PRESENTADO POR : Eugenio Pjaro Almagro CONTENIDO DE LA GUA (Para elaborar por el Docente) OBJETIVOS.

Utilizar herramientas forenses para realizar Imagen forense. Aplicar el procedimiento Forense para realizar una copia bit a bit. INTRODUCCIN

La evidencia de carcter digital, es mucho ms susceptible de sufrir alteracin y/o modificaciones, sin embargo puede ser aportada como prueba en un proceso judicial, garantizando la autenticidad de la informacin, para lograr esto, los estudiantes de informtica, deben realizar imagen forense a los medios de almacenamiento utilizando software avalado por comunidades tcnico cientficas mundiales y estrados judiciales como el FTK o Encase.
MARCO TEORICO

La imagen forense, lleva tcnicas muy particulares que permiten crear una copia exacta del dispositivo o equipo original en uno nuevo. Esto significa que el original y la copia sern idnticos al momento preciso en que se hizo la imagen, al grado que incluso, de ambas se pueda recuperar informacin borrada a travs de tcnicas, tan sencillas con herramientas especializadas en cmputo forense. La imagen forense cumple entonces con los conceptos bsicos del cmputo forense: identificar, preservar, recuperar, analizar y presentar hechos y opiniones.
CONSULTA PREVIA Unidades de Almacenamiento en informtica. Procedimientos Forense Preservacin de Evidencia Digital.

METODOLOGIA En la sala de informtica utilizando la red, se mostrara el paso a paso del procedimiento para realizar imagen forense con la herramienta FTK Imager. 20 minutos De manera individual los alumnos realizan el procedimiento utilizando el software FTK generar imagen forense de una memoria USB. 90 minutos para

MATERIALES, EQUIPOS Y REACTIVOS A UTILIZAR (Indicar las cantidades)

Materiales y Equipos Computadores Software FTK Imager N.A N.A

Reactivos

Materiales Estudiante USB

PRECAUCIONES Y MANEJO DE MATERIALES Y EQUIPOS. CONSULTA DE EQUIPO ESPECIALIZADO. Revise que los equipos en prstamo funcionen correctamente en el momento de solicitarlos en el laboratorio. Usar adecuadamente los computadores. No desconfigurar las herramientas de programacin ni los sistemas operativos. Usar el acceso a Internet solamente para consulta de los temas del laboratorio. No fumar No ingerir alimentos ni bebidas No trasladar equipos de un mdulo sin autorizacin del personal de laboratorios PROCEDIMIENTO A UTILIZAR Se explica el procedimiento de la actividad a realizar, y se procede a desarrollar los siguientes pasos:

1. Se describen la USB. 2. Se instala en el computador la USB destinada para realizar el estudio, guardando todas las recomendaciones de proteccin necesarias para garantizar su integridad. 3. Se instala el software FTK imager 4. Se escoge el tipo de imagen a realizar en este caso fsica 5. Se siguen los pasos del procedimiento explicado. 6. Se revisa la carpeta donde se almaceno la imagen y se verifica los valores hash. 7. Si el valor hash de la imagen con la USB original son iguales se finaliza la actividad. 8. Si el resultado es diferente se debe repetir el proceso teniendo cuidado en aplicar el procedimiento correctamente. 9. Exportar tres archivos con su hash y metadatos. 10. Encontrar y documentar cuantos archivos se pueden recuperar. 11. Una vez terminado el procedimiento, se elabora el respectivo informe.
INFORME DE LABORATORIO (Para elaborar por el Estudiante) ESTUDIANTES: GRUPO:

NOTA:

CARRERA:

Formule tres objetivos que desee cumplir con la Prctica de Laboratorio El estudiante formular desde su conocimiento los objetivos para la realizacin de la prctica

Dar a conocer el conocimiento que tengo sobre el procedimiento sobre la Informtica forense

Realizar los diferentes procesos para crear una imagen forense Revelar diferentes resultados para el esclarecimiento de un echo punitivo.

