LARA

MUOZ

BARDN

PR C T IC A 1
AU D IT O R IA Y
L E G IS L A CI N
Anlisis forense de discos

P R E PA R A C I N DE L U S B

Para el proceso de anlisis necesitaremos un USB de al menos 2 gigas,

para ello deberemos prepararlo.
Para ello debemos limpiarlo con un programa especial, para que
cuando vayamos a recuperar los archivos no nos recupere todo lo que
tenamos.
El programa que usaremos es el Eraser. Para ello lo ejecutaremos, y
pulsaremos sobre erase Schedule y en el men desplegable que nos
aparecer pulsaremos sobre new task, nos aparecer una ventana
emergente, le pondremos un nombre, elegiremos la opcin run
inmediately y le daremos a OK. En la siguiente imagen se muestra un
ejemplo.

R E A L I Z A C I N DE U S B A U T O B O O T

Para la realizacin segura de una imagen necesitamos hacer un USB

AUTOBOOT, para ello utilizaremos el programa imageUSB, es un
programa muy sencillo de usar, simplemente seleccionamos un usb de la
lista del principio, seleccionamos el archivo OSFClone.bin y pulsamos
sobre write to usd.

CLONACIN DEL DISCO DURO

Llegados aqu lo primero es meter el usb (con el ordenador apagado)

para arrancar el PC desde el usb, nos aparecer la primera pantalla,
pulsamos la tecla espacio para continuar.
Ahora nos aparecern varias opciones, elegiremos la opcin 2 image
complete drive, despus nos saldrn otras opciones y elegiremos la
primera opcin Dd (via dc3dd). Las siguientes opciones deben
realizarse por partes, primero pulsaremos sobre la primera opcin, luego
sobre la segunda, y finalmente sobre la tercera.
Cambiamos el algoritmo por SHA256. Finalmente elegiremos la
opcin 9 Execute dd, y pasado un tiempo tendremos nuestra imagen.
Al finalizar nos preguntara si queremos guardar un fichero.
Deberemos guardarlos pues demuestra que se ha mantenido la Cadena
de custodia.

M O N TA R I M A G E N C L O N A D A

Una vez tengamos nuestra imagen del disco clonado deberemos

montarla en nuestro ordenador.
Para ello disponemos de la herramienta OSFMount. Deberemos
ejecutarla y pulsar sobre mount new. Una vez pulsado nos aparecer
una ventana emergente, en image file elegimos la imagen a montar, y
simplemente pulsamos OK.

Una vez montada nos aparecer en la pantalla principal del programa.

R E C U P E R A C I O N DE P O S I B L E S A R C H I V O S B O R R A D O S

Cuando analicemos un disco duro deberemos tener en cuenta que

seguramente su propietario borro algn archivo, por lo cual deberemos
recuperar los archivos borrados y posteriormente incluirlos en el informe.
En el mercado hay varias herramientas, pero yo me he decantado por
MiniTool, una herramienta sencilla y eficaz.
Para utilizar deberemos ejecutarla y pulsar sobre undelete recovery
una vez hecho nos saldr otra pantalla en la que deberemos elegir el
disco sobre el que hacer la recuperacin, en este caso el disco D: , y
pulsaremos sobre recover

Una vez hecho esto, nos aparecern los archivos que fueron borrados (en
este caso los impares) y deberemos guardarlos, obviamente, en otro disco
para no sobrescribir datos. Para ello seleccionaremos todos los archivos y
pulsaremos sobre save file y elegimos la unidad donde queremos
guardarlo, importante, como ya se ha dicho no guardarlos en el mismo
disco del que fueron recuperados.

RECUPERACION DE EXTENSION

Cuando clonamos un disco puede que no salgan las extensiones, y es

algo que deberamos saber.
Para ello disponemos de varias herramientas, primero prob con Trid,
pero por motivos an desconocidos, no funciona correctamente, por lo
cual tuve que usar P10XB, es un programa algo ms pesado, debido a que
debes ir comprobando archivo tras archivo, pero dado que son pocos, nos
sirve.
Usarlo es bastante sencillo, simplemente deberemos ejecutarlo, y pulsar
en abrir, elegimos el archivo, y listo, nos dir que extensin es.

ANALISIS DE DISCO ENTREGADO

Se me entrego la imagen del disco duro de Juan Manuel Gutirrez

Ruiz.
Proceder a montar la imagen, analizar en busca de archivos
borrados, y analizar todas las extensiones de sus archivos (borrados o
no).

M O N TA J E D E I M A G E N

Para montar la imagen usamos el programa OSFMount, que como ya

sabemos al pulsar sobre new mount nos permite elegir la ubicacin del
archivo de imagen, y montarla.

Cuando la imagen est montada, nos aparece en el recuadro de inicio

R E C U P E R A R A R C H I VO S B O R R A D O S

Cuando tenemos ya la imagen montada, podemos proceder a

recuperar los archivos borrados.
Para ello usaremos la herramienta miniTool.
Bastara con iniciar el programa, pulsar sobre la unidad en cuestin,
en este caso D , y sobre recover en ese momento analizara el disco
duro, y si se borr algo, lo recuperara.
En este caso recupero 6 archivos, que a continuacin se guardaron en
otro disco (para no sobrescribir los datos) y se analizaron en busca de su
extensin.

A N A L I S I S D E E X TE N S I N

Ahora bien, recuperar los archivos es muy importante pero saber su

extensin tambin es necesario. Para ello usaremos herramienta P10XB.
Esta herramienta es un poco lenta pues debes ir archivo por archivo,
pero como eran pocos archivos no hay problema.
Los datos recopilados fueron los siguientes:
F1.Desconocido
_01.MP3
_02.MP3
F3.Desconocido
_04.JPG
F5.Desconocido
_06.ZIP
F7.PDF
_08.PNG
F9.PPT
_10.ZIP