Asignatura Datos del alumno Fecha

Apellidos: Briceo Jimnez

Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Actividades

Trabajo: Recuperacin de ficheros eliminados

El objetivo de esta actividad es ver y entender de manera prctica lo que se ha explicado

a lo largo del tema. Durante el desarrollo de la misma, has de recuperar de manera
manual, tal y como se explica en el apartado 2.5 Ejemplo de recuperacin de un
archivo eliminado, el archivo eliminado dentro de una particin FAT32 y visualizar los
metadatos asociados a dicho archivo.

Antes de comenzar, es recomendable leer el artculo How FAT Works. En especial el

apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
entradas del directorio raz de una particin FAT. El artculo est disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29

Para realizar la prctica, podis utilizar el software que creis conveniente, aunque se
recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
que permita el clculo de hashes). Para el anlisis de los metadatos podis utilizar
ExifTool, o la herramienta online Metashield Analyzer1.

Para realizar la prctica debis hacer lo siguiente:

Calcular el SHA1 del archivo facilitado para realizar la prctica (VHD03.E01).
Obtener mediante Winhex y haciendo uso de las plantillas incluidas:
o Nombre y extensin del archivo eliminado.
o Fecha de creacin, modificacin y ltimo acceso.
o Tamao del archivo.
o Clster inicial.
o El offset inicial y final del archivo.
Recuperar el archivo eliminado.
Calcular el SHA1 del archivo recuperado.
Obtener los metadatos asociados al archivo recuperado.

1
https://metashieldanalyzer.elevenpaths.com/

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

DESARROLLO DE LA ACTIVIDAD:
Calcular el SHA1 del archivo facilitado para realizar la prctica (VHD03.E01).
Para realizar este paso utilizaremos los programas HashMyFiles y FTK Imager.
HashMyFiles:
Vamos a File y luego Add Files, agregamos el archivo que se nos facilit.

Apenas cargamos el archivo nos aparece la ventana con el SHA1.

SHA1: c46824c453e639f6771cf45f3008c1a98cac5c3c

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

FTK Imager:
Se aade la evidencia. Vamos a Files, luego Add Evidence Item.

En el cuadro que nos aparece, escogemos Image File y seleccionamos el archivo que
se nos facilit para esta prctica.

Una vez agregado el archivo de evidencia, podemos calcular HASH. Para esto vamos a
File luego Verify Drive/ Image

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

La ventana que nos aparece a continuacin muestra el valor del SHA1.

SHA1: 652fa30361677e19f03f6f07201ae143fa650132

Obtener mediante Winhex y haciendo uso de las plantillas incluidas:

o Nombre y extensin del archivo eliminado.
o Fecha de creacin, modificacin y ltimo acceso.
o Tamao del archivo.
o Clster inicial.
o El offset inicial y final del archivo.
Para esto procedemos a montar la imagen y nos valemos del FTK Imager.
Vamos a File y luego a Image Mounting.

Cargamos la imagen de manera fsica y lgica, asignamos una letra a la unidad,

escogemos como slo lectura y damos en Mount.

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Ahora vemos que se nos ha cargado la imagen.

Comprobamos que la imagen aparece en el directorio de unidades de nuestro equipo.

Hecho lo anterior y sin cerrar el FTK Imager, procedemos con el programa WinHex
(ejecutar como administrador) a abrir el disco que montamos.

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Vamos a Tools y luego a Open Disk.

Luego seleccionamos el disco fsico montado y lo abrimos.

Una vez dentro del disco, aplicamos la plantilla FAT, nos vamos a View y luego a
Template Manager.

Escogemos la opcin FAT Normal.

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

El siguiente cuadro nos muestra toda la informacin requerida.

Nombre y extensin del archivo eliminado.

Nombre: ADRID
Extensin: JPG
Fecha de creacin, modificacin y ltimo acceso.
Creacin: 04/05/15, 14:16:36
Modificacin: 04/05/15, 14:15:30
ltimo acceso: 04/05/15, 08:53:08
Tamao del archivo.
4.704.570
Clster inicial.
3
El offset inicial y final del archivo.
Para contestar a esta pregunta, nos dirigimos dentro del mismo programa a la
opcin Navigation y luego Go To Sector.

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Ingresamos el valor 3 en el caso de este ejercicio.

Ahora vemos que nos ubica en el offset inicial del archivo JPG para el clster 3.

