4 USO DE OSFORENCIS_INFORMATICA FORENSE

Vista previa del material en texto

ING.GILBERT JAIR SANCHEZ AVILA-INFORMATICA FORENSE-
ESPECIALIZACION SEGURIDAD INFORMATICA UNAD 
TUTORIAL USO DE OSFORENCIS 
Instalación 
Una vez descargado por el link que nos dio el tutor, procedemos a instalar la 
herramienta OSFORENCIS , nos sale este aviso le damos clic en I accept the 
agreement y luego le damos next 
 
Luego seleccionamos donde queremos instalarlo , por defecto le damos en la raíz 
c: y le damos next: 
 
Luego sale la carpeta donde se va instalar la aplicación y le damos next : 
 
 
Después que le damos next , nos aparecen un resumen de cómo va la instalación 
hasta el momento , le damos next y nos sale una barra indicando que la aplicación 
se va instalando: 
 
 
 
Una vez la barra completa 100% de instalación nos sale la aplicación con sus 
diferentes opciones para las labores de informática forense ,en el cuadro donde 
sale el logo osforenscis nos sale la opción de continue using free versión o 
upgrade to profesional versión , en este caso le damos continue using free 
versión 
 
Una vez le damos continue using free versión vamos a crear un caso, en la 
parte superior izquierda de la aplicación donde dice start , le damos clic y 
donde dice case management (administración del caso) le damos clic en 
create case (ver siguiente imagen el cuadro negro parte superior derecha) 
 
 
 
 
 
 
Para crear un caso 
 
Al darle clic en create case nos sale el siguiente recuadro: 
 
En case name colocamos el nombre del caso, en investigator colocamos la 
persona a cargo de la investigación, en este caso yo , organization la empresa 
que hace la investigación ,time zone es zona horaria , en default drive elegimos 
el disco duro local o C , la carpeta del caso o case folder le damos en default 
location , que es la ruta por defecto del programa, luego le damos ok 
 
Podemos ver en esta imagen que el caso ya esta creado , con su respectiva fecha 
y locación en el disco duro , también la herramienta nos da opciones de importar 
casos y cárgalos y eliminarlos , también podemos generar reportes y editar el caso 
según las circunstancias. 
 
 
 
 
 
 
Para montar una imagen 
 
En el menú principal del programa nos vamos a la opción mount drive image que 
esta resaltada con un rectángulo negro y nos sale el siguiente cuadro de dialogo : 
 
En source elegimos donde dice image file luego le damos clic en el botón 
indicado en el rectángulo de borde negro nos sale para buscar la ruta donde esta 
la imagen , en la parte donde está el rectángulo con borde rojo colocamos la letra 
de la partición y el tipo de drive (donde está el recuadro de borde amarillo , 
también tipo de drive puede ser HDD o disco duro , disquete o unidad de DVD) 
colocamos auto , mas abajo del rectagulo amarillo nos aparece la opción de solo 
lectura o si es una imagen removible. 
 
Buscamos la ruta donde tenemos guardado la imagen de practica en este caso se 
llama flashevidencia.dd y le damos abrir , nos sale el siguiente cuadro de 
dialogo: 
 
Yo en este caso use entire image file (usar una imgen de partición entera), le 
di ok y sale la siguiente imagen: 
 
Me dice que el tamaño es de 123MB , es de solo lectura y no se ha detectado 
el sistema de archivos , aunque si cambiara opciones como sale en la 
imagen donde están los rectángulos rojo y amarillo esto me saldría: 
 
 
 
 
 
Buscar archivos borrados: 
 
Una vez montada la imagen nos vamos a la opción deleted files search 
(recuadro borde negro), le damos y donde esta el recuadro marrón oscuro 
buscamos el disco o imagen analizar, luego le damos clic a configuración 
(recuadro rojo) ahí nos sale diversos parámetros de búsqueda los chuleamos 
todos en este caso , luego damos ok y por ultimo en el botón search 
 
 
En este caso no encontró nada de la imagen a investigar (ver imagen siguiente) 
pero si ustedes en vez de analizar la imagen de práctica, eligieran la partición C de 
sus discos duro el programa encontrara evidencia de archivos borrados 
anteriormente en nuestra PC 
 
 
 
 
Ejemplo de que encontró archivos borrados de nuestra PC: 
 
También podemos ver la lista de imágenes eliminadas de nuestra PC: 
 
Linea de tiempo de los archivos borrados de nuestra PC: