Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense forense
Nombre: Juan Carlos
Ac A ctividades Trabajo: Recuperación de ficheros eliminados El objetivo de esta actividad es ver y entender ent ender de manera práctica lo que se ha explicado a lo largo del tema. Durante el desarrollo de la misma, has de recuperar de manera manual, tal y como se explica en el apartado «2.5 Ejemplo de recuperación de un archivo eliminado», el archivo eliminado dentro de una partición FAT32 y visualizar los metadatos asociados a dicho d icho archivo. Antes de comenzar, es recomendable leer el artículo artículo How FAT Works. En especial el apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las entradas del directorio raíz de una partición FAT. El artículo está disponible en: http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29 Para realizar la práctica, podéis utilizar el software que creáis conveniente, aunque se recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software que permita el cálculo de hashes). Para el análisis de los metadatos podéis utilizar ExifTool, o la herramienta online Metashield Analyzer . 1
Para realizar la práctica debéis hacer lo siguiente: Calcular el SHA1 del archivo facilitado para realizar la práctica (VHD03.E01). Obtener mediante Winhex y haciendo uso de las plantillas incluidas: Nombre y extensión del archivo eliminado. o Fecha de creación, modificación y último acceso. o Tamaño del archivo. o Clúster inicial. El offset inicial y final del archivo. o Recuperar el archivo eliminado. Calcular el SHA1 del archivo recuperado. o
Obtener los metadatos asociados al archivo recuperado.
1
https://metashieldanalyzer.elevenpaths.com/ https://metashieldanalyzer.elevenpa ths.com/
TEMA 2 – Actividades
1
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense forense
Nombre: Juan Carlos
Contestaciones a cada una de las cuestiones planteadas en el enunciado. 1.- Calcular el SHA1 del archivo facilitado para realizar la práctica (VHD03.E01) Para calcular el SHA1 del archivo VHD03.E01 he usado la herramienta HashMyfiles. Lo único que he hecho ha sido ejecutar el programa indicado y abrir el archivo. arc hivo.
El resultado obtenido es el siguiente.
TEMA 2 – Actividades
2
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Incluyo el contenido del resultado anterior al exportarlo a un fichero de texto. ================================================== Filename
: VHD03.E01
MD5
: 96a11c5ae458e32a41a907577ff8b7fe
SHA1
: c46824c453e639f6771cf45f3008c1a98cac5c3c
CRC32
: 5df21db9
SHA-256
: a96e69c3fa6bc902682ebe01abe729c835d65bb1a69fb99396efbc f7e7a4b53a
SHA-512
:
78b57305a7b2c4df38e1f7cb6df7941a4431ad48a3274e0c1ef2585aa55e1607da80ffd5a5526241d5b40004d3 0fa3d54c5a6b0910f8b364aae988689cdd9463 SHA-384
:
e279d82b846c6d17f78485adbd1acda2b9800b30e88b74a7e6f6af10edeeea0d0f0c9f26ad23abe46cac529df b5468e9 Full Path
: C:\Users\jcgalan\Desktop\forense - 1\VHD03.E01
Modified Time
: 04/05/2015 12:17:40
Created Time File Size
: 31/05/2016 8:31:45
: 4.779.148
File Version
:
Product Version : Identical Extension
: : E01
File Attributes : A ==================================================
TEMA 2 – Actividades
3
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
2.- Obtener mediante Winhex y haciendo uso de las plantillas incluidas: Nombre y extensión del archivo eliminado. o Fecha de creación, modificación y último acceso. o Tamaño del archivo. o Clúster inicial. o o
El offset inicial y final del archivo
A continuación describiré los pasos dados para la recuperación del archivo, dando lo resultados a las cuestiones planteadas. Lo primero es montar la imagen que tenemos usando para ello FTK Imagen.
Seleccionamos el fichero dejando las distintas opciones por defecto, ya que son las que nos interesan, y pulsamos el botón de montar.
TEMA 2 – Actividades
4
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
A continuación se ve el resultado. Tenemos la parte física y la parte lógica. Esta última se ha montado sobre la unidad D, por lo que si fuésemos al explorado de archivos podríamos ver dicha unidad.
TEMA 2 – Actividades
5
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Si se añaden todos las evidencias (desde el menú File) en el programa se pueden visualizar las particiones y la unidad montada. Además ya se puede ver el tipo de fichero
TEMA 2 – Actividades
y
parte
6
de
su
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
nombre.
