BRICEÑO JIMÉNEZ EDGAR FAVIÁN Recuperación de Ficheros Eliminados

 Asignatura  Asignatu ra

Datos del alumno alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

 Acc ti  A tivv i d a d e s Trabajo: Recuperación de ficheros eliminados El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado a lo largo del tema. Durante el desarrollo de la misma, has de recuperar de manera manual, tal y como se explica en el apartado «2.5 Ejemplo de recuperación de un archivo eliminado», el archivo eliminado dentro de una partición FAT32 y visualizar los metadatos asociados a dicho archivo.  Antes de comenzar, comenzar, es recomendable recomendable leer el artículo How FAT Works. En especial el apartado  FAT Root Folder , donde se explica el esquema utilizado para almacenar las entradas del directorio raíz de una partición FAT. El artículo está disponible en: http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29 Para realizar la práctica, podéis utilizar el software que creáis conveniente, aunque se recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software que permita el cálculo de hashes). Para el análisis de los metadatos podéis utilizar ExifTool, o la herramienta online Metashield Analyzer1. Para realizar la práctica debéis hacer lo siguiente: facilitado para realizar la práctica (VHD03.E01). (VHD03.E01).  Calcular el SHA1 del archivo facilitado l as plantillas incluidas:  Obtener mediante Winhex y haciendo uso de las o Nombre y extensión del archivo eliminado. o Fecha de creación, modificación modificación y último úl timo acceso. Tamaño del archivo. o Clúster inicial. o El offset inicial y final del archivo. Recuperar el archivo eliminado. el iminado. Calcular el SHA1 del archivo recuperado. recuperado. Obtener los metadatos asociados al archivo recuperado. o

  

1 https://metashieldanalyzer.elevenpaths.com/

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

DESARROLLO DE LA ACTIVIDAD: 

Calcular el SHA1 del archivo facilitado para realizar la práctica ( VHD03.E01).

Para realizar este paso utilizaremos los programas HashMyFiles y FTK Imager. HashMyFiles:

 Vamos a File y luego Add Files, agregamos el archivo que se nos facilitó.

 Apenas cargamos el archivo nos aparece la ventana con el SHA1.

SHA1: c46824c453e639f6771cf45f3008c1a98cac5c3c

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

FTK Imager:

Se añade la evidencia. Vamos a Files, luego Add Evidence Item.

En el cuadro que nos aparece, escogemos Image File  y seleccionamos el archivo que se nos facilitó para esta práctica.

Una vez agregado el archivo de evidencia, podemos calcular HASH. Para esto vamos a File luego Verify Drive/ Image

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

La ventana que nos aparece a continuación muestra el valor del SHA1.

SHA1: 652fa30361677e19f03f6f07201ae143fa650132 

Obtener mediante Winhex y haciendo uso de las plantillas incluidas: o

Nombre y extensión del archivo eliminado.

o

Fecha de creación, modificación y último acceso.

o

Tamaño del archivo.

o

Clúster inicial.

o

El offset inicial y final del archivo.

Para esto procedemos a montar la imagen y nos valemos del FTK Imager.  Vamos a File y luego a Image Mounting.

Cargamos la imagen de manera física y lógica, asignamos una letra a la unidad, escogemos como sólo lectura y damos en Mount.

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

 Ahora vemos que se nos ha cargado la imagen.

Comprobamos que la imagen aparece en el directorio de unidades de nuestro equipo.

Hecho lo anterior y sin cerrar el FTK Imager, procedemos con el programa WinHex (ejecutar como administrador) a abrir el disco que montamos.

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

 Vamos a Tools  y luego a Open Disk.

Luego seleccionamos el disco físico montado y lo abrimos.

Una vez dentro del disco, aplicamos la plantilla FAT, nos vamos a  View  y luego a Template Manager.

Escogemos la opción FAT Normal.

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

El siguiente cuadro nos muestra toda la información requerida.



Nombre y extensión del archivo eliminado. Nombre: åADRID Extensión: JPG



Fecha de creación, modificación y último acceso. Creación: 04/05/15, 14:16:36 Modificación: 04/05/15, 14:15:30 Último acceso: 04/05/15, 08:53:08



Tamaño del archivo. 4.704.570



Clúster inicial. 3



El offset inicial y final del archivo. Para contestar a esta pregunta, nos dirigimos dentro del mismo programa a la opción Navigation  y luego Go To Sector.

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

Ingresamos el valor 3 en el caso de este ejercicio.

 Ahora vemos que nos ubica en el offset inicial del archivo JPG para el clúster 3.

Por lo tanto tenemos que: offset inicial + tamaño del archivo = offset final

Offset final: 4.194.816 + 4.704.570 Offset final: 8.899.386 

Recuperar el archivo eliminado

Para esto se tiene que definir un bloque, nos vamos a Edit y luego a Define Block.

