Tema 3 Análisis de evidencias digitales

Vista previa del material en texto

Utilizar software específico para analizar evidencias 
digitales desde diferentes niveles de abstracción para 
facilitar su correcta interpretación. 
Luego de obtener la evidencia mediante cadena
de custodia, se procede a su análisis. Esta es la
fase más técnica, se utiliza hardware y software
específicamente diseñados para el análisis
forense.
En esta fase, es muy importante saber qué es lo
que se está buscando, esto dará un enfoque más
preciso a la hora de obtener las pruebas.
El estudio de la línea de tiempo (timeline), logs
de accesos y un volcado de la memora RAM son
muy útil para la mayoría de las pericias.
Es muy importante evaluar la criticidad del
incidente y los actores involucrados.
Reconstruir con todos los datos disponibles la línea
temporal del ataque, determinando la cadena de
acontecimientos que tuvieron lugar desde el
instante inmediatamente anterior al inicio del
ataque, hasta el momento de su descubrimiento, es
decir, correlacionar los hechos.
Contestar a las interrogantes:
▪ ¿Qué?
▪ ¿Cómo?
▪ ¿Con qué?
▪ ¿Por qué?
▪ ¿Cuándo?
▪ ¿Quién?
CONSIDERACIONES ANTES 
DE REALIZAR EL ANÁLISIS
▪ NUNCA trabajar con datos ORIGINALES, 
evidencias, dispositivos, etc.
▪ Respetar la legislación y las políticas de la 
Organización
▪ Documentación
▪ Resultados Verificables y Reproducibles
▪ No existe un procedimiento estándar.
Preparación del entorno forense:
▪ Laboratorio forense.
▪ El Sistema de análisis
▪ Entorno limpio
▪ Aislado de la red
▪ Herramientas limpias y 
esterilizadas
▪ Sistema de Simulación
▪ Sistema de Pruebas en 
caliente
Crear una línea 
temporal de 
sucesos
• Marcas de tiempo.
• Ruta completa.
• Tamaño en bytes y 
tipo de fichero.
• Usuarios y grupos a 
quien pertenece.
• Permisos de acceso.
• Si fue borrado o no.
Determinar cómo se 
realizó el incidente
• Determinar la entrada 
en el sistema.
• Descubrir la 
vulnerabilidad o fallo
de administración que 
causó el agujero de 
seguridad.
• Averiguar las 
herramientas que usó
el atacante.
Identificar los 
autores del 
incidente
• Revisar conexiones, 
puertos y direcciones
IP de origen.
• Revisar logs de 
conexiones.
Evaluar el impacto
causado en el 
Sistema
• Descubrir que 
hicieron los atacantes 
luego de ingresar al 
sistema.
• Estimar el impacto
causado.
La línea de tiempo es importante en el inicio de una investigación. Es el marco de
trabajo que permite al investigador indagar en base a un criterio de tiempo
determinando que ficheros pueden o no ser importantes para el caso.
La línea de tiempo se define en dos momentos dentro de una investigación:
1. La línea previa, surge con la entrevista inicial, muestra la pauta para iniciar los
análisis y hace referencia a los detalles de tiempos y sucesos iniciales
proporcionados por las personas que encargan la investigación. Aquí un
ejemplo:
2. La línea de investigación, se inicia con la fase del análisis, las conclusiones
previas permitirían establecer un inicio, pero la línea de tiempo más exacta se
establece durante la fase del análisis. Esta línea de tiempo se hace con las
evidencias encontradas dentro del análisis. Ejemplo.
Cada detalle que se registre debe tener sus respectivas evidencias, de esta
forma se podrá recrear el delito.
Entre los elementos que deben delimitar la línea de tiempo tenemos los siguientes:
▪ Ficheros creados, modificados o eliminados dentro de una ventana de tiempo
cercana a las fechas identificadas en la línea previa.
▪ Posibles ficheros modificados posteriormente pero que pueden ser objeto de la
acción en la ventana temporal fijada para la investigación.
▪ En base a las investigaciones preliminares, fijar posibles ventanas temporales
posteriores a los hechos identificados previamente.
▪ Determinar ficheros anteriores a la línea temporal de acción. Aunque nunca debe
despreciarse de forma inicial ningún tipo de ficheros, deberán ser analizados con
menor rigurosidad, que aquellos enmarcados en los tiempos más críticos.