Por lo tanto tenemos que:

offset inicial + tamao del archivo = offset final
Offset final: 4.194.816 + 4.704.570
Offset final: 8.899.386
Recuperar el archivo eliminado
Para esto se tiene que definir un bloque, nos vamos a Edit y luego a Define Block.

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Ingresamos los valores de offset inicial y final.

Ahora vamos a grabar el bloque definido, para esto nos vamos a Edit, luego a Copy
Block y escogemos Into New File.

Aparece un mensaje que indica que la versin es de evaluacin y que no permite

recuperar archivos de tamaos que superen los 200KB.

Como segunda opcin, vamos a recuperar el archivo eliminado con FTK Imager. Para
esto vamos al archivo raz de la imagen montada inicialmente.

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Para hacemos clic derecho sobre el archivo JPG y escogemos Export Files.

Escogemos un directorio para guardarlo y vemos que se ha recuperado con xito. Hay
que notar que se han recuperado los 4704570 bytes, que es igual al archivo eliminado.

El archivo recuperado es el siguiente.

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Calcula el SHA1 del archivo recuperado.

Para esto vamos a usar el programa HashMyFiles.

SHA1: abdc38398b9c36b4e846f061cbf7044b613ab906
Obtener los metadatos asociados el archivo recuperado.
Ejecutamos la siguiente lnea de comandos en la consola de Windows:
C:\Users\FAVIANBJ\Desktop\TODO_Maestra_UNIR\TODAS LAS AULAS\Anlisis
Forense\Recursos\EXIFTOOL>exiftool.exe -a !adrid.jpg

ExifTool Version Number : 10.54

File Name : !adrid.jpg
Directory :.
File Size : 4.5 MB
File Modification Date/Time : 2015:05:04 09:15:30-05:00
File Access Date/Time : 2017:06:04 18:19:21-05:00
File Creation Date/Time : 2015:05:04 09:16:37-05:00
File Permissions : rw-rw-rw-
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
Image Description : Plaza Mayor de Madrid
Make : NIKON CORPORATION
Camera Model Name : NIKON D60
Orientation : Horizontal (normal)
X Resolution : 300
Y Resolution : 300
Resolution Unit : inches
Software : Ver.1.00
Modify Date : 2008:08:22 21:07:44
Artist : Lourdes Martnez

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Y Cb Cr Positioning : Co-sited
Rating :5
Rating Percent : 99
Exposure Time : 1/60
F Number : 3.5
Exposure Program : Not Defined
ISO : 1600
Exif Version : 0221
Date/Time Original : 2008:08:22 21:07:44
Create Date : 2008:08:22 21:07:44
Components Configuration : Y, Cb, Cr, -
Compressed Bits Per Pixel :4
Exposure Compensation :0
Max Aperture Value : 3.5
Metering Mode : Multi-segment
Light Source : Unknown
Flash : Auto, Fired, Return detected
Focal Length : 18.0 mm
Maker Note Version : 2.10
ISO : 1600
Color Mode : Color
Quality : Fine
White Balance : Auto
Sharpness : Auto
Focus Mode : AF-A
Flash Setting : Normal
Flash Type : Built-in,TTL
White Balance Fine Tune :00
WB RB Levels : 1.7421875 1.3515625 1 1
Program Shift :0
Exposure Difference : -3.3
Compression : JPEG (old-style)
X Resolution : 300
Y Resolution : 300
Resolution Unit : inches

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Preview Image Start : 8198

Preview Image Length : 21706
Y Cb Cr Positioning : Co-sited
Flash Exposure Compensation :0
ISO Setting : 1600
Image Boundary : 0 0 3872 2592
External Flash Exposure Comp : 0
Crop Hi Speed : Off (3904x2616 cropped to 3904x2616 at pixel 0,0)
Serial Number : 6030201
Color Space : sRGB
VR Info Version : 0100
Vibration Reduction : On
VR Mode : Normal
Active D-Lighting : Off
Time Zone : +01:00
Daylight Savings : Yes
Date Display Format : D/M/Y
ISO : 1600
ISO Expansion : Off
ISO2 : 1600
ISO Expansion 2 : Off
Tone Comp : Auto
Lens Type : G VR
Lens : 18-55mm f/3.5-5.6
Flash Mode : Fired, TTL Mode
AF Area Mode : Dynamic Area (closest subject)
AF Point : Center
AF Points In Focus : Center
Shooting Mode : Continuous
Lens F Stops : 5.33
Color Hue : Mode3a
Light Source : Speedlight
Shot Info Version : 0211
Shutter Count : 1153
Hue Adjustment :0

