qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwerty      ANÁLIS...
SEGURIDAD                                                                                                             Débo...
SEGURIDAD                                                             Débora García GarcíaOBJETIVOSSu misión es analizar u...
SEGURIDAD                                            Débora García GarcíaPrimeros pasos para utilizar la herramienta Autop...
SEGURIDAD                                         Débora García GarcíaCrear CasoCrearemos el caso marcando New CaseHaremos...
SEGURIDAD                                                                Débora García GarcíaCrear hostCreamos el nuevo ho...
SEGURIDAD            Débora García García(Detalles)Añadir imagenAdd image file                 6
SEGURIDAD                                                                   Débora García GarcíaAñadimos la ruta donde se ...
SEGURIDAD                                              Débora García GarcíaOK.Ahora es el momento de iniciar el análisis. ...
SEGURIDAD                                                                   Débora García GarcíaExtraer archivos para anal...
SEGURIDAD                                                                    Débora García GarcíaEmpezamos analizar los ar...
SEGURIDAD                                                                         Débora García GarcíaSe procede a realiza...
SEGURIDAD                                                      Débora García GarcíaArchivo Jimmy Jungle.docVisualicemos ah...
SEGURIDAD                                     Débora García GarcíaExtraemos el archivo. Export contents.Visualizado del ar...
SEGURIDAD                                                         Débora García GarcíaArchivo Scheluded Visists.exeVisuali...
SEGURIDAD                                                       Débora García GarcíaJPG desde el sector 73 hasta el 108 se...
SEGURIDAD                                                                   Débora García GarcíaRESPUESTAS DESPUÉS DEL ANÁ...
Upcoming SlideShare
Loading in …5
×

Sg t1 practica_analisis_forense-2

811 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
811
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sg t1 practica_analisis_forense-2