▪ Detectar posibles ficheros discordantes con las fechas existentes. Estas
discordancias podrían proporcionar datos significativos.
Entre estos ficheros deberá considerarse:
▪ Ficheros existentes con fechas posteriores a
la investigación.
▪ Ficheros de documentos con fechas previas a
la instalación de la máquina.
▪ Si la respuesta ante una incidencia ha sido
rápida, podrán evaluarse ficheros logs
alterados e identificar horarios
significativamente incoherentes para la
organización, como ficheros abiertos o
modificados en horario nocturno cuando no
hay actividad normal.
▪ Determinar las horas de actividad de una
máquina en función del análisis de los
ficheros de logs y la modificación de los
ficheros del sistema.
Las dificultades que se encuentra el investigador a la
hora de analizar determinadas evidencias digitales
es que los atacantes emplean cada vez herramientas
más sofisticadas para realizar sus delitos. Por lo tanto,
el investigador puede dispone de un conjunto de
herramientas específicas para el análisis de
evidencias, tales como:
▪ HELIX CD
▪ F.I.R.E. Linux
▪ KALI LINUX
▪ CAINE
▪ OSFORENSICS
Análisis de los ficheros corrientes del
sistema:
▪ Comprobación de integridad de los
binarios del sistema, ROOTKITS y Virus.
▪ Archivos temporales.
▪ Archivos o directorios “ocultos”:
Nombres camuflados
▪ Archivos borrados
▪ Slack space
▪ Partición swap
▪ Esteganografía, cifrado, etc.
Del griego steganos (oculto) y graphos (escritura), la
esteganografía se puede definir como la ocultación de
información en un canal encubierto con el propósito
de prevenir la detección de un mensaje oculto.
No nace con la Informática, lleva siendo usada desde
hace miles de años para transmitir mensajes de forma
segura:
▪ Pelo de animales y esclavos
▪ Zumo de limón visible al fuego
Valiosa por su fortaleza pero peligrosa a la vez por ser
difícil determinar si se ha empleado o no. Activistas,
militares, terroristas…
La esteganografía estudia el conjunto de técnicas cuyo fin es
insertar información sensible dentro de otro fichero. A este
fichero se le denomina fichero contenedor (gráficos,
documentos, programas ejecutables, etc.). De esta forma, se
consigue que la información pase inadvertida a terceros, de
tal forma que sólo sea recuperada por un usuario legítimo
que conozca un determinado algoritmo de extracción de la
misma.
Esta ciencia ha suscitado mucho interés en los últimos años
debido a que ha sido utilizada por organizaciones criminales
y terroristas.
EL mensaje que viaja por
canal inseguro dentro del
Camuflaje, empleando la
Estego-función y la Estego-
clave (a veces) tanto para
ocultar como para revelar la
información
Estego-terna. Se suele cumplir una
terna para mantener el equilibrio de
la ocultación:
▪ A mayor cantidad de información la
técnica es menos robusta y no pasan
tan desapercibidas.
▪ Por el contrario a mayor robustez
menor cantidad de información
normalmente.
Por ejemplo basándonos en el
tamaño del archivo, al ocultar más
información normalmente será mayor
(técnica EOF).
▪ Esteganografía pura: 
▪ No emplea estego-clave
▪ Difícilmente distinguible de un objeto corriente por lo que el guardián no puede 
distinguirlo. 
▪ Por ejemplo una imagen que cambiando de extensión es un archivo comprimido y oculta 
otros archivos. 
▪ Esteganografía de clave secreta 
▪ Se necesita una clave que tanto emisor como receptor deben conocer para revelar la 
información 
▪ Por ejemplo el programa jphs ocultando texto en una imagen empleando una clave para 
revelar el texto
▪ Tipos de Esteganografía
▪ Esteganografía en texto
▪ Esteganografía en SOs y sistemas de 
ficheros
▪ Esteganografía en formato de ficheros
▪ Esteganografía hardware
▪ Esteganografía en tecnologías web
▪ Esteganografía en protocolos de 
comunicación
▪ Esteganografía en contenido multimedia
Esteganografía en texto
▪ Consiste en ocultar información en texto de 
forma que algunas o todas las palabras de 
dicho texto sirvan para descifrar el mensaje 
Codificaciónde palabras (Ej: Casa = a, 
Caballo = b, Luz = c…) 
▪ Ocultar información en texto spam 
(http://www.spammimic.com) 
▪ Codificar letras como notas musicales…
Esteganografía en texto: Código abierto
▪ Código abierto: textos que aparentemente no 
entrañan ningún secreto ya que pueden tratar 
de cualquier tema, pero que si se conoce la 
estego-clave, se puede extraer la información 
que oculta.