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Noise Reduction : Off

WB RGGB Levels : 446 256 256 346
Lens Data Version : 0202
Exit Pupil Position : 97.5 mm
AF Aperture : 3.6
Focus Position : 0x06
Focus Distance : 3.35 m
Focal Length : 18.3 mm
Lens ID Number : 154
Lens F Stops : 5.33
Min Focal Length : 18.3 mm
Max Focal Length : 55.0 mm
Max Aperture At Min Focal : 3.6
Max Aperture At Max Focal : 5.7
MCU Version : 156
Effective Max Aperture : 3.6
Sensor Pixel Size : 6.05 x 6.05 um
Retouch History : None
Image Data Size : 4664513
Shutter Count : 1153
Flash Info Version : 0102
Flash Source : Internal
External Flash Firmware : n/a
External Flash Flags : (none)
Flash Commander Mode : Off
Flash Control Mode : iTTL-BL
Flash Compensation :0
Flash GN Distance :0
Flash Group A Control Mode : Off
Flash Group B Control Mode : Off
Flash Group C Control Mode : Off
Flash Group A Compensation :0
Flash Group B Compensation :0
Flash Group C Compensation :0
Image Optimization :

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Saturation : Auto
Vari Program : Auto
Multi Exposure Version : 0100
Multi Exposure Mode : Off
Multi Exposure Shots :0
Multi Exposure Auto Gain : Off
High ISO Noise Reduction : Minimal
Power Up Time : 2008:08:22 20:45:49
File Info Version : 0100
Memory Card Number :0
Directory Number : 100
File Number : 0035
Retouch Info Version : 0100
User Comment :
Sub Sec Time : 30
Sub Sec Time Original : 30
Sub Sec Time Digitized : 30
Flashpix Version : 0100
Color Space : sRGB
Exif Image Width : 3872
Exif Image Height : 2592
Interoperability Version : 0100
Sensing Method : One-chip color area
File Source : Digital Camera
Scene Type : Directly photographed
CFA Pattern : [Green,Blue][Red,Green]
Custom Rendered : Normal
Exposure Mode : Auto
White Balance : Auto
Digital Zoom Ratio :1
Focal Length In 35mm Format : 27 mm
Scene Capture Type : Standard
Gain Control : High gain up
Contrast : Normal
Saturation : Normal

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Sharpness : Normal
Subject Distance Range : Unknown
Padding : (Binary data 2060 bytes, use -b option to extract)
Offset Schema : 4210
XP Title : Plaza Mayor de Madrid
XP Author : Lourdes Martnez
XP Keywords : Madrid;Plaza Mayor
Padding : (Binary data 2060 bytes, use -b option to extract)
Compression : JPEG (old-style)
X Resolution : 300
Y Resolution : 300
Resolution Unit : inches
Thumbnail Offset : 30206
Thumbnail Length : 5546
Y Cb Cr Positioning : Co-sited
About : uuid:faf5bdd5-ba3d-11da-ad31-d33d75182f1b
Rating :5
Warning : [minor] Fixed incorrect URI for xmlns:MicrosoftPhoto
Rating Percent : 99
Last Keyword XMP : Madrid, Plaza Mayor
Creator : Lourdes Martnez
Subject : Madrid, Plaza Mayor
Title : Plaza Mayor de Madrid
Description : Plaza Mayor de Madrid
Image Width : 3872
Image Height : 2592
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample :8
Color Components :3
Y Cb Cr Sub Sampling : YCbCr4:2:2 (2 1)
Aperture : 3.5
Blue Balance : 1.351563
Image Size : 3872x2592
Lens ID : AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G
Lens Spec : 18-55mm f/3.5-5.6 G VR

TEMA 2 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 05 06 - 2017
Nombre: Edgar Favin

Megapixels : 10.0
Preview Image : (Binary data 21706 bytes, use -b option to extract)
Red Balance : 1.742188
Scale Factor To 35 mm Equivalent: 1.5
Shutter Speed : 1/60
Create Date : 2008:08:22 21:07:44.30
Date/Time Original : 2008:08:22 21:07:44.30
Modify Date : 2008:08:22 21:07:44.30
Thumbnail Image : (Binary data 5546 bytes, use -b option to extract)
Circle Of Confusion : 0.020 mm
Depth Of Field : 10.06 m (1.95 - 12.00 m)
Field Of View : 67.1 deg (4.44 m)
Focal Length : 18.0 mm (35 mm equivalent: 27.0 mm)
Hyperfocal Distance : 4.62 m
Light Value : 5.5

TEMA 2 Actividades