Free Hex Editor Neo y haga clic en File → Open
→ Open File… en el menú.

29. Analizaremos un archivo de Excel con el visor hexadecimal. En la ventana Open,

navegue hasta E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks
and File Systems\File Analysis Tools\Sample Files, seleccione Sample.xlsx y
haga clic en Open.
 Modulo 03 – Understanding Hard Disks and File Systems

30. Free Hex Editor Neo muestra los valores hexadecimales del archivo
seleccionado.
 Modulo 03 – Understanding Hard Disks and File Systems

31. En las capturas de pantalla anteriores, podemos ver que el valor hexadecimal de
un archivo .xlsx comienza con 50 4b 03 04 14 00 06 00 y contiene valores 78 6c
2f.
32. 32. De esta manera, puede analizar varios formatos de archivo utilizando Hex
Editor Neo.
33. Cierre todas las ventanas abiertas.
34. Apague la máquina con Windows Server 2022.