▪ Señales o pistas: son ciertas palabras que 
aparecen en un texto para avisar a alguien de 
una acción que debe realizar
▪ Cifradores nulos o Null ciphers: consiste en 
emplear un algoritmo de ocultación a las letras 
de las palabras que se desea esconder 
distribuyéndolas por todo el texto de una 
manera concreta. Acrósticos
Esteganografía en SOs y ficheros.
▪ Se aprovecha de la limitación del sistema de archivos basándose en la forma que 
ocupan espacio los archivos en los sistemas de almacenamiento según el 
filesystem con el que esté formateado. Ejemplos: 
▪ FAT 16 y 32 => 32KB
▪ EXT2 => de 512 bytes a 4KB 
▪ Emplea la “fragmentación interna” (no se ocupa un bloque completo por lo que 
hay una parte del bloque sin usar en la que se puede ocultar información)
▪ Ventaja y desventaja: Si el archivo se mueve a un almacenamiento con filesystem
distinto se pierde lo que hubiéramos ocultado por la reorganización de bloques. Lo 
mismo pasa si el fichero cambia de tamaño 
Esteganografía en formato de ficheros
Aprovecha las limitaciones propias de ficheros y de los elementos de control de los mismos, como la
Técnica de Final de Fichero (EOF) que se puede emplear para ocultar información después de la marca
eof de un fichero. Un archivo consta, muy básicamente hablando, de: (1) Cabecera, (2) Código, (3) Marca
final de fichero
▪ "copy /b xxx.jpg + yyy.txt resultado.jpg“
▪ "copy /b xxx.jpg + yyy.zip resultado.jpg“
▪ "type xxx.jpg >> yyy.png“
Revisable con un editor hexadecimal
Automatizado con la herramienta OurSecret (©SecureKit.net) que agrega además una contraseña para
acceder a los datos
Esteganografía hardware.
Aprovecha las limitaciones y fallos de seguridad de los
elementos físicos, para ocultar información.
Esteganografía hardware BadBIOS Mediante infección por
USB es capaz de entrar en dispositivos externos como el
teclado, y de este modo saltarse la seguridad de la BIOS o la
UEFI y poder entrar en el arranque del sistema sin problemas
por lo que no tendría necesidad de adaptarse a un SO
determinado.
Esteganografía hardware.
BadUSB Aprovecha una vulnerabilidad en el
firmware de fábrica de los pendrives para
modificar la información sobre su funcionalidad.
Así se puede modificar un pendrive haciéndolo
pasar por un adaptador de red ethernet que
responda a todas las peticiones DHCP sin
modificar la puerta de enlace, modificando las
peticiones DNS que realicemos pudiendo ser
redirigidos a sitios web ilegítimos sin darnos
cuenta.
Se puede realizar con más dispositivos que se
conecten al puerto USB como un móvil, un teclado
o una webcam.
Esteganografía en tecnologías web
▪ Consiste en ocultar mediante características del lenguaje web empleado la 
información deseada 
▪ Poner el texto del mismo color del fondo
▪ Modificar las etiquetas, que en html no son case sensitive
▪ Modificar el orden de los atributos Poner comentarios en el código
Esteganografía en protocolos de comunicación.
Similar a las técnicas EOF solo que con el formato de los protocolos.
Protocolo UDP: se emplea para transporte de información, no necesitando entonces 
conexión previa y por tanto no asegurando que la información llegue al receptor en 
perfecto estado. Hay dos formas: 
▪ Manipulando el Puerto Origen del paquete: se lleva a cabo cuando se necesita una 
comunicación unidireccional. Así se podría ocultar información en esa parte del paquete 
(16 bits) ya que no se realizaría la comprobación.
▪ Manipular la Suma de verificación: se lleva a cabo cuando la comunicación es entre un 
emisor y un receptor previamente configurados. Esto hace que la suma de verificación no 
sea imprescindible para validar el paquete ya que está previamente configurado, así se 
puede introducir información oculta (16 bits) en el paquete y aunque la suma dé error el 
paquete se acepta.