En la siguiente imagen se puede ver el fichero en la estructura de directorio que se ha creado. Hacer NOTAR que las unidades lógicas son distintas porque esta parte de visualización la hice en un paso posterior al uso del WinHex, de ahí que al volver a montar la imagen uso otra unidad lógica (y por tanto, otra letra)
TEMA 2 – Actividades
7
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
En la siguiente se puede visualizar el fichero con el FTK Imagen, antes de empezar a hacer WinHex.
los
pasos
de
recuperación
con
Con esta herramienta ya podemos ver el fichero que se recuperará con WinHex.
TEMA 2 – Actividades
8
el
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Se abre ahora el programa WinHex, dejando abierto FTK Imagen, para poder ver el dispositivo montado. Y abrimos el disco.
Siempre que se puede se trabajará sobre disco físico. En este caso podemos y lo seleccionamos. Nos sale una primera pestaña donde aparece la partición que debemos
TEMA 2 – Actividades
9
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
clickar.
Aparece una nueva pestaña, donde sale el directorio raiz y el archivo que se debe recuperar, como se veía con FTK Imager. Ahora deberemos ver su tamaño, donde empieza y hacer los cálculos para poder recuperarlo.
En la siguiente imagen se ha remarcado los datos referentes al cluster de inicio y al tamaño, así como el atributo referido a que el archivo ha sido eliminado (E5).
TEMA 2 – Actividades
10
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Aplicamos las plantillas sobre el archivo dándonos como resultado lo que se puede visualizar en las siguientes imágenes
TEMA 2 – Actividades
11
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Para situarnos al principio del fichero abrimos el menú “Ir al Sector” del menú Navegación. Ahí pondremos 3 que nos situará al principio de la posición de inicio del archivo. Este valor es el que aparece en la imagen anterior, y que ha sido remarcado en verde.
TEMA 2 – Actividades
12
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Nos situa al principio del pichero pero el offset que marca está en hexadecimal. Hacemos oblre clic sobre el dato para que pase a decimal.
Ese es el valor de comienzo del fichero a recuperar. A este valor le tenemos que sumar el valor del tamaño que hemos obtenido anteriormente para obtener el final del archivo. 4194816 + 4704570 = 8899386 De esta forma tendremos el inicio y final para definir el bloque
TEMA 2 – Actividades
13
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Al aceptar marcará el bloque de otro color para indicar la parte seleccionada.
En la siguiente imagen he destacado los valores que se han seleccionado.
TEMA 2 – Actividades
14
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
En este momento lo que haríamos sería Hacer la copia del bloque en un archivo nuevo desde el menú Edición, pero al tratarse de una versión del programa limitada no deja recuperar bien el fichero.
Según lo que se puede ver en la plantilla de WinHex, los datos asociados al fichero son los siguientes. Hacer notar que no parece muy coherente que la fecha de creación sea posterior a la de modificación, e incluso por un segundo con la de último acceso. Nombre
y
extensión
TEMA 2 – Actividades
del
archivo Madrid.jpg
15
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
eliminado. Fecha de creación, modificación y último Creación: 04/05/2015 – 14:16 acceso. Modificación: 04/05/15 - 8:53 Último acceso: 04/05/15 - 14:15 Tamaño del archivo.
4.704.570 Bytes
Clúster inicial.
3
El offset inicial y final del archivo
4194816 - 8899386
TEMA 2 – Actividades
16
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
3.- Recuperar el archivo eliminado Para recuperar el fichero he usado el programa FTK Imagen, con la idea de poder obtener el sha1 y los metadatos que se piden en las siguientes preguntas. El motivo lo he explicado en el punto anterior Lo adjunto como uno de los archivos resultado de la actividad. 4.- Calcular el SHA1 del archivo recuperado Para obtener el SHA1 hago lo mismo que en el primer punto.
A continuación incluyo el texto que se puede obtener con el programa en formato txt ================================================== Filename
: Madrid.jpg
MD5
: 61f38ca07eefedbff0019f401ee6bf22
SHA1
: abdc38398b9c36b4e846f061cbf7044b613ab906
CRC32
: 7fa8ad6e
SHA-256
: cb93f6ec1035903f8f26c3521d8feec70a3e643f52d411113f0fedccb35e5080
SHA-512
:
88aa011f0be30ac53020cddb9feab566d6d4490e9e0cea1efc9edd575aca9b2f036d86776656c007 562e1cc5ea53afdc04d1c328e9134e06d08ccb8964999120 SHA-384
:
50e6bd03e9bc879d09538eba3d99431ffc1ae99f73ec99d6a65e3c49a5d0b243f8f5567abd51ce336 c7a2eeeaa93389c Full Path
: C:\Users\user\Desktop\forense - 1\Madrid.jpg
Modified Time
: 04/05/2015 16:15:30
Created Time
: 01/06/2016 16:03:04
TEMA 2 – Actividades
17
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos File Size
: 4.704.570
File Version
:
Product Version : Identical Extension
: : jpg
File Attributes : A ==================================================
NOTA: Como ha dicho un compañero y que también comenté en su momento, ya que no sabía qué comparar con qué, precisamente para poder valorar si se trataba del mismo fichero, los hash del primer punto y del último no son iguales. Entiendo que se debe precisamente a que el hash que se obtiene es de ficheros totalmente diferentes. El primero contiene metadatos (según ha comentado en la clase de refuerzo) por lo que no tiene porque coincidir con el del archivo recuperado. Por otra parte, comentar que también hice el cálculo con el Fciv, por si se estaba dando un fallo en el cálculo. Pero me remito a lo que ha comentado en clase.
