Un caso práctico de informática forense.

A continuación pretendo mostrar un caso de análisis de informática forense aplicado a un diskette. Dicho diskette contiene información oculta de diferentes formas, y lo interesante de este caso son los pasos que se realizan para recuperar dicha información. También se pretende llevar un orden en la descripción de los pasos y la estructura del documento tal como seria en un caso presentado en un juicio.

En el análisis se utilizan herramientas Open  Source bajo plataforma Linux.

Luego de la asignación de la carátula con el número de caso y la institución donde se lleva adelante, se proceden con los siguientes elementos:

  • I- ELEMENTO ADQUIRIDO:
  • II- DESCRIPCION DEL ELEMENTO
  • III- OBJETIVOS
  • IV- DESARROLLO DE LA PERICIA
  • V- CONCLUSIONES
  • VI- ANEXOS
  • VII- GLOSARIO DE TERMINOS
  • VIII- HERRAMIENTAS UTILIZADAS EN LA PERICIA

 

I – ELEMENTO ADQUIRIDO.

 Se adquirió una imagen del diskette secuestrado y se proporcionó el siguiente valor hash: MD5 = b676147f63923e1f428131d59b1d6a72

El mismo se utiliza para verificar su estructura original.

II – Descripción del elemento.

La imagen es un archivo que posee exactamente los bytes originales del diskette secuestrado. Imágen: image

III – Objetivos.

El objetivo de la siguiente pericia es proporcionar toda la información que se pueda obtener del diskette al juez de la causa de acuerdo a las siguientes preguntas formuladas por el mismo.

¿Quién es el proveedor de marihuana de Joe Jacob’s?

¿Qué dirección posee dicho proveedor?

¿Hay alguna otra escuela secundaria además de la Smith Hill que Joe Jacob’s frecuente?

IV – Desarrollo de la pericia.

El primer paso para comenzar con el análisis forense fue cargar la imagen del  diskette en el programa de análisis, en el cual se calculó el valor Hash MD5, tal como se muestra en la siguiente imagen:

  

Luego se procedió a ver los archivos que contenía el diskette, dando como resultado que existían 3 archivos, de los cuales 1 se había eliminado. A continuación se muestra el detalle en la imagen:

A primera vista se observan los siguientes archivos que resultan de interes :

Cover_page.jpgc

Jimmy_jungle.doc (que fue eliminado)

Scheduled Visits.exe

Posteriormente serán analizados en profundidad.

 

Ahora procedemos a analizar los detalles del diskette, como lo es el «File system imformation», «FAT Contents», etc. En las siguientes dos imagenes se muestra como se organiza la estructura de datos dentro del diskette.

 

En la sección «FAT CONTENTS», nos indicas los sectores del diskette que contienen datos correspondientes a los archivos.

Análisis del archivo Cover_page.jpgc

Al realizar el análisis de este archivo, nos dirijimos a la entrada en la FAT para ver los detalles del archivo.

 

Al proceder a exportar el contenido del archivo, para intentar abrirlo nos damos cuenta que se encuentra corrupto ya que no se puede mostrar. Al analizar el sector que se indica en la FAT, nos damos cuenta que no posee datos grabados.

El tamaño que se indica en la FAT para este archivo es de 15585 bytes. En el sistema de archivos FAT 12, el tamaño de los sectores es de 512 bytes. Entonces el archivo debería ocupar 31 sectores ((15585 + 511)/512 =31 ).

Como en el análisis del FAT CONTENTS encontramos un área de 31 sectores que va desde el sector 73 al 103, procedemos a realizar un análisis de ese grupo de sectores:

 

 

Inmediatamente el sistema reconoce que el conjunto de bytes que se encuentra grabados en la imagen del disco, pertenece a una imagen JPG.

Al proceder con la exportación de de dichos bytes, podemos obtener la imagen que se encontraba grabada en el diskette.

 

 

 

 

 

 

 

A continuación procederemos a recuperar el archivo Jimmy_jungle.doc que fue eliminado, exportando los sectores que corresponden al archivo. Al recuperar el archivo, podemos leer correcatamente el mismo con cualquier editor de textos que soporte el formato de archivo «.doc».

A ver el contenido del archivo podemos encontrar diferente información que resulta muy interesante para esta pericia. En dicho archivo contiene una carta que menciona al proveedor de drogas y la dirección del mismo. 

Análisis del archivo Scheduled Visits.exe

Como podemos ver a continuación se nos indica que el archivo está compuesto por los sectores 104 y 105 y además el sistema nos advierte que el archivo corresponde a un archivo «.ZIP» y no a uno «.EXE».

