Practica 2 - Taller de C%F3mputo Forense
-
Upload
adataliz-castillo -
Category
Documents
-
view
23 -
download
0
Transcript of Practica 2 - Taller de C%F3mputo Forense
Taller de Cómputo Forense
Práctica 2
Análisis de caso Se sorprende a un apersona en su casa que aparentemente se dedica a la
venta de estupefacientes Se le detecta una usb y se procede al análisis
Para iniciar el análisis forense:2. Copiar la evidencia, para trabajar con la copia.
cp <evidencia> <copia>3. Verificar la huella digital de la copia
md5sum -c imagen.md54. Identificar el sistema de archivos del que procede esa imagen
file <copia>5. Hay que montar la imagen en modo de sólo lectura
mount -o loop,ro <copia> /mnt/img1 //As root6. Revisar archivos existentes
ls /mnt/img17. Checar archivos borrados
debugfs -w <copia>debugfs: ls -ld //Si hay archivos borrados los inodo no los muestradebugfs: lsdel // Muestra la información de los archivos borradosdebugfs: stat <[inodo]> //Muestra las estadísticas del archivodebugfs: dump_unused //Saca un archivo desde inodo y fuera del debugfsdebugfs: undel <[inodo]> <archivo> debugfs: quit
8. Identificar si los archivos tienen datos ocultos a través de Esteganografía steghide info <arch> // para saber si tiene datos ocultos steghide extract –sf <arch> //Para extraer archivo oculto
9. Truecrypt es el programa más utilizado para cifrar datos truecrypt –text –mount <arch_encriptado> <dir> //As root
10. Revisar los archivos montados11. Los PDFs también pueden tener información oculta, para ver si tienen algo, hay que
montar el archivo pdf. mount_pdf <pdf> <dir> //as root
12. Copiar los archivos para posterior análisis13. Desmontar las imágenes
truecrypt –text –dismount <dir> //As root umount <dir> //as root del pdf
14. Volver a buscar algo encriptado con el nuevo descubrimiento
ANEXO I.Algunos comandos de Linux
catdddebugfsfilemanmoremountmount_pdfsusudosteghidetruecryptumount