Practica 2 Taller de C mputo Forense
Páginas: 2 (284 palabras)
Publicado: 2 de septiembre de 2015
Taller de Cómputo Forense
Práctica 2
Análisis de caso
Se sorprende a un apersona en su casa que aparentemente se dedica a la venta de estupefacientes
Se le detecta una usb y seprocede al análisis
Para iniciar el análisis forense:
2. Copiar la evidencia, para trabajar con la copia.
cp
3. Verificar la huella digital de la copia
md5sum -cimagen.md5
4. Identificar el sistema de archivos del que procede esa imagen
file
5. Hay que montar la imagen en modo de sólo lectura
mount -o loop,ro /mnt/img1//As root
6. Revisar archivos existentes
ls /mnt/img1
7. Checar archivos borrados
debugfs -w
debugfs: ls -ld //Si hay archivos borrados los inodo no los muestra
debugfs:lsdel // Muestra la información de los archivos borrados
debugfs: stat <[inodo]> //Muestra las estadísticas del archivo
debugfs: dump_unused //Saca un archivo desde inodo y fueradel debugfs
debugfs: undel <[inodo]>
debugfs: quit
8. Identificar si los archivos tienen datos ocultos a través de Esteganografía
steghide info // para saber sitiene datos ocultos
steghide extract –sf //Para extraer archivo oculto
9. Truecrypt es el programa más utilizado para cifrar datos
truecrypt –text –mount //As root
10. Revisar los archivos montados
11. Los PDFs también pueden tener información oculta, para ver si tienen algo, hay que montar el archivo pdf.
mount_pdf //as root
12. Copiar los archivos para posterior análisis
13. Desmontar las imágenes
truecrypt –text –dismount //As root
umount //as root del pdf
14. Volver abuscar algo encriptado con el nuevo descubrimiento
ANEXO I.
Algunos comandos de Linux
cat
dd
debugfs
file
man
more
mount
mount_pdf
su
sudo
steghide
truecrypt
umount
Práctica 2
Análisis de caso
Se sorprende a un apersona en su casa que aparentemente se dedica a la venta de estupefacientes
Se le detecta una usb y seprocede al análisis
Para iniciar el análisis forense:
2. Copiar la evidencia, para trabajar con la copia.
cp
3. Verificar la huella digital de la copia
md5sum -cimagen.md5
4. Identificar el sistema de archivos del que procede esa imagen
file
5. Hay que montar la imagen en modo de sólo lectura
mount -o loop,ro
6. Revisar archivos existentes
ls /mnt/img1
7. Checar archivos borrados
debugfs -w
debugfs: ls -ld //Si hay archivos borrados los inodo no los muestra
debugfs:lsdel // Muestra la información de los archivos borrados
debugfs: stat <[inodo]> //Muestra las estadísticas del archivo
debugfs: dump_unused //Saca un archivo desde inodo y fueradel debugfs
debugfs: undel <[inodo]>
debugfs: quit
8. Identificar si los archivos tienen datos ocultos a través de Esteganografía
steghide info
steghide extract –sf
9. Truecrypt es el programa más utilizado para cifrar datos
truecrypt –text –mount
10. Revisar los archivos montados
11. Los PDFs también pueden tener información oculta, para ver si tienen algo, hay que montar el archivo pdf.
mount_pdf
12. Copiar los archivos para posterior análisis
13. Desmontar las imágenes
truecrypt –text –dismount
umount
14. Volver abuscar algo encriptado con el nuevo descubrimiento
ANEXO I.
Algunos comandos de Linux
cat
dd
debugfs
file
man
more
mount
mount_pdf
su
sudo
steghide
truecrypt
umount
Leer documento completo
Regístrate para leer el documento completo.