Esteganografía en contenido multimedia
▪ Consiste en ocultar archivos de poco tamaño en fotos, vídeos, audio; Las técnicas 
más utilizadas son mediante inserción que oculta la información en el código, de 
forma que actuará a modo de ruido adicional en la imagen, vídeo o audio que 
albergue aquello que queremos ocultar, intentando que sea el menor posible.
▪ Emplea técnicas para modificar zonas con gran variedad de colores, ya que si la 
parte que modificamos es de un color uniforme al modificar los píxeles para 
introducir la información el ruido sería más visible y por tanto detectable. 
▪ También se tiende a modificar principalmente zonas del interior de la imagen ya 
que en los contornos es más fácil advertir algún cambio.
Esteganografía en contenido multimedia
Herramientas de esteganografía: MSU StegoVideo, Xiao
Steganography, Oleg, Mp3stego, Jsteg, Outgues 0.2, F5, MB1,
MB2, steghide,YASS.
Herramientas de estegoanálisis: stego suite, stegsecret,
stegkit, stegAlyzer AS, stegspy, stegdetect, etc.
El estegonanálisis es la ciencia que permite detectar la información ocultada
mediante esteganografía. Principalmente se basa en el ataque pasivo (guardián
pasivo) y se puede dividir en tres fases:
▪ Detección de posible información oculta en el camuflaje.
▪ Estimación del tamaño de la información ocultada.
▪ Extracción y recuperación de la información enmascarada.
Si se han tomado las medidas adecuadas, resulta inviable recuperar la información
oculta puesto que en las técnicas actuales primero se cifra la información y después
se oculta, por lo que para su obtención primero debería revertirse el algoritmo
empleado para ocultar los datos, que suele ser pseudoaleatorio, y luego descifrar
los datos intentando romper un algoritmo de cifrado cuya seguridad está asegurada
por la comunidad científica.
▪ Stego-only attack: Se dispone únicamente del posible camuflaje, el estego-
objeto, para realizar sobre él los estudios que desee. Es el caso más común.
▪ Known cover attack: Se dispone del camuflaje original y el camuflaje con la
información oculta, pero no el algoritmo empleado o el tipo de información
oculta.
▪ Known message attack: Conocemos la información ocultada en un momento
determinado en un camuflaje concreto, por tanto se podrían deducir patrones
correspondientes a ese mensaje/información para emplearlos en futuros
ataques contra el mismo sistema de ocultación pero con otra información
▪ Chosen stego attack: Basándose en el anterior, se debe conocer el funcionamiento
del algoritmo empleado así como otros ejemplos de camuflajes empleados.
▪ Chosen message attack: Se tienen mensajes conocidos y procedimientos para
obtener estego-objetos para poder determinar patrones característicos de un
patrón concreto, y así detectar información oculta en otros camuflajes y en última
instancia el empleo de algoritmos de detección más precisos para las
herramientas conocidas.
▪ Known stego attack: Se dispone de la herramienta empleada, así como el camuflaje
original y el estego-objeto resultante.
https://www.youtube.com/watch?v=6KVrsKG5CVg
https://www.youtube.com/watch?v=h5K-xNTmTcM
https://www.youtube.com/watch?v=6KVrsKG5CVg
https://www.youtube.com/watch?v=h5K-xNTmTcM
Crear esteganografia usando cmd windows, y descomprimir usando IZArc
Crear esteganografia usando Xiao Steganography.
En un ámbito informático, Wipe hace referencia a borrar una
partición o "limpiar" una partición. Al realizar un Wipe estamos
borrando datos de nuestro dispositivo., datos que se encuentran
dentro de su memoria interna.
Un algoritmo de eliminación de datos (en inglés disk wiping),
en informática, es el usado para el borrado del contenido de
dispositivos de almacenamiento, tales como discos
duros, memorias flash, memorias USBetc., de forma segura. El
algoritmo ejecuta la sobrescritura de los datos almacenados en el
dispositivo varias veces y de un modo aleatorio.
