lOMoARcPSD|28090726

Practica 1 G5 - laboratorio de análisis forense

oratoria forense (Universidad Mariano Gálvez de Guatemala)

Studocu no está patrocinado ni avalado por ningún colegio o universidad.

Descargado por Jennifer Cabrejo ([email protected])
 lOMoARcPSD|28090726

Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información
Maestría en Seguridad de Sistemas de Información
Metodologías Para El Análisis Informático Forense
Nelson Alfredo Ávalos Acevedo

Laboratorio Práctico # 1
Análisis de Discos Duros - Esteganografía

Miguel Alejandro Tacam Reyes 1293-14-4956

Junior Alexander Ángel Gámez 1293-14-5832
José Javier González Ponce 1593-15-12626

Fin de Semana Sábado

Sección “A”
15 Julio de 2021

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Introducción

El siguiente caso práctico es para demostrar de forma detallada como se

puede realizar un análisis forense planteando un escenario que pueda existir de
forma real o en este caso ficticia por fines de aprendizaje, donde podemos ver
ejemplos de cómo ocultar información, acceder a archivos que tengan contraseña,
poder información que este oculta en una imagen, video o acceder a archivos que
se hayan eliminado entre otros.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

I. Laboratorio Práctico Forense

El laboratorio practico presentando consiste en la presentación de un caso
en el que se realiza un análisis de una situación real o ficticia en donde se
necesita un análisis forense de archivos encontrados los cuales necesitan
examinar para determinar si hay más evidencia o bien poder acceder a ella ya que
esta puede estar encriptada, corrompida, alterada o incluso aparentemente
eliminada.

En este laboratorio se tienen las siguientes evidencias:

Flowers_123.png:
 Dimensiones: 203 x 270
 Ancho: 203 pixeles
 Alto: 270 pixeles
 Profundidad en bits 24
 Tipo de elemento: PNG
 Tamaño: 101KB
 Fecha de modificación: 25/07/2016 6:14 a.m.
Word_Doc.docx:
 Tamaño: 27.5 KB
 Fecha de modificación: 16/06/2016 9:47 p.m.
 Tipo de elemento: docx
DiskPartitionRawImage.dd:
 Tamaño: 0.99 GB
 Modificado: 28/09/2011 03:43 a.m.
 Tipo de elemento: archivo DD
MD5.txt
 Tamaño: 161 bytes
 Modificado: 8/07/2021 11:37:08 a.m.
 Tipo de elemento: txt

MD5
Flowers_123.png d62fb1819eeaf2315fdc0ade6e10ed25
Word_Doc.docx 0fb522ab91b960ad9f9c27095e01e2e2
DiskPartitionRawImage.dd 488551f9afdfd757268281a96d042156

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Antes de abrir los archivos se hace la revisión del MD5 que este coincida con la
información del txt llamado MD5.txt

Se valida que si hay coincidencia por lo cual los archivos no han sufrido alteración.

Se utilizarán las herramientas:

 DiskExplorer for NTFS:

Editor de discos para sistemas de archivos del tipo NTFS que permite
explorar el disco NTFS y recuperar datos de forma satisfactoria: navegue
por el disco NT saltando directamente a la tabla de partición, al registro de
arranque, a la MFT (tabla del fichero maestro) o al directorio principal. Es
posible elegir entre los siguientes modos de vista: hexadecimal, texto, MFT,
detalles de MFT, asignación de índice y tabla de partición. Se representan
los detalles para cada entrada de archivos, incluyendo los atributos NT.

Es posible buscar texto, tablas de partición, registros de arranque, entradas

de MFT, etc. Los archivos y directorios completos pueden grabarse
directamente desde, por ejemplo, el área de datos o los detalles de MFT.
Identifique el archivo al que hay que asignar un cluster determinado.

Puede crearse un volumen virtual cuando se haya perdido el registro de

arranque y editarse la unidad en modo de escritura virtual o en modo de
escritura directa (no recomendado).

 AccessData FTK Imager:

FTK Imager es una herramienta de análisis forense disponible en la Web de

AccessData, es un paquete gratuito, que pueden descargar los usuarios de
FTK AccessData. El atributo más importante de FTK Imager es que permite

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

varios formatos para la creación de imágenes. En su lugar, FTK Imager nos

permite crear una imagen de un disco como EnCase, SMART o DD (pura).
Además, FTK Imager es el único producto que puede convertir tipos de
imágenes, lo que significa que podemos tomar una imagen de EnCase y
producir una imagen pura o SMART a partir de ella.

