Asignatura

Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Actividades
Trabajo: Recuperacin de ficheros eliminados
El objetivo de esta actividad es ver y entender de manera prctica lo que se ha explicado
a lo largo del tema. Durante el desarrollo de la misma, has de recuperar de manera

manual, tal y como se explica en el apartado 2.5 Ejemplo de recuperacin de un

archivo eliminado, el archivo eliminado dentro de una particin FAT32 y visualizar los
metadatos asociados a dicho archivo.

Antes de comenzar, es recomendable leer el artculo How FAT Works. En especial el

apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
entradas del directorio raz de una particin FAT. El artculo est disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29

Para realizar la prctica, podis utilizar el software que creis conveniente, aunque se

recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
que permita el clculo de hashes). Para el anlisis de los metadatos podis utilizar
ExifTool, o la herramienta online Metashield Analyzer1.
Para realizar la prctica debis hacer lo siguiente:

Calcular el SHA1 del archivo facilitado para realizar la prctica (VHD03.E01).

Obtener mediante Winhex y haciendo uso de las plantillas incluidas:
o
o
o
o
o

Nombre y extensin del archivo eliminado.

Fecha de creacin, modificacin y ltimo acceso.

Tamao del archivo.

Clster inicial.

El offset inicial y final del archivo.

Recuperar el archivo eliminado.

Calcular el SHA1 del archivo recuperado.

Obtener los metadatos asociados al archivo recuperado.

https://metashieldanalyzer.elevenpaths.com/

TEMA 2 Actividades

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Contestaciones a cada una de las cuestiones planteadas en el enunciado.

1.- Calcular el SHA1 del archivo facilitado para realizar la prctica (VHD03.E01)
Para calcular el SHA1 del archivo VHD03.E01 he usado la herramienta HashMyfiles. Lo
nico que he hecho ha sido ejecutar el programa indicado y abrir el archivo.

El resultado obtenido es el siguiente.

TEMA 2 Actividades

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Incluyo el contenido del resultado anterior al exportarlo a un fichero de texto.

==================================================
Filename
MD5

SHA1

CRC32

: VHD03.E01

: 96a11c5ae458e32a41a907577ff8b7fe

: c46824c453e639f6771cf45f3008c1a98cac5c3c
: 5df21db9

SHA-256

: a96e69c3fa6bc902682ebe01abe729c835d65bb1a69fb99396efbcf7e7a4b53a

SHA-512

78b57305a7b2c4df38e1f7cb6df7941a4431ad48a3274e0c1ef2585aa55e1607da80ffd5a5526241d5b40004d3
0fa3d54c5a6b0910f8b364aae988689cdd9463
SHA-384

e279d82b846c6d17f78485adbd1acda2b9800b30e88b74a7e6f6af10edeeea0d0f0c9f26ad23abe46cac529df
b5468e9

Full Path

: C:\Users\jcgalan\Desktop\forense - 1\VHD03.E01

Modified Time

: 04/05/2015 12:17:40

Created Time
File Size

File Version

: 31/05/2016 8:31:45

: 4.779.148
:

Product Version :
Identical

Extension

: E01

File Attributes : A

==================================================

TEMA 2 Actividades

Asignatura
Anlisis forense

Datos del alumno

Fecha

Apellidos: Galn Mndez

02 de junio de 2016

Nombre: Juan Carlos

2.- Obtener mediante Winhex y haciendo uso de las plantillas incluidas:

o
o
o
o
o

Nombre y extensin del archivo eliminado.

Fecha de creacin, modificacin y ltimo acceso.

Tamao del archivo.

Clster inicial.

El offset inicial y final del archivo

A continuacin describir los pasos dados para la recuperacin del archivo, dando lo
resultados a las cuestiones planteadas.
Lo

primero

Imagen.

es

montar

la

imagen

que

tenemos

usando

para

ello

FTK

Seleccionamos el fichero dejando las distintas opciones por defecto, ya que son las que
nos interesan, y pulsamos el botn de montar.

