Asignatura Datos del alumno Fecha

Apellidos: Diaz
Análisis forense 30/01/2020
Nombre: Andres

Desarrollo Actividad
Trabajo iHackLabs I: Dispositivos de almacenamiento y archivos eliminados
¿Cuál es el hash SHA1 del dispositivo que has adquirido?
SHA1 checksum: 93101f339890c21b553662e1cb1671cb6592ffa1

¿Qué esquema de particionado tiene el dispositivo?

MBR (Registro de arranque maestro)

¿Cuántas particiones tiene el dispositivo?

4 particiones

De cada partición (puede haber una o varias), indica:

 Nº de partición: 1
 Nombre del volumen: VOL(F:)
 Sistema de ficheros: NTFS
 Tamaño en Bytes:200MB
Total size............................200 MB (209,714,688 bytes)
 Nº de partición: 2
 Nombre del volumen: (Disco 1 Partición 2)
 Sistema de ficheros: RAW
 Tamaño en Bytes: 200MB
Total Size............................200 MB (209,715,200 bytes)

 Nº de partición: 3
 Nombre del volumen: VOL(E)
 Sistema de ficheros:FAT32
 Tamaño en Bytes: 200 MB
 Total size............................200 MB (209,715,200 bytes)

 Nº de partición: 4
 Nombre del volumen: No asignado
 Sistema de ficheros: No asignado
 Tamaño en Bytes: No defino 0 bytes

En una de las particiones hay un archivo eliminado. Recupera dicho

archivo y analiza sus metadatos.

En base a tu análisis ¿Cuál es el nombre del artista que realizó la

fotografía?
De los metadatos de la imagen f0008216.jpg se puede inferir que el artista es Michael
Parmelee

exiftool-11.10>"exiftool(-k).exe" f0008216.jpg

TEMA 2 – Actividades/
 Asignatura Datos del alumno Fecha
Apellidos: Diaz
Análisis forense 30/01/2020
Nombre: Andres

MR. ROBOT -- "eps3.1_undo.gz" Episode 302 -- Pictured: (l-r) -- (Photo by: Michael
Parmelee/USA Network)
Artist : USA Network

Además del archivo recuperado en el punto anterior, en el dispositivo hay otro archivo
eliminado. Realiza una recuperación en bruto de los archivos del dispositivo para
recuperarlo y analiza sus metadatos.

En base a tu análisis ¿Cuál es el nombre de la ciudad donde se tomó la fotografía? Si

detectas alguna incoherencia durante el análisis, indícala.

Con la fotografía f0016280.jpg los metadatos a simple vista no indican ninguna

información relevante, sin embargo se realizó export del archivo thumbail y que se puso
en evidencia exportando el archivo thumb asi:
"exiftool(-k).exe" -b ThumbnailImage f0016280.jpg > thumb.jpg

Se mostro que el nombre el artista en los metadatos de archivo thumb es Artist: Eliot
Alderson ,

El archivo f0016280.jpg contenia oculto en en el thumbail y se encontraron los datos

adicionales se utililizo la sentencia

Warning : Processing JPEG-like data after unknown 166-byte header

Exif Byte Order : Little-endian (Intel, II)
Artist : Eliot Alderson

Con base en los datos la ciudad donde se tomó la fotografía “f0008216.jpg“ es Chicago
Illinois EE-UU
GPS Latitude : 41 deg 51' 4.37" N
GPS Longitude : 87 deg 38' 3.92" W
GPS Position : 41 deg 51' 4.37" N, 87 deg 38' 3.92" W

TEMA 2 – Actividades/