  1. 1. qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwerty ANÁLISIS FORENSE 2uiopasdfghjklzxcvbnmqwertyui SEGURIDADopasdfghjklzxcvbnmqwertyuiop 2º ASIR Trimestre 1asdfghjklzxcvbnmqwertyuiopas Débora García Garcíadfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqw
  2. 2. SEGURIDAD Débora García GarcíaÍndiceOBJETIVOS ................................................................................................................................ 2Primeros pasos para utilizar la herramienta Autopsy vía Web ................................................... 3 Para acceder: autopsy ........................................................................................................... 3 Crear Caso............................................................................................................................. 4 Crear host ............................................................................................................................. 5 Añadir imagen....................................................................................................................... 6 Extraer archivos para analizar ............................................................................................... 9 Empezamos analizar los archivos uno por uno..................................................................... 10 Archivo cover page.jpgc. ................................................................................................. 10 Archivo Jimmy Jungle.doc................................................................................................ 12 Archivo Scheluded Visists.exe .......................................................................................... 14 1
  3. 3. SEGURIDAD Débora García GarcíaOBJETIVOSSu misión es analizar un disco flexible recuperado y responder las preguntasformuladas. Se necesita leer el reporte antes de continuar el reto. Como unainvestigación del mundo real se necesita tener alguna información adicional yalguna evidencia, pero es la persona y sus conocimientos los que responderán laspreguntas.Nombre del Archivo: image.zip (http://old.honeynet.org/scans/scan24/)Hash MD5 del Archivo: b676147f63923e1f428131d59b1d6a72Preguntas:¿Quién es el proveedor de marihuana de Joe Jacobs y cuál es la dirección listada delproveedor?¿Qué dato crucial está disponible dentro de coverpage.jpg y porque el dato escrucial?¿Qué (si hay) otras escuelas vecinas a Snith Hill Joe Jacobs frecuentan?Para cada archivo, que procesos hizo el sospechoso para enmascarar de otros.¿Qué procesos (usted como analista) realizó para examinar el contenido completode cada archivo? 2
  4. 4. SEGURIDAD Débora García GarcíaPrimeros pasos para utilizar la herramienta Autopsy vía Web 1. Descargar imagen.zip 2. Verifica el hash con md5sum image.zip 3. Descomprime el achivo unzip image.zip 4. El archivo resultante es imageInstala apt-get install sleuthkit autopsyPara acceder: autopsyHaz clic en el http para iniciar autopsy. 3
  5. 5. SEGURIDAD Débora García GarcíaCrear CasoCrearemos el caso marcando New CaseHaremos clic en New Case para ver el resultado. 4
  6. 6. SEGURIDAD Débora García GarcíaCrear hostCreamos el nuevo hosts.La zona daba error y la cambié. Marcamos Add host.El caso se ha creado correctamente. Marcamos Ok para añadir la imagen. 5
  7. 7. SEGURIDAD Débora García García(Detalles)Añadir imagenAdd image file 6
  8. 8. SEGURIDAD Débora García GarcíaAñadimos la ruta donde se encuentra la imagen descargada y marcamos Next.Elegir tal cual viene.Detalles del archivo de imagen. ADD. 7
  9. 9. SEGURIDAD Débora García GarcíaOK.Ahora es el momento de iniciar el análisis. Details. 8
  10. 10. SEGURIDAD Débora García GarcíaExtraer archivos para analizarAntes del proceso.Extrae los dos hasta que queden los campos vacíos completamente rellenos. Luego FileSystem. 9
  11. 11. SEGURIDAD Débora García GarcíaEmpezamos analizar los archivos uno por unoArchivo cover page.jpgc.Visualizar los metadatos, en el directorio de entrada meter 8. Comprobamos la incoherenciaen cuanto a tamaños comparando 15585 a un sector (512) 451. 10
  12. 12. SEGURIDAD Débora García GarcíaSe procede a realizar la búsqueda de la firma jpeg (jfif), se encuentra coincidencia en el sector73.Se necesitan 31 sectores para almacenar 15585 bytes. Pero están asignados (36sectores) del 73 hasta el 108. Pero solo 31 están asociados con el archivo; como severifica más adelante; dado que la 104 y 105 están asignados a otro archivo.Exportamos el contenido con la opción Export Contens. Y abrimos la imagen. 11
  13. 13. SEGURIDAD Débora García GarcíaArchivo Jimmy Jungle.docVisualicemos ahora los metadatos. El archivo tiene un tamaño de 20480 por lotanto son necesarios 40 sectores. 12
  14. 14. SEGURIDAD Débora García GarcíaExtraemos el archivo. Export contents.Visualizado del archivo. 13
  15. 15. SEGURIDAD Débora García GarcíaArchivo Scheluded Visists.exeVisualizamos los metadatos del archivo. El tamaño del archivo es de 1000 yrequiere por lo tanto dos sectores asignados, el 104 y 105.Al extraer el archivo por el procedimiento ya descrito se muestra un mensaje deerror de que indica que el archivo no está completo.Se debe recordar que están asignados los sectores desde el 73 hasta el 108.También se descubrió que cuando inicialmente se extraen los datos de la imagen 14
  16. 16. SEGURIDAD Débora García GarcíaJPG desde el sector 73 hasta el 108 se encuentra en el último sector el texto“Scheduled Visits.xls”.Password: goodtimes (gracias la primer archivo).Abrimos el archivo con la aplicación pertinente. 15
  17. 17. SEGURIDAD Débora García GarcíaRESPUESTAS DESPUÉS DEL ANÁLISIS¿Quién es el proveedor de marihuana de Joe Jacobs y cuál es ladirección listada del proveedor?¿Qué dato crucial está disponible dentro de coverpage.jpg y porque eldato es crucial?La cadena pw=gootimes que se encontró en el espacio de holgura al final de la unidades deasignación del archivo. Este dato es crucial porque es la contraseña del archivo protegido“Scheduled Visits.exe”. 16

×