TEMA 2 Actividades

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

A continuacin se ve el resultado. Tenemos la parte fsica y la parte lgica. Esta ltima

se ha montado sobre la unidad D, por lo que si fusemos al explorado de archivos

podramos ver dicha unidad.

TEMA 2 Actividades

Asignatura
Anlisis forense

Datos del alumno

Fecha

Apellidos: Galn Mndez

02 de junio de 2016

Nombre: Juan Carlos

Si se aaden todos las evidencias (desde el men File) en el programa se pueden

visualizar las particiones y la unidad montada. Adems ya se puede ver el tipo de

fichero

TEMA 2 Actividades

parte

de

su

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

nombre.

En la siguiente imagen se puede ver el fichero en la estructura de directorio que se ha

creado. Hacer NOTAR que las unidades lgicas son distintas porque esta parte de
visualizacin la hice en un paso posterior al uso del WinHex, de ah que al volver a
montar la imagen uso otra unidad lgica (y por tanto, otra letra)

TEMA 2 Actividades

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Fecha
02 de junio de 2016

Nombre: Juan Carlos

En la siguiente se puede visualizar el fichero con el FTK Imagen, antes de empezar a

hacer

WinHex.

los

pasos

de

recuperacin

con

Con esta herramienta ya podemos ver el fichero que se recuperar con WinHex.

TEMA 2 Actividades

el

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Se abre ahora el programa WinHex, dejando abierto FTK Imagen, para poder ver el
dispositivo montado. Y abrimos el disco.

Siempre que se puede se trabajar sobre disco fsico. En este caso podemos y lo
seleccionamos. Nos sale una primera pestaa donde aparece la particin que debemos

TEMA 2 Actividades

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Fecha
02 de junio de 2016

Nombre: Juan Carlos

clickar.

Aparece una nueva pestaa, donde sale el directorio raiz y el archivo que se debe
recuperar, como se vea con FTK Imager. Ahora deberemos ver su tamao, donde
empieza

hacer

los

clculos

para

poder

recuperarlo.

En la siguiente imagen se ha remarcado los datos referentes al cluster de inicio y al

tamao, as como el atributo referido a que el archivo ha sido eliminado (E5).

TEMA 2 Actividades

10

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Aplicamos las plantillas sobre el archivo dndonos como resultado lo que se puede
visualizar en las siguientes imgenes

TEMA 2 Actividades

11

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Para situarnos al principio del fichero abrimos el men Ir al Sector del men
Navegacin. Ah pondremos 3 que nos situar al principio de la posicin de inicio del

archivo. Este valor es el que aparece en la imagen anterior, y que ha sido remarcado en
verde.

TEMA 2 Actividades

12

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Nos situa al principio del pichero pero el offset que marca est en hexadecimal.
Hacemos oblre clic sobre el dato para que pase a decimal.

Ese es el valor de comienzo del fichero a recuperar. A este valor le tenemos que sumar
el valor del tamao que hemos obtenido anteriormente para obtener el final del
archivo.

4194816 + 4704570 = 8899386

De esta forma tendremos el inicio y final para definir el bloque

TEMA 2 Actividades

13

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Al aceptar marcar el bloque de otro color para indicar la parte seleccionada.

En la siguiente imagen he destacado los valores que se han seleccionado.

TEMA 2 Actividades

14

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

En este momento lo que haramos sera Hacer la copia del bloque en un archivo nuevo
desde el men Edicin, pero al tratarse de una versin del programa limitada no deja
recuperar bien el fichero.

Segn lo que se puede ver en la plantilla de WinHex, los datos asociados al fichero son

los siguientes. Hacer notar que no parece muy coherente que la fecha de creacin sea
posterior a la de modificacin, e incluso por un segundo con la de ltimo acceso.

Nombre

extensin

TEMA 2 Actividades

del

archivo Madrid.jpg

15

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

eliminado.