Al proceder con la exportación de contenido e intentar abrir el archivo, el sistema operativo de que dicho archivo se encuentra corrupto.

Realizando nuevamente un análisis en las áreas que contienen datos dentro del diskette, se puede ver que existen datos grabados desde el sector 104 a 108, por lo cual procedemos a extraer dicho conjunto de sectores.

De esta forma obtenemos un archivo «.ZIP» y ahora el sistema si nos permite acceder al archivo Scheduled Visits.exe y lo renombramos a Scheduled Visits.zip. Cuando este archuvo es abierto vemos que en su interior contiene al archivo Scheduled Visits.xls, pero al tratar de extraerlo, el sistema nos solicita una clave de acceso. Dicha clave de acceso es «goodtimes» y fue obtenida analizando los últimos bytes que componen la imagen «Cover_page.jpgc», que pudieron ser agregados intencionalmente con alguna herramienta informática que permita dicho cometido, dicha secuencia de caracteres se puede observar en el anexo de detalles del archivo, «Cover_page.jpgc» sobre el final del contenido. Cuando se procesa una archivo con extención «.jpg», los bytes que se encuentren al final y no representen datos conocidos para el formato, éstos son omitidos, con lo cual se puede observar el contenido de la imagen sin advertir que hay datos incorrectos.

Luego al introducir la clave de acceso correcta, se pudo observar el archivo Scheduled Visits.xls que contenía una lista de escuelas secundarias asociadas a diferentes fechas. 

V – Conclusiones.

De acuerdo al análisis realizado se pudo obtener la siguiente información que responde a las preguntas realizadas.

El proveedor de drogas de Joe Jacob´s es Jimmy Jungle.

La dirección del proveedor que se puede observar en los documentos analizados es:

626 Jungle Ave Apt 2 Jungle, NY 11111, que correspondería a Jimmy Jungle.

También se puede apreciar que en el diskette se han utilizado diferentes técnicas para el ocultamiento de la información, por ejemplo agregando bytes a la imagen. Modificando la FAT para indicar que el archivo comienza en un sector incorrecto o está compuesto por una cantidad errónea de sectores. Se ha modificado la extensión del archivo comprimido pasando de «ZIP» a «EXE».

Por otro lado aparece una lista con otras escuelas secundarias, que posiblemente fueran visitadas son:

Month DAY HIGH SCHOOLS
2002    
April Monday (1) Smith Hill High School (A)
  Tuesday (2) Key High School (B)
  Wednesday (3) Leetch High School (C)
  Thursday (4) Birard High School (D)
  Friday (5) Richter High School (E)
  Monday (1) Hull High School (F)
  Tuesday (2) Smith Hill High School (A)
  Wednesday (3) Key High School (B)
  Thursday (4) Leetch High School (C)
  Friday (5) Birard High School (D)
  Monday (1) Richter High School (E)
  Tuesday (2) Hull High School (F)
  Wednesday (3) Smith Hill High School (A)
  Thursday (4) Key High School (B)
  Friday (5) Leetch High School (C)
  Monday (1) Birard High School (D)
  Tuesday (2) Richter High School (E)
  Wednesday (3) Hull High School (F)
  Thursday (4) Smith Hill High School (A)
  Friday (5) Key High School (B)
  Monday (1) Leetch High School (C)
  Tuesday (2) Birard High School (D)
May    
  Wednesday (3) Richter High School (E)
  Thursday (4) Hull High School (F)
  Friday (5) Smith Hill High School (A)
  Monday (1) Key High School (B)
  Tuesday (2) Leetch High School (C)
  Wednesday (3) Birard High School (D)
  Thursday (4) Richter High School (E)
  Friday (5) Hull High School (F)
  Monday (1) Smith Hill High School (A)
  Tuesday (2) Key High School (B)
  Wednesday (3) Leetch High School (C)
  Thursday (4) Birard High School (D)
  Friday (5) Richter High School (E)
  Monday (1) Hull High School (F)
  Tuesday (2) Smith Hill High School (A)
  Wednesday (3) Key High School (B)
  Thursday (4) Leetch High School (C)
  Friday (5) Birard High School (D)
  Monday (1) Richter High School (E)
  Tuesday (2) Hull High School (F)
  Wednesday (3) Smith Hill High School (A)
  Thursday (4) Key High School (B)
  Friday (5) Leetch High School (C)
June    
  Monday (1) Birard High School (D)
  Tuesday (2) Richter High School (E)
  Wednesday (3) Hull High School (F)
  Thursday (4) Smith Hill High School (A)
  Friday (5) Key High School (B)
  Monday (1) Leetch High School (C)
  Tuesday (2) Birard High School (D)
  Wednesday (3) Richter High School (E)
  Thursday (4) Hull High School (F)
  Friday (5) Smith Hill High School (A)
  Monday (1) Key High School (B)
  Tuesday (2) Leetch High School (C)
  Wednesday (3) Birard High School (D)
  Thursday (4) Richter High School (E)
  Friday (5) Hull High School (F)
  Monday (1) Smith Hill High School (A)
  Tuesday (2) Key High School (B)
  Wednesday (3) Leetch High School (C)
  Thursday (4) Birard High School (D)
  Friday (5) Richter High School (E)

