Metadatos
Metadatos
Metadatos
Actividades
Para realizar la práctica, podéis utilizar el software que creáis conveniente, aunque se
recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
que permita el cálculo de hashes). Para el análisis de los metadatos podéis utilizar
ExifTool, o la herramienta online Metashield Analyzer1.
Para proceder al cálculo del SHA1 (Segure Hash Algoritm 1) función criptográfica que
toma una entrada y produce un valor hash de 160 bits conocido como resumen del
mensaje se ha utilizado la herramienta HashMyfiles, de este modo ejecutando el
programa y abriendo el archivo se obtiene la siguiente figura con los datos obtenidos
por medio de la herramienta:
1
https://metashieldanalyzer.elevenpaths.com/
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
Finalmente, FTK Imagen permite la visualización del fichero previo antes de realizar
los pasos de recuperación de la imagen con la herramienta WinHex, por lo que dicha
herramienta pre visualiza el fichero que será recuperado con WinHex:
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
La siguiente imagen que se muestra a continuación contiene por tanto los datos que
hacen referencia al cluster de inicio y al tamaño, referenciando también el atributo que
hace referencia al archivo eliminado (E5):
En este momento son aplicadas las plantillas sobre el archivo anterior ofreciendo el
resultado que se muestra en las siguientes figuras:
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
En la siguiente imagen se puede comprobar que aparecen los datos tanto del nombre
como de la extensión (Filename, Extensión),también las fechas de creación,
modificación y último acceso y cluster inicial, offset inicial y final:
En este momento se procede a buscar el fichero por lo que desde el mení “Ir al Sector”
del menú “Navegación” con el valor 3 obtenido en el cluster nos situamos en la posición
inicial del archivo ya que es quien lo marca:
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
Con los valores de offset se define el tamaño y así el bloque queda marcado de otro
color como se muestra a continuación. El valor del tamaño final del archivo será de los
valores de offset del bloque 4194816 +4704570 = 8899386
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
En este momento se procede a obtener la copia del bloque en un archivo nuevo desde el
menú de edición lo que no es posible debido a la que versión de evaluación del
programa no puede guardar archivos mayores de 200 KB.
Por tanto, los datos obtenidos son los que se observan en la figura 11.
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Análisis forense 22/01/2018
Nombre: Lorena
Una vez se ha llegado a este punto, se procede a obtener los metadatos del archivo
recuperado utilizado el programa exiftool, se accede a la carpeta donde se encuentra
dicho programa y el archivo en cuestión:
TEMA 2 – Actividades