Fecha de creacin, modificacin y ltimo Creacin: 04/05/2015 14:16

acceso.

Modificacin: 04/05/15 - 8:53

Tamao del archivo.

4.704.570 Bytes

El offset inicial y final del archivo

4194816 - 8899386

Clster inicial.

TEMA 2 Actividades

ltimo acceso: 04/05/15 - 14:15

16

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

3.- Recuperar el archivo eliminado

Para recuperar el fichero he usado el programa FTK Imagen, con la idea de poder
obtener el sha1 y los metadatos que se piden en las siguientes preguntas. El motivo lo
he explicado en el punto anterior Lo adjunto como uno de los archivos resultado de la
actividad.

4.- Calcular el SHA1 del archivo recuperado

Para obtener el SHA1 hago lo mismo que en el primer punto.

A continuacin incluyo el texto que se puede obtener con el programa en formato txt
==================================================
Filename
MD5

SHA1

CRC32

: Madrid.jpg

: 61f38ca07eefedbff0019f401ee6bf22

: abdc38398b9c36b4e846f061cbf7044b613ab906

SHA-256

: 7fa8ad6e

: cb93f6ec1035903f8f26c3521d8feec70a3e643f52d411113f0fedccb35e5080

SHA-512

88aa011f0be30ac53020cddb9feab566d6d4490e9e0cea1efc9edd575aca9b2f036d86776656c007
562e1cc5ea53afdc04d1c328e9134e06d08ccb8964999120
SHA-384

50e6bd03e9bc879d09538eba3d99431ffc1ae99f73ec99d6a65e3c49a5d0b243f8f5567abd51ce336
c7a2eeeaa93389c
Full Path

: C:\Users\user\Desktop\forense - 1\Madrid.jpg

Modified Time
Created Time

: 04/05/2015 16:15:30

: 01/06/2016 16:03:04

TEMA 2 Actividades

17

Asignatura
Anlisis forense

File Size

File Version

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

: 4.704.570
:

Product Version :
Identical

Extension

: jpg

File Attributes : A

==================================================

NOTA: Como ha dicho un compaero y que tambin coment en su momento, ya que

no saba qu comparar con qu, precisamente para poder valorar si se trataba del
mismo fichero, los hash del primer punto y del ltimo no son iguales. Entiendo que se
debe precisamente a que el hash que se obtiene es de ficheros totalmente diferentes. El

primero contiene metadatos (segn ha comentado en la clase de refuerzo) por lo que

no tiene porque coincidir con el del archivo recuperado. Por otra parte, comentar que
tambin hice el clculo con el Fciv, por si se estaba dando un fallo en el clculo. Pero
me remito a lo que ha comentado en clase.

TEMA 2 Actividades

18

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

5.- Obtener los metadatos asociados al archivo recuperado

Para obtener los metadatos del archivo recuperado uso el programa exiftool. Para ello
abro un prompt del sistema y me voy a la carpeta donde est el programa y el archivo.

Escribo exiftool.exe Madrid.jpg y me muestra por la misma ventana el resultado.

TEMA 2 Actividades

19

Asignatura
Anlisis forense

Datos del alumno

Apellidos: Galn Mndez

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Como el resultado es largo, lo que hago es volverlo a ejecutar pero redireccionando la

salida a un fichero txt.

TEMA 2 Actividades

20

Asignatura

Datos del alumno

Apellidos: Galn Mndez

Anlisis forense

Nombre: Juan Carlos

Fecha
02 de junio de 2016

Repito la ejecucin del programa pero redirigiendo la salida de la ejecucin a un fichero

de texto, como se puede ver en la lnea de comandos. A continuacin incluyo el
resultado de este fichero.
ExifTool Version Number
File Name
Directory
File Size

: 10.18

: Madrid.jpg

:.