 

VI – Anexos.

A continuación se adjuntan los detalles de los archivos analizados. Dichos detalles fueron generados por la herramienta de análisis forense.

Detalles del archivo Cover_page.jpgc

detalle-archivo-imagen 

Detalles del archivo Jimmy_jungle.doc

detalle-archivo-doc

Detalles del archivo Scheduled Visits.exe

detalle-archivo-exe

VII – Glosario de términos

 

FAT: Tabla de Asignación de Archivos, en inglés, File Allocation Table (FAT) es un sistema de archivos desarrollado para MS-DOS, así como el sistema de archivos principal de las ediciones no empresariales de Microsoft Windows hasta Windows Me.

FAT12: La versión inicial de FAT se conoce ahora como FAT12. Es un sistema de archivos para diskette.

Hash: En informática, Hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.

Imagen: es un archivo donde se almacena una copia o imagen exacta de un sistema de ficheros.

MD5: En criptografía, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado.

JPG: es un método comúnmente utilizado para la compresión de imágenes fotográficas. Además de ser un método de compresión, es a menudo considerado como un formato de archivo. JPEG/Exif es el formato de imagen más común utilizado por las cámaras fotográficas digitales y otros dispositivos de captura de imagen, junto con JPEG/JFIF, que también es otro formato para el almacenamiento y la transmisión de imágenes fotográficas en la World Wide Web

EXE: En el ámbito de la informática EXE (de la abreviación del inglés executable, que se traduce en ejecutable) es una extensión que se refiere a un archivo ejecutable de código reubicable, es decir, sus direcciones de memoria son relativas

ZIP: es un formato de almacenamiento muy utilizado para la compresión de datos como imágenes, música, programas o documentos. Para este tipo de archivos se utiliza generalmente la extensión «.zip».

DOC: Microsoft Word utiliza un formato nativo cerrado y muy utilizado, comúnmente llamado DOC (utiliza la extensión de archivo .doc). Por la amplísima difusión del Microsoft Word, este formato se ha convertido en estándar de facto con el que pueden transferirse textos con formato

 

VIII – Herramientas utilizadas en la pericia.

 

Herramienta forense:

  • Autopsy Version: 2.08
  • The Sleuth Kit Version: 2.09

 Sistema operativo:

  •  Ubuntu 8.04

 Procesador de texto:

  •  Oppen Office v 2.3.1

Dicho análisis fue llevado adelante a partir del caso presentado en la página www.honeynet.org que se encarga de presentar diferentes hechos para el análisis forense de la información.

Espero que les sea útil a todos aquellos que se dedican a la informática y requieren de información sobre éste tipo de análisis.

Saludos.

Etiquetado con: , , ,

6 comentarios en «Un caso práctico de informática forense.»

  1. Hola como primera medida te agradesco por el aporte pero te hago dos preguntas la primera como hacer para decodificar la imagen osea para que se pueda ver como imagen normal o con la capa de ilusion que se ve en el sistema operativo y la segunda como hacer para recuperar el archivo que esta en .exe

    gracias

  2. Most I can state is, I’m not sure what to really say! Except unquestionably, for the superb recommendations that come about to be shared employing this blog site. I’m able to consider a thousand exciting solutions to examine the articles on this site. I’m guaranteed I’ll ultimately choose a action employing your guidelines on spots I could in no way are ready to take care of alone. You will be so thorough to permit me being certainly one of these to income from your valuable info. Make sure you see how a great deal I recognize it.

  3. Quiero descargar el archivo del link image, pero no me da acceso. Quiero hacer el ejercicio de este caso práctico. Donde lo puedo conseguir. Gracias.

    Saludos.

  4. Buenas tardes!!! no me descarga el archivo del link image; como alguien me puede decir como lo consigo???

    Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.