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

Ingresamos los valores de offset inicial y final.

 Ahora vamos a grabar el bloque definido, para esto nos vamos a Edit, luego a Copy Block y escogemos Into New File.

 Aparece un mensaje que indica que la versión es de evaluación y que no permite recuperar archivos de tamaños que superen los 200KB.

Como segunda opción, vamos a recuperar el archivo eliminado con FTK Imager. Para esto vamos al archivo raíz de la imagen montada inicialmente.

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

Para hacemos clic derecho sobre el archivo JPG y escogemos Export Files.

Escogemos un directorio para guardarlo y vemos que se ha recuperado con éxito. Hay que notar que se han recuperado los 4704570 bytes, que es igual al archivo eliminado.

El archivo recuperado es el siguiente.

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense



Nombre: Edgar Favián

Fecha

05 – 06 - 2017

Calcula el SHA1 del archivo recuperado.

Para esto vamos a usar el programa HashMyFiles.

SHA1: abdc38398b9c36b4e846f061cbf7044b613ab906 

Obtener los metadatos asociados el archivo recuperado.

Ejecutamos la siguiente línea de comandos en la consola de Windows: C:\Users\FAVIANBJ\Desktop\TODO_Maestría_UNIR\TODAS LAS AULAS\Análisis Forense\Recursos\EXIFTOOL>exiftool.exe -a !adrid.jpg ExifTool Version Number : 10.54 File Name : !adrid.jpg Directory :. File Size : 4.5 MB File Modification Date/Time : 2015:05:04 09:15:30-05:00 File Access Date/Time : 2017:06:04 18:19:21-05:00 File Creation Date/Time : 2015:05:04 09:16:37-05:00 File Permissions : rw-rw-rwFile Type : JPEG File Type Extension : jpg MIME Type : image/jpeg Exif Byte Order : Big-endian (Motorola, MM) Image Description : Plaza Mayor de Madrid Make : NIKON CORPORATION Camera Model Name : NIKON D60 Orientation : Horizontal (normal) X Resolution : 300  Y Resolution : 300 Resolution Unit Software Modify Date  Artist

: inches : Ver.1.00 : 2008:08:22 21:07:44 : Lourdes Mart├ ¡nez

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

 Y Cb Cr Positioning

: Co-sited

Rating :5 Rating Percent : 99 Exposure Time : 1/60 F Number : 3.5 Exposure Program : Not Defined ISO : 1600 Exif Version : 0221 Date/Time Original : 2008:08:22 21:07:44 Create Date : 2008:08:22 21:07:44 Components Configuration : Y, Cb, Cr, Compressed Bits Per Pixel : 4 Exposure Compensation :0 Max Aperture Value : 3.5 Metering Mode : Multi-segment Light Source : Unknown Flash : Auto, Fired, Return detected Focal Length : 18.0 mm Maker Note Version : 2.10 ISO Color Mode Quality  White Balance Sharpness Focus Mode Flash Setting Flash Type

: 1600 : Color : Fine : Auto : Auto : AF-A : Normal : Built-in,TTL

 White Balance Fine Tune :00  WB RB Levels : 1.7421875 1.3515625 1 1 Program Shift :0 Exposure Difference : -3.3 Compression : JPEG (old-style) X Resolution : 300  Y Resolution : 300 Resolution Unit : inches

TEMA 2 – Actividades

Fecha

05 – 06 - 2017

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Preview Image Start

Fecha

05 – 06 - 2017

: 8198

Preview Image Length : 21706  Y Cb Cr Positioning : Co-sited Flash Exposure Compensation : 0 ISO Setting : 1600 Image Boundary : 0 0 3872 2592 External Flash Exposure Comp : 0 Crop Hi Speed : Off (3904x2616 cropped to 3904x2616 at pixel 0,0) Serial Number : 6030201 Color Space : sRGB  VR Info Version : 0100  Vibration Reduction : On  VR Mode : Normal  Active D-Lighting : Off Time Zone : +01:00 Daylight Savings : Yes Date Display Format : D/M/Y ISO : 1600 ISO Expansion : Off ISO2 ISO Expansion 2 Tone Comp Lens Type

: 1600 : Off : Auto : G VR

Lens Flash Mode  AF Area Mode  AF Point

: 18-55mm f/3.5-5.6 : Fired, TTL Mode : Dynamic Area (closest subject) : Center

 AF Points In Focus Shooting Mode Lens F Stops Color Hue Light Source Shot Info Version Shutter Count Hue Adjustment

: Center : Continuous : 5.33 : Mode3a : Speedlight : 0211 : 1153 :0

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Noise Reduction  WB RGGB Levels Lens Data Version Exit Pupil Position  AF Aperture Focus Position