: 4.5 MB

File Modification Date/Time

File Access Date/Time

File Creation Date/Time

File Permissions
File Type

File Type Extension

MIME Type

: 2015:05:04 16:15:30+02:00

: 2016:05:31 11:16:43+02:00

: 2016:05:31 11:16:43+02:00

: rw-rw-rw-

: JPEG

: jpg

: image/jpeg

TEMA 2 Actividades

21

Asignatura

Datos del alumno

Apellidos: Galn Mndez

Anlisis forense

Nombre: Juan Carlos

Exif Byte Order

: Big-endian (Motorola, MM)

Image Description

: Plaza Mayor de Madrid

Make

: NIKON CORPORATION

Camera Model Name

: NIKON D60

Orientation

: Horizontal (normal)

Y Resolution

: 300

X Resolution

: 300

Resolution Unit

: inches

Software

: Ver.1.00

Modify Date

: 2008:08:22 21:07:44

Artist

: Lourdes Martnez

Y Cb Cr Positioning

: Co-sited

Exposure Time

: 1/60

F Number

Exposure Program
ISO

Exif Version

: 3.5
: 1600

: 0221

Date/Time Original

: 2008:08:22 21:07:44

Create Date

: 2008:08:22 21:07:44

Components Configuration
Compressed Bits Per Pixel
Exposure Compensation
Max Aperture Value
Metering Mode
Flash

Focal Length

: Not Defined

: Y, Cb, Cr, -

:4

:0

: 3.5

: Multi-segment

: Auto, Fired, Return detected

Maker Note Version

Color Mode
Quality

White Balance
Focus Mode

Flash Setting
Flash Type

: 18.0 mm
: 2.10

: Color

: Fine

: Auto

: AF-A

: Normal

: Built-in,TTL

White Balance Fine Tune

WB RB Levels

:00

: 1.7421875 1.3515625 1 1

Program Shift

:0

Compression

: JPEG (old-style)

Exposure Difference
Preview Image Start

TEMA 2 Actividades

: -3.3

: 8198

22

Fecha
02 de junio de 2016

Asignatura

Datos del alumno

Apellidos: Galn Mndez

Anlisis forense

Nombre: Juan Carlos

Preview Image Length

: 1600

Image Boundary

02 de junio de 2016

: 21706

Flash Exposure Compensation

ISO Setting

Fecha

:0

: 0 0 3872 2592

External Flash Exposure Comp : 0

Crop Hi Speed

: Off (3904x2616 cropped to 3904x2616 at pixel 0,0)

VR Info Version

: 0100

Serial Number

: 6030201

Vibration Reduction

: On

VR Mode

: Normal

Time Zone

: +01:00

Active D-Lighting
Daylight Savings

: Off

Date Display Format

ISO Expansion
ISO2

ISO Expansion 2
Tone Comp
Lens Type
Lens

Flash Mode

AF Area Mode
AF Point

AF Points In Focus
Shooting Mode
Color Hue

Light Source

Shot Info Version

: Yes

: D/M/Y

: Off

: 1600

: Off

: Auto

: G VR

: 18-55mm f/3.5-5.6

: Fired, TTL Mode

: Dynamic Area (closest subject)

: Center

: Center

: Continuous

: Mode3a

: Speedlight
: 0211

Hue Adjustment

:0

Noise Reduction

: Off

WB RGGB Levels

: 446 256 256 346

Lens Data Version

Exit Pupil Position

AF Aperture

Focus Position

Focus Distance

Lens ID Number
Lens F Stops

Min Focal Length

: 0202

: 97.5 mm

: 3.6

: 0x06

: 3.35 m
: 154

: 5.33

TEMA 2 Actividades

: 18.3 mm

23

Asignatura

Datos del alumno

Apellidos: Galn Mndez

Anlisis forense

Nombre: Juan Carlos

Max Focal Length

: 55.0 mm

Max Aperture At Min Focal

: 3.6

Max Aperture At Max Focal

: 5.7

MCU Version

: 156

Sensor Pixel Size

: 6.05 x 6.05 um

Image Data Size

: 4664513

Effective Max Aperture

: 3.6

Retouch History

: None

Shutter Count

Flash Info Version

Flash Source

: 1153

: 0102

: Internal

External Flash Firmware

: n/a

External Flash Flags

: (none)