El más común y aprobado por la NSA consiste en 3 iteraciones. En
la primera escriben unos (1), en la segunda ceros (0) y en la
tercera el código designado por el gobierno 246. Hay diferentes
versiones comerciales del algoritmo, diferenciándose entre ellas
el número de iteraciones y los datos escritos.
https://es.wikipedia.org/wiki/NSA
Instalar los softwares DiskWipe y 
DeleteOnClick
Se tiene extraída un imagen de una
unidad de almacenamiento (disco duro,
flash memory, sd card, etc.) la cual será
analizada con el fin de buscar evidencias.
Para esto, existen diversos programas
free, freeware o propietario. Todas ellas
tienen el mismo objetivo que es analizar
las imágenes forenses. La diferencia
radica en el número de características
que los diferencie. Según el tipo de
análisis se podrá usar una u otra
herramienta, esto queda a criterio del
forense, según el incidente o delito que se
investiga.
Análisis del caso:
▪ El Sr. Luis Hoyos de la empresa ERCU dedicada a la distribución al por mayor de repuestos
para vehículos, detectó el día 30 de enero del 2008 que un archivo de Excel que se encontraba
alojado el computador de su oficina ya no existía. Este archivo con nombre
EUROCONFIDENCIAL.xls contenía información muy delicada de proveedores y clientes de
la empresa.
▪ Comenta el Sr. Hoyos, que el día 15 de ese mes despidió a un empleado que laboró
normalmente hasta su salida acordada que fue el 29 de Enero del 2008. Al día siguiente de su
salida ya no estaba la información faltante. Nos comenta que sospecha de esta persona ya que
conoce que actualmente está trabajando en una empresa similar que ha puesto su hermano.
▪ El Sr. Hoyos levantó una denuncia de robo de información, llevando el caso a la justicia, la cual
incauto y realizó el secuestro de un equipo informático de la empresa del hermano del ex-
empleado y del flash memory que era propiedad del ex-empleado, que adicionalmente
auguraba no conocer nada del tema.
▪ Dentro del proceso legal fuimos nombrados para la investigación y análisis de evidencia de la
memoria flash del acusado. La cual ha sido entregada bajo cadena de custodia con el siguiente
código de seguridad: MD5: d823eb7d7e24c4644233ab8acdc6e8b5
Para realizar la practica debe usar el software FTKImager, Autopsy, OSForensic, y usar el archivo
flashevidencia.dd
El proceso forense, tiene dos tipos de investigaciones. Investigación en sistemas vivos y en sistemas muertos.
Trabajar con sistemas vivos es trabajar con equipos en funcionamiento, puede ser un entorno de red o una
captura de evidencia volátil que puede perderse una vez apagado el equipo. Obtener las evidencias volátiles lo
más rápido posible es fundamental. La obtención de evidencias volátiles se puede realizar en los siguientes
lugares:
▪ Registros y cache del procesador
▪ Tablas de rutas
▪ Cache ARP
▪ Tabla de procesos
▪ Estadísticas del kernel y módulos
▪ Memoria RAM
▪ Ficheros temporales del sistema
▪ Estado de la red
▪ Ficheros abiertos
▪ Tiempos de los ficheros (tiempos MAC: modificación, acceso y creación)
▪ Documentos abiertos.
Usar el software AccessData, Photorec
y OSForensics para cargar y analizar
la imagen del volcado de memoria.
▪ El archivo pagefile.sys es un fichero de variable tamaño
que forma parte del sistema Windows 10 desde el momento
de su instalación. Esto significa que no es un virus ni es
instalado por ningún otro programa externo. Pagefile.sys es
utilizado por el sistema para poder almacenar de forma
temporal parte de los datos que se encuentran
almacenados en la memoria RAM física de nuestro
equipo.
▪ Esto significa que este archivo es como una especie de copia
de seguridad de los archivos contenidos en la memoria RAM.
Pagefile.sys está ubicado en la raíz de la unidad C: y tienen el
estatus de super oculto, es decir, solamente podremos verlo
si utilizamos por ejemplo el navegador de archivos de
WinRAR u otro.
Lectura del archivo PageFile.sys
usando el software HxD, y WinHex.
¿Qué son los Metadatos?
La definición más simple sería: “Son los datos
sobre los datos”
Son datos que describen otros datos. El
metadato puede ser texto, voz o imagen. El
metadato ayuda a clarificar y encontrar datos.