: Off : 446 256 256 346 : 0202 : 97.5 mm : 3.6 : 0x06

Focus Distance : 3.35 m Focal Length : 18.3 mm Lens ID Number : 154 Lens F Stops : 5.33 Min Focal Length : 18.3 mm Max Focal Length : 55.0 mm Max Aperture At Min Focal : 3.6 Max Aperture At Max Focal : 5.7 MCU Version Effective Max Aperture Sensor Pixel Size Retouch History Image Data Size

: 156 : 3.6 : 6.05 x 6.05 um : None : 4664513

Shutter Count : 1153 Flash Info Version : 0102 Flash Source : Internal External Flash Firmware : n/a External Flash Flags : (none) Flash Commander Mode : Off Flash Control Mode : iTTL-BL Flash Compensation :0 Flash GN Distance :0 Flash Group A Control Mode : Off Flash Group B Control Mode : Off Flash Group C Control Mode : Off Flash Group A Compensation : 0 Flash Group B Compensation : 0 Flash Group C Compensation : 0 Image Optimization :

TEMA 2 – Actividades

Fecha

05 – 06 - 2017

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Saturation

Nombre: Edgar Favián

: Auto

 Vari Program : Auto Multi Exposure Version : 0100 Multi Exposure Mode : Off Multi Exposure Shots :0 Multi Exposure Auto Gain : Off High ISO Noise Reduction : Minimal Power Up Time : 2008:08:22 20:45:49 File Info Version : 0100 Memory Card Number :0 Directory Number : 100 File Number : 0035 Retouch Info Version : 0100 User Comment : Sub Sec Time : 30 Sub Sec Time Original : 30 Sub Sec Time Digitized : 30 Flashpix Version : 0100 Color Space : sRGB Exif Image Width : 3872 Exif Image Height : 2592 Interoperability Version : 0100 Sensing Method : One-chip color area File Source Scene Type CFA Pattern Custom Rendered

: Digital Camera : Directly photographed : [Green,Blue][Red,Green] : Normal

Exposure Mode : Auto  White Balance : Auto Digital Zoom Ratio :1 Focal Length In 35mm Format : 27 mm Scene Capture Type : Standard Gain Control : High gain up Contrast : Normal Saturation : Normal

TEMA 2 – Actividades

Fecha

05 – 06 - 2017

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Sharpness

Nombre: Edgar Favián

Fecha

05 – 06 - 2017

: Normal

Subject Distance Range : Unknown Padding : (Binary data 2060 bytes, use -b option to extract) Offset Schema : 4210 XP Title : Plaza Mayor de Madrid XP Author : Lourdes Mart ├ ¡nez XP Keywords Padding Compression

: Madrid;Plaza Mayor : (Binary data 2060 bytes, use -b option to extract) : JPEG (old-style)

X Resolution  Y Resolution Resolution Unit

: 300 : 300 : inches

Thumbnail Offset : 30206 Thumbnail Length : 5546  Y Cb Cr Positioning : Co-sited  About : uuid:faf5bdd5-ba3d-11da-ad31-d33d75182f1b Rating :5  Warning : [minor] Fixed incorrect URI for xmlns:MicrosoftPhoto Rating Percent : 99 Last Keyword XMP : Madrid, Plaza Mayor Creator : Lourdes Mart ├ ¡nez Subject

: Madrid, Plaza Mayor

Title : Plaza Mayor de Madrid Description : Plaza Mayor de Madrid Image Width : 3872 Image Height : 2592 Encoding Process : Baseline DCT, Huffman coding Bits Per Sample :8 Color Components :3  Y Cb Cr Sub Sampling : YCbCr4:2:2 (2 1)  Aperture : 3.5 Blue Balance : 1.351563 Image Size : 3872x2592 Lens ID : AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G Lens Spec : 18-55mm f/3.5-5.6 G VR

TEMA 2 – Actividades

 Asignatura

Datos del alumno

 Apellidos: Briceño Jiménez  Análisis Forense

Nombre: Edgar Favián

Megapixels

Fecha

05 – 06 - 2017

: 10.0

Preview Image : (Binary data 21706 bytes, use -b option to extract) Red Balance : 1.742188 Scale Factor To 35 mm Equivalent: 1.5 Shutter Speed : 1/60 Create Date : 2008:08:22 21:07:44.30 Date/Time Original Modify Date Thumbnail Image Circle Of Confusion Depth Of Field Field Of View Focal Length Hyperfocal Distance Light Value

: 2008:08:22 21:07:44.30 : 2008:08:22 21:07:44.30 : (Binary data 5546 bytes, use -b option to extract) : 0.020 mm : 10.06 m (1.95 - 12.00 m) : 67.1 deg (4.44 m) : 18.0 mm (35 mm equivalent: 27.0 mm) : 4.62 m : 5.5

TEMA 2 – Actividades