 Passware Kit Forensic:

Es la solución completa de descubrimiento de evidencia electrónica que
informa todos los elementos protegidos por contraseña en una
computadora y los descifra. El software reconoce más de 280 tipos de
archivos y funciona en modo por lotes recuperando sus contraseñas.

Análisis de memoria en vivo

Analiza imágenes de memoria en vivo, archivos de hibernación y extrae
claves de cifrado para FileVault2, TrueCrypt, VeraCrypt, BitLocker, inicios de
sesión para cuentas de Windows y Mac a partir de imágenes de memoria y
archivos de hibernación.

Adquisición de datos en la nube

Adquiere copias de seguridad y datos de servicios en la nube (Apple iCloud,
MS OneDrive y Dropbox). Extrae contraseñas de los llaveros de iCloud.

Forense móvil
Recupera contraseñas para copias de seguridad de Apple iPhone / iPad y
Android, así como imágenes de Android y extrae datos de imágenes en
teléfonos con Windows. Integrado con Oxygen Forensic Suite.

Aceleracion de hardware
Recuperación de contraseña acelerada con múltiples computadoras, GPU
NVIDIA y AMD, Tableau Password Recovery y Rainbow Tables.

Detección inteligente
Detecta todos los archivos cifrados e imágenes de disco duro e informa el
tipo de cifrado y la complejidad del descifrado.

Agentes de kit de Passware

Soporte para recuperación de contraseña distribuida para Windows, Linux y
Amazon EC2. La versión de Linux ejecuta un Agente de kit de Passware
portátil desde una unidad USB de arranque de Linux.

Descifrado de FDE

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Descifra o recupera contraseñas para imágenes de disco BitLocker,

FileVault2, APFS, TrueCrypt, VeraCrypt, LUKS, McAfee, Apple DMG,
Symantec y PGP.

Detectar archivos y contenedores encriptados

Encuentre todos los documentos, archivos y otros archivos cifrados o
protegidos con contraseña.

 StegSpy

StegSpy es un programa siempre en curso. La última versión incluye permite la

identificación de un archivo "steganizado". StegSpy detectará la esteganografía
y el programa utilizado para ocultar el mensaje. La última versión también
identifica la ubicación del contenido oculto. Actualmente, StegSpy identifica
versiones específicas de los siguientes programas:
 Hiderman
 JPHideandSeek
 Masker
 JPegX
 Invisible Secrets

II. Hallazgos
Se lleva a cabo los casos prácticos del ejercicio dejando evidencia de lo
encontrado entre otras anotaciones que se consideran importantes.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

A. Ejercicios para analizar piezas forenses de imágenes de discos

Ejercicio 01 – investigando un sistema de archivos NTFS

Utilizando la herramienta DiskExplorer for NTFS seleccionamos el sector

“00000002” de la imagen del disco duro

Esta vista ya está en Hexadecimal.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Se guardo la información en un archivo .img

Ejercicio 02 – viendo el contenido de una imagen forense

Usando la herramienta AccessData FTK Imager se tuvo acceso al archivo .img
del ejercicio anterior.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Se obtuvo la lista de videos:

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Se observaron las propiedades del video seleccionado.

B. Ejercicios de cracking de contraseñas y descubrimiento de

esteganografía

Ejercicio 03 – crackeando la contraseña de una aplicación

Utilizando la herramienta Passware Kit Forensic la cual podemos descargar de
https://www.passware.com/kit-forensic este software ofrece la opción free de
pruebas y la opción de paga, para este ejercicio se utilizó el demo que brinda la
herramienta, luego de la instalación del software presenta la siguiente pantalla:

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Se debe seleccionar la opción “Recover File Password”

Buscamos el archivo en nuestro directorio el cual se llama Word_Doc.docx

Seleccionamos la opción “Use predefined settings” y presionaos “recover”

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Acá podemos datos importantes del archivo así mismo la contraseña que en este
caso en “ant”