Por ejemplo, el metadato podría documentar
atributos (nombre, tamaño, tipo de dato, etc),
las estructuras de los datos (longitud,
columnas, campos, etc), y datos sobre datos
(donde está localizado, cómo está asociado,
etc).
Los metadatos sirven para:
▪ Para localizar recursos 
▪ Para describir recursos 
▪ Para controlar el acceso a los recursos
▪ Para identificar versiones 
▪ Para preservar la información
Realizar las siguientes actividades para 
obtener los metadatos de la imagen 
Cateyes.jpg:
1. Buscar la imagen Cateyes.jpg en 
google para encontrar información.
2. Revise los metadatos mediante la 
opción de windows, clic derecho 
Propiedades.
3. Obtener los metadatos del archivo
mediante el web site 
http://exif.regex.info/exif.cgi
http://exif.regex.info/exif.cgi
Mediante el uso del software FOCA escanear un web site en busca de metadatos
▪ La recuperación de datos es el conjunto de técnicas y
procedimientos utilizados para acceder y extraer la información
almacenada en medios de almacenamiento digital que por
daño o avería no pueden ser accesibles de manera usual.
▪ La recuperación de datos es necesaria por distintos motivos,
por ejemplo daños físicos en el medio de almacenamiento
(averías electrónicas, averías mecánicas, golpes, incendios,
inundaciones, etc.) o averías lógicas (daños en el sistema de
archivos, daño en las particiones, archivos eliminados,
formateos accidentales, etc.).
▪ Existen distintos métodos y herramientas que se pueden
ejecutar para realizar la recuperación de datos y todo
dependerá de la avería que el dispositivo presente, desde
software especializado hasta herramientas de hardware
diseñadas específicamente para esta labor.
PhotoRec Data Recovery
EaseUS Data Recovery Wizard
PC Inspector File Recovery
▪ File carving es utilizado para extraer
información a partir de una cantidad de
datos en bruto sin necesidad de conocer
el sistema de ficheros con el cual fueron
creados los ficheros.
▪ Todos los tipos de ficheros tienen
características comunes. Por ejemplo, los
ficheros JPG/JFIF empiezan por FF D8
FF E0 y terminan por FF D9, como se
puede observar en la siguiente imagen.
▪ Sabiendo esto, en bloques de datos, se
pueden localizar aquellos que
correspondan a JPGs en base al comienzo
y fin de su estructura.
Todos los tipos de ficheros tienen una
estructura similar. Utilizan una constante
conocida como Magic Number, la cual
permite identificar el correspondiente tipo de
fichero. En la siguiente tabla se indican una
serie de magics numbers representativos con
el tipo de fichero asociado. Es posible
consultar un listado más extenso en el
siguiente enlace.
Tipo de 
Archivo
Cabecera HEX En ASCII
.ZIP 50 4B 03 04 PK
.RAR 52 61 72 21 Rar!
.TAR 1F 8B 08 00
.TGZ 1F 9D 90 70
.DOC D0 CF 11 E0 ÐÏ.à
.XLS D0 CF 11 E0
.PDF 25 50 44 46 %PDF
.WMV 30 26 B2 75
.FLV 46 4C 56 01 FLV
.BMP 42 4D F8 A9/ 62 25 / 76 03 BM, BMp% , BMv
.GIF 47 49 46 38 39 61 / 37 61 GIF89a GIF87a
.ICO 00 00 01 00
.JPEG FF D8 FF E0 / FE JFIF
.PNG 89 50 4E 47 PNG
.SFW 43 57 53 06 / 08 Cws
.MP3 49 44 33 2E /03 ID3
.EXE 4D 5A 50 00 /90 00 MZP / MZ
.DLL 4D 5A 90 00 MZ
Linux bin 7F 45 4C 46 ELF
http://www.garykessler.net/library/file_sigs.html
Existen diferentes técnicas de «file carving»:
▪ Basadas en la cabecera de un fichero y en el final o, si se desconoce
éste, en el tamaño máximo de archivo (dato disponible en la cabecera).
▪ Basadas en la estructura de un fichero: cabecera, pie, cadenas
significativas, tamaño, etc.
▪ Basadas en el contenido del fichero: entropía, reconocimiento del
lenguaje, atributos estáticos, etc. Ejemplo: HTML, XML, etc.
Existen multitud de herramientas, softwarelibre y propietario que permiten
realizar el proceso de «file carving» con mayor o menor efectividad y utilidad.