Elabore un Mapa conceptual del tema a tratar en la Prctica de Laboratorio.

RESULTADOS Informe escrito con pantallazos y reporte de la herramienta utilizada en el procedimiento aplicado.

CUESTIONARIO 1. Que es imagen Imagen Forense?

2. Cul es la diferencia entre una copia de informacin y una imagen forense? 3. Qu resultados arroja la obtencin de una imagen forense? 4. Cules son los pasos de creacin de una imagen forense? 5. Cuantas imgenes se realizan y cul es su destino?

CAUSAS DE ERROR Y ACCIONES PARA OBTENER MEJORES RESULTADOS: El estudiante formulara las posibles causas de error comparando sus resultados prcticos con los tericos No seguir los pasos dados No copiar la imagen donde se debe. Hacer el procedimiento desde el principio mal hecho o sin conductas regulares. CONCLUSIONES El estudiante realizara una serie enunciados que respondan a los objetivos que el mismo formul, basados en el desarrollo de la prctica. Esclarecimiento de los hechos punibles cometidos Dar fin a echo punible Revelar culpable Median el procedimiento sea ms fcil y practico hacer una imagen forense de datos importantes de un computador. APLICACIN PROFESIONAL DE LA PRCTICA REALIZADA

BIBLIOGRAFIA UTILIZADA

Solucin 1) 2) 3) 4) Se toma una memoria Kinston de 8 gb, de color roja y placa metalica. F Instalacin del software. Creacin de la imagen.

5) Pasos del procedimiento explicado :

Seleccionamos siguiente.

Seleccionamos la unidad a la que le realizaremos la copia y finalizamos el proceso. Nos aparecer el siguiente recuadro.

Nos aparecer un recuadro donde seleccionaremos las condiciones para el tipo de imagen que generaremos.

Nos aparecer un recuadro donde se colocara el destino y el nombre de la imagen

..

Despus de haber nombrado y dado ruta de almacenamiento finalizamos.

Iniciamos el proceso con Start.

Al finalizar el proceso nos mostrara una recuadro con los hash de la imagen para lo cual utiliza md5 y sha1.

Cerramos y ya hemos creado nuestra imagen. 6) Verificacin de la carpeta y se realizan los hash.

7) Para este punto se verifican los datos generados y se puede constatar la semejanza en los hash. Tambin se utiliza el FTK Imager Iniciamos todo el programa.

Seleccionamos imagen de archivo

Presionamos siguientes.

Seleccionamos Browse, para seleccionar la imagen

Abrimos el archivo de la imagen. Y nos aparecer el siguiente recuadro

Donde finalizaremos. La imagen se cargara en el rbol de evidencia.

Al dar click derecho sobre la evidencia y seleccionar la opcin Verify Result, al pasar cierto tiempo nos muestra el hash de md5 y sha1

8) Proceso finalizado por q los has son igales. 9) Para este punto se selecciona una carpeta y exportaremos para lo cual : Con click derecho seleccionamos Export Files.

Nos aparecer el recuadro de guardado donde almacenaremos el archivo q queremos recuperar.

10) A la hora de recuperar los archivos, note que efectivamente se recuperaban pero esto no contenan informacin esto paso con archivo y carpetas.

CUESTIONARIO 1) Imagen Forense es una tcnica a la cual tambin se le llama Espejo, la cual es una copia binaria de un medio electrnico de almacenamiento. En esta imagen quedan grabados los espacios que ocupan los archivos y las reas borradas incluyendo particiones escondidas. 2) La imagen forense quedan grabados los espacios que ocupan los archivos y las arreas borradas. 3) Es una copia de todos los archivos e incluso reas borradas. 4) Los pasos descritos en la descripcin anterior. 5) Se realiz una sola imagen, pero en su destino se pueden apreciar 5 archivos.