TEMA 2 – Actividades
18
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
5.- Obtener los metadatos asociados al archivo recuperado Para obtener los metadatos del archivo recuperado uso el programa exiftool. Para ello abro un prompt del sistema y me voy a la carpeta donde está el programa y el archivo.
Escribo exiftool.exe Madrid.jpg y me muestra por la misma ventana el resultado.
TEMA 2 – Actividades
19
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Como el resultado es largo, lo que hago es volverlo a ejecutar pero redireccionando la salida a un fichero txt.
TEMA 2 – Actividades
20
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos
Repito la ejecución del programa pero redirigiendo la salida de la ejecución a u n fichero de texto, como se puede ver en la línea de comandos. A continuación incluyo el resultado de este fichero. ExifTool Version Number File Name Directory File Size
: 10.18
: Madrid.jpg :. : 4.5 MB
File Modification Date/Time File Access Date/Time
: 2016:05:31 11:16:43+02:00
File Creation Date/Time File Permissions File Type
: 2016:05:31 11:16:43+02:00 : rw-rw-rw-
: JPEG
File Type Extension MIME Type
: 2015:05:04 16:15:30+02:00
: jpg : image/jpeg
TEMA 2 – Actividades
21
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos Exif Byte Order
: Big-endian (Motorola, MM)
Image Description
: Plaza Mayor de Madrid
Make
: NIKON CORPORATION
Camera Model Name Orientation
: NIKON D60 : Horizontal (normal)
X Resolution
: 300
Y Resolution
: 300
Resolution Unit
: inches
Software
: Ver.1.00
Modify Date Artist
: 2008:08:22 21:07:44 : Lourdes Martínez
Y Cb Cr Positioning
: Co-sited
Exposure Time
: 1/60
F Number
: 3.5
Exposure Program ISO
: Not Defined : 1600
Exif Version
: 0221
Date/Time Original
: 2008:08:22 21:07:44
Create Date
: 2008:08:22 21:07:44
Components Configuration
: Y, Cb, Cr, -
Compressed Bits Per Pixel
:4
Exposure Compensation
:0
Max Aperture Value
: 3.5
Metering Mode Flash
: Multi-segment : Auto, Fired, Return detected
Focal Length
: 18.0 mm
Maker Note Version Color Mode Quality White Balance
: 2.10 : Color : Fine : Auto
Focus Mode
: AF-A
Flash Setting
: Normal
Flash Type
: Built-in,TTL
White Balance Fine Tune WB RB Levels Program Shift
: 1.7421875 1.3515625 1 1 :0
Exposure Difference Compression
:00
: -3.3 : JPEG (old-style)
Preview Image Start
TEMA 2 – Actividades
: 8198
22
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos Preview Image Length
: 21706
Flash Exposure Compensation ISO Setting
:0
: 1600
Image Boundary
: 0 0 3872 2592
External Flash Exposure Comp : 0 Crop Hi Speed
: Off (3904x2616 cropped to 3904x2616 at pixel 0,0)
Serial Number
: 6030201
VR Info Version
: 0100
Vibration Reduction
: On
VR Mode
: Normal
Active D-Lighting
: Off
Time Zone
: +01:00
Daylight Savings
: Yes
Date Display Format ISO Expansion ISO2
: D/M/Y : Off
: 1600
ISO Expansion 2 Tone Comp Lens Type Lens Flash Mode AF Area Mode AF Point
: Off : Auto : G VR : 18-55mm f/3.5-5.6 : Fired, TTL Mode : Dynamic Area (closest subject) : Center
AF Points In Focus
: Center
Shooting Mode Color Hue Light Source
: Continuous : Mode3a : Speedlight
Shot Info Version
: 0211
Hue Adjustment
:0
Noise Reduction
: Off
WB RGGB Levels
: 446 256 256 346
Lens Data Version
: 0202
Exit Pupil Position
: 97.5 mm
AF Aperture
: 3.6
Focus Position
: 0x06
Focus Distance
: 3.35 m
Lens ID Number Lens F Stops
: 154 : 5.33