A continuación, se describen algunas de ellas:
▪ Foremost de código abierto. Recupera información en entornos Linux.
▪ Scalpel de código abierto, basada en Foremost. Recupera información en
entornos Linux, OSX y Windows.
▪ Forensic Toolkit (FTK) AccessData suite propietaria.
▪ X-Way Forensics (WinHex) al igual que FTK es una suite completa para
realizar análisis forenses.
Aplicar el proceso de data carving usando Scalpel desde Caine O.S., y cargar la imagen
PracticaCarving.dd como una unidad de almacenamiento para su análisis.
1. Montar la imagen PracticaCarving.dd como unidad de almacenamiento en Caine O.S.
2. Ingresar como super administrador mediante caine@caine: sudo su – ahora tiene el modo
root@caine:˜#
3. Configurar el archivo scalpel.conf ubicado en /etc/scalpel/ asignando las propiedades de
root@caine:˜# chmod +rwx scalpel.conf con el fin de modificar los tipos de archivos que se
requieren recuperar.
4. Modificar el archivo scalpel.conf ingresando con root@caine:˜# vi scalpel.conf y descomentar
las líneas de código según los tipos de archivos que se requiera recuperar. Para salir del
archivo presione :wq!
5. Ejecute scapel mediante root@caine:˜# scalpel /dev/sdb1 –o resultado verifique el nombre
del dispositivo.
6. Para consultar los resultados debera aplicar permisos de +rwx a la carpeta de resultados
obteniedos con scalpel. Los resultados se presentan clasificados según el tipo de archivo;
además se genera el archivo audit.txt con el resumen del proceso ejecutado.
▪ En Disk Editor abrir la imagen forense
PracticaCarving.dd
▪ Buscar la información mediante las marcas
hexadecimal según el tipo de archive, por
ejemplo archivos en formato .pgn tienen la
marca de inicio hex 89 50 4E 47 y marca fin hex
AE 42 60 82.
▪ Una vez encontrada la información hexadecimal
se procede a copiar el segmento hex y pegarlo
en un nuevo documento haciendo uso de HxD
HexEditor. Guardar el archivo con un nuevo
nombre y la extension propia, por ejemplo
recup01.png
PROYECTO FINAL 
II-PARCIAL
▪ Forense digital de código abierto. http://www.sleuthkit.org/
▪ CAINE computer forensics linux live distro. https://www.caine-live.net/
▪ SysternalSuite Kit de herramientas de Microsoft de libre distribución. 
https://live.sysinternals.com/
▪ AccessData. https://accessdata.com/about/who-we-are
▪ PhotoRec. https://www.cgsecurity.org/wiki/PhotoRec
▪ TestDisk. https://www.cgsecurity.org/wiki/TestDisk
▪ Foca. https://www.elevenpaths.com/es/labstools/foca-2/index.html#
▪ Pandora Recovery. https://www.pandorarecovery.com/download-disk-drill-windows.html
▪ Tabla de firmas de archivo de GCK. https://www.garykessler.net/library/file_sigs.html
▪ Foremost. http://foremost.sourceforge.net/
▪ Scalpel. https://github.com/sleuthkit/scalpel
▪ Forensic Toolkit (FTK) AccessData. https://accessdata.com/products-services/forensic-toolkit-ftk
▪ X-Way Forensics (WinHex). http://www.x-ways.net/forensics/
▪ Herramientas para esteganografía. http://www.jjtc.com/Steganography/tools.html
http://www.sleuthkit.org/
https://www.caine-live.net/
https://live.sysinternals.com/
https://accessdata.com/about/who-we-are
https://www.cgsecurity.org/wiki/PhotoRec
https://www.cgsecurity.org/wiki/TestDisk
https://www.elevenpaths.com/es/labstools/foca-2/index.html
https://www.pandorarecovery.com/download-disk-drill-windows.html
https://www.garykessler.net/library/file_sigs.html
http://foremost.sourceforge.net/
https://github.com/sleuthkit/scalpel
https://accessdata.com/products-services/forensic-toolkit-ftk
http://www.x-ways.net/forensics/
http://www.jjtc.com/Steganography/tools.html
GRACIAS!
Alguna pregunta?
hazl@upse.edu.ec 
victoria.haz@hotmail.com
lidice.haz.lopez@gmail.com 
0993866800