practica

5/11/2018 PRACTICA - slidepdf.com

http://slidepdf.com/reader/full/practica-55a23223c0e86 1/17

Informática Forense: Módulo 2

Richard Taylor Pleite Página 1

PRÁCTICA

MÓDULO 2

INFORMÁTICA

FORENSE

Richard Taylor Pleite

53472946Q





EJERCICIO 1 En primer lugar hemos buscado los programas que aparecen en el temario

para realizar las prácticas. El primero ha sido DD (Helix), pero no ha habido suerte.

Después el FTK Imager, pero tampoco.





Posteriormente he probado a buscar los programas de Windows en Linux por si acaso.

Y me he encontrado con un programa que parecía pudiera servir: Foremost.





Acto seguido he procedido a instalar el programa desde la consola.





El programa no se abría después de haberlo instalado, así que he buscado más

programas y he encontrado los comandos para hacer el clon desde la consola.





He descargado GParted para ver las rutas de las particiones y dispositivos.

He accedido al programa.





He abierto el programa y aparecen por defecto las particiones del disco duro.

Acto seguido he accedido al dispositivo que tenía que clonar.





Con la ruta he introducido en la consola el comando para la clonación del disco.

He creado la imagen del dispositivo.





He comprobado que la imagen se encontraba en la carpeta especificada.

EJERCICIO 2 A continuación he buscado el GTKHash para obtener el Hash del

dispositivo y el archivo.





Al intentar seleccionar el dispositivo no me dejaba, y varios archivos tampoco.

De modo que he buscado checksum para encontrar más programas.





He comprobado la información de los programas y ninguno era válido.

De manera que he buscado en Google la manera de adquirir el hash.





Al no tener permisos para el dispositivo, se los he dado mediante la consola de nuevo.

He decidido ir por partes y buscar primero las instrucciones para el MD5.





Y he encontrado una página donde venía explicado.

He procedido a obtener el hash del dispositivo en MD 5.





Me lo ha proporcionado.

He procedido a obtener el de la imagen del dispositivo.





Al no coincidir he hecho una nueva imagen y he obtenido el código de ambas a la vez.

Como se puede observar, coinciden a la perfección.





Acto seguido, por intuición he probado el comando para SHA1 de la misma manera.

Ha funcionado y he obtenido ambos códigos coincidentes.





ACLARACIONES PERTINENTES

Algunos procesos se han omitido para simplificar la explicación. Dichos procesos no

documentados se explican a continuación:

- Significado de comandos:

o Sudo: Comando para actuar como SuperUser (root).

o Of: Ruta de origen.

o If: Ruta de destino.

o Conv: Comando de conversión.

o Notrunc: Comando para no truncar el archivo.

o Noerror: Comando para no parar la operación ante errores del

dispositivo.

o Md5sum: Comando para checksum en MD5.

o Sha1sum: Comando para checksum en SHA1.

- Guymager: En un principio intenté realizar la práctica con este programa, pero

me fue imposible. Cada vez que intentaba clonar el dispositivo o crear una

imagen a partir de este, cambiaba el formato automáticamente a “.000”, pese

a que estaba puesto para exportar los archivos a “.dd o .xxx” no daba la opción

de exportarlos únicamente como .dd.

- Creación de nueva imagen: Al adquirir el hash de la primera imagen (usb.dd) nocoincidía con el del dispositivo, de modo que procedí a crear una nueva imagen

con un nombre distinto (usbusb.dd), de ahí que en las capturas de pantalla no

coincidan los nombres, pero el proceso ha sido el mismo, mediante el comando

“sudo dd”.

- El dispositivo se trataba de un pendrive con una capacidad de 256Mb, como se

puede observar al comienzo de la práctica, en la captura de pantalla del

GParted.

practica

Documents