Min Focal Length
TEMA 2 – Actividades
: 18.3 mm
23
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos Max Focal Length
: 55.0 mm
Max Aperture At Min Focal
: 3.6
Max Aperture At Max Focal
: 5.7
MCU Version
: 156
Effective Max Aperture
: 3.6
Sensor Pixel Size
: 6.05 x 6.05 um
Retouch History
: None
Image Data Size
: 4664513
Shutter Count
: 1153
Flash Info Version Flash Source
: 0102 : Internal
External Flash Firmware
: n/a
External Flash Flags
: (none)
Flash Commander Mode
: Off
Flash Control Mode
: iTTL-BL
Flash Compensation
:0
Flash GN Distance
:0
Flash Group A Control Mode
: Off
Flash Group B Control Mode
: Off
Flash Group C Control Mode
: Off
Flash Group A Compensation
:0
Flash Group B Compensation
:0
Flash Group C Compensation
:0
Image Optimization Vari Program
: : Auto
Multi Exposure Version
: 0100
Multi Exposure Mode
: Off
Multi Exposure Shots
:0
Multi Exposure Auto Gain
: Off
High ISO Noise Reduction
: Minimal
Power Up Time File Info Version
: 2008:08:22 20:45:49 : 0100
Memory Card Number
:0
Directory Number File Number
: 100 : 0035
Retouch Info Version
: 0100
User Comment Sub Sec Time
: : 30
Sub Sec Time Original
TEMA 2 – Actividades
: 30
24
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos Sub Sec Time Digitized
: 30
Flashpix Version
: 0100
Color Space
: sRGB
Exif Image Width
: 3872
Exif Image Height
: 2592
Interoperability Version
: 0100
Sensing Method
: One-chip color area
File Source
: Digital Camera
Scene Type
: Directly photographed
CFA Pattern
: [Green,Blue][Red,Green]
Custom Rendered
: Normal
Exposure Mode
: Auto
Digital Zoom Ratio
:1
Focal Length In 35mm Format Scene Capture Type
: 27 mm
: Standard
Gain Control
: High gain up
Contrast
: Normal
Saturation
: Normal
Sharpness
: Normal
Subject Distance Range Offset Schema
: Unknown : 4210
XP Title
: Plaza Mayor de Madrid
XP Author
: Lourdes Martínez
XP Keywords
: Madrid;Plaza Mayor
Padding
: (Binary data 2060 bytes, use -b option to extract)
Thumbnail Offset
: 30206
Thumbnail Length
: 5546
About
: uuid:faf5bdd5-ba3d-11da-ad31-d33d75182f1b
Rating
:5
Warning
: [minor] Fixed incorrect URI for xmlns:MicrosoftPhoto
Rating Percent
: 99
Last Keyword XMP
: Madrid, Plaza Mayor
Creator
: Lourdes Martínez
Subject
: Madrid, Plaza Mayor
Title Description
: Plaza Mayor de Madrid : Plaza Mayor de Madrid
Image Width
: 3872
Image Height
: 2592
Encoding Process
TEMA 2 – Actividades
: Baseline DCT, Huffman coding
25
Asignatura
Datos del alumno
Fecha
Apellidos: Galán Méndez 02 de junio de 2016
Análisis forense
Nombre: Juan Carlos Bits Per Sample
:8
Color Components
:3
Y Cb Cr Sub Sampling Aperture
: 3.5
Blue Balance
: 1.351563
Image Size
: 3872x2592
Lens ID Lens
: YCbCr4:2:2 (2 1)
: AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G : 18-55mm f/3.5-5.6 G VR
Megapixels Preview Image Red Balance
: 10.0 : (Binary data 21706 bytes, use -b option to extract) : 1.742188
Scale Factor To 35 mm Equivalent: 1.5 Shutter Speed Create Date
: 1/60 : 2008:08:22 21:07:44.30
Date/Time Original Modify Date
: 2008:08:22 21:07:44.30 : 2008:08:22 21:07:44.30
Thumbnail Image
: (Binary data 5546 bytes, use -b option to extract)
Circle Of Confusion
: 0.020 mm
Depth Of Field
: 10.06 m (1.95 - 12.00 m)
Field Of View
: 67.1 deg (4.44 m)
Focal Length
: 18.0 mm (35 mm equivalent: 27.0 mm)
Hyperfocal Distance Light Value
: 4.62 m : 5.5
TEMA 2 – Actividades
26