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Si presionamos el botón “Save report” el software nos guarda la información

encontrada en un archivo html

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Ejercicio 04 – detectando esteganografía

Detectando Esteganografía
Se utilizó StegSpy analizaremos el archivo llamado “Flowers_123.png” e
identificaremos que contiene algo:

Se utilizó la herramienta Image Steganography pero esta no devolvió valores

ocultos

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Pero con la herramienta OpenStego se encontró el texto oculto

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Aporte Grupal
Para realizar una ingeniería inversa y poder ingresar un texto oculto en una
imagen lo realizaremos con el programa OpenStego en la opción de Hide Data

Necesitaremos dos archivos la imagen original y el texto que vamos a ocultar en la

imagen.

En el archivo

Esteganografia.txt almacenaremos dos párrafos con información esta información

será la que se ocultará en la imagen correspondiente.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

En el programa OpenStego, se ingresa la dirección de los archivos en el campo

Message File, se coloca la dirección del archivo Esteganografia.txt el cual cuenta
con el texto que se ocultará en la imagen, en el campo Cover File, se coloca la
dirección de la imagen original y en el campo Output Stego File, se coloca la
dirección y el nombre donde se almacenará el archivo imagen generado con el
texto oculto, luego de colocar las direcciones correspondientes se da clic al botón
Hide Data.

Al momento de terminar el proceso correspondiente mostrará el siguiente mensaje

y creará la nueva imagen con el texto oculto.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Si se abre ambas imágenes no se podrá ver ninguna diferencia entre ambas

imágenes.

Donde se podrá ver la diferencia entre ambas imágenes será en las propiedades
de cada imagen, en el tamaño se puede apreciar que existe diferencias de tamaño
entre cada imagen.
La Imagen original pesa menos bytes que la imagen que tiene el texto oculto que
se le colocó a la imagen.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Ahora lo que se realizará es extraer el texto oculto de la imagen

ImagenTextoOculto.png
Se ingresa al programa OpenStego, en la opción Extract Data, en esta opción se
coloca en el campo Input Stego File, la dirección de la imagen que tiene el
archivo oculto ImagenTextoOculto.png y en el campo Output Folder for Message
File, se debe de colocar la dirección donde se guardara el texto oculto.

Luego de ingresar las direcciones de archivos correspondientes le damos clic al

botón ExtraData.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Se generará un archivo de txt con la información oculta de la imagen

ImagenTextoOculto.png

Abrimos el archivo Esteganografia.txt podremos ver la información oculta de la

imagen ImagenTextoOculto.png

Este sería el aporte por parte del grupo de poder mostrar de qué manera se pueda
ocultar información en una imagen y como poder obtener la información oculta.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Conclusiones
Podemos concluir en que el análisis forense es una actividad que requiere de
múltiples conocimientos informáticos como el conocimiento del buen uso de las
diversas herramientas de análisis forense.
El encriptar información es un método común utilizado para ocultar evidencias o
impedir el acceso a ella así mismo con el ocultar información dentro de archivos
que aparentemente son inofensivos como una imagen la cual no tiene mayor
relevancia a simple vista, pero esta puede contener información que es útil para
otra persona, pero de alguna forma no se puede transportar en un archivo que
pueda ser visible tan fácilmente.
Existen múltiples herramientas para el análisis forense en la actualidad, pero es
importante el tener actualizadas dichas herramientas o ver si existen nuevas
formas de poder hacer análisis ya que las personas que se dedican a cometer
ciber crímenes por ejemplo tratan de usar nuevos métodos para que el acceso a la
información e evidencias sea imposible.

Descargado por Jennifer Cabrejo ([email protected])

 lOMoARcPSD|28090726

Referencia
https://runtime.org/spanish/#:~:text=Runtime's%20DiskExplorer%20for
%20NTFS&text=Es%20posible%20buscar%20texto%2C%20tablas,%2C
%20entradas%20de%20MFT%2C%20etc.&text=un%20cluster
%20determinado.-,Puede%20crearse%20un%20volumen%20virtual%20cuando
%20se%20haya%20perdido%20el,escritura%20directa%20(no%20recomendado).

http://www.binaryti.com/2012/02/ftk-imager.html

https://onretrieval.com/productos/hardware/passware/

Descargado por Jennifer Cabrejo ([email protected])