Flash Control Mode

: iTTL-BL

Flash Commander Mode

: Off

Flash Compensation

:0

Flash GN Distance

:0

Flash Group A Control Mode

: Off

Flash Group B Control Mode

: Off

Flash Group C Control Mode

: Off

Flash Group B Compensation

:0

Flash Group A Compensation

:0

Flash Group C Compensation

Image Optimization
Vari Program

Multi Exposure Version

: Auto

: 0100

Multi Exposure Mode

: Off

Multi Exposure Shots

Multi Exposure Auto Gain

:0

: Off

High ISO Noise Reduction

Power Up Time

File Info Version

Memory Card Number

Directory Number
File Number

Retouch Info Version

User Comment
Sub Sec Time

Sub Sec Time Original

:0

: Minimal

: 2008:08:22 20:45:49

: 0100

:0

: 100

: 0035
:

: 0100

: 30

TEMA 2 Actividades

: 30

24

Fecha
02 de junio de 2016

Asignatura

Datos del alumno

Apellidos: Galn Mndez

Anlisis forense

Nombre: Juan Carlos

Sub Sec Time Digitized

Flashpix Version
Color Space

: 30

: 0100

: 3872

Exif Image Height

: 2592

Interoperability Version
Sensing Method
File Source

: 0100

: One-chip color area

: Digital Camera

Scene Type

: Directly photographed

CFA Pattern

: [Green,Blue][Red,Green]

Custom Rendered

: Normal

Exposure Mode

: Auto

Digital Zoom Ratio

:1

Focal Length In 35mm Format

Scene Capture Type
Gain Control
Contrast

: Standard

: High gain up

: Normal

Sharpness

: Normal

Subject Distance Range

Offset Schema
XP Title

: Madrid;Plaza Mayor

Padding

: (Binary data 2060 bytes, use -b option to extract)

Thumbnail Offset

: 30206

Thumbnail Length

: 5546

About

: uuid:faf5bdd5-ba3d-11da-ad31-d33d75182f1b

Rating

:5

Warning

: [minor] Fixed incorrect URI for xmlns:MicrosoftPhoto

Last Keyword XMP

Description

Image Width

Image Height

Encoding Process

: 4210

: Lourdes Martnez

XP Keywords

Title

: Unknown

: Plaza Mayor de Madrid

XP Author

Subject

: 27 mm

: Normal

Saturation

Creator

02 de junio de 2016

: sRGB

Exif Image Width

Rating Percent

Fecha

: 99

: Madrid, Plaza Mayor

: Lourdes Martnez

: Madrid, Plaza Mayor

: Plaza Mayor de Madrid

: Plaza Mayor de Madrid

: 3872

: 2592

TEMA 2 Actividades

: Baseline DCT, Huffman coding

25

Asignatura

Datos del alumno

Apellidos: Galn Mndez

Anlisis forense

Nombre: Juan Carlos

Bits Per Sample

Y Cb Cr Sub Sampling
Aperture

Blue Balance

Megapixels

:3

: YCbCr4:2:2 (2 1)

: 3.5

: 1.351563

Image Size
Lens

02 de junio de 2016

:8

Color Components

Lens ID

Fecha

: 3872x2592

: AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G

: 18-55mm f/3.5-5.6 G VR

Preview Image

: 10.0

: (Binary data 21706 bytes, use -b option to extract)

Red Balance

: 1.742188

Shutter Speed

: 1/60

Scale Factor To 35 mm Equivalent: 1.5

Create Date

: 2008:08:22 21:07:44.30

Modify Date

: 2008:08:22 21:07:44.30

Date/Time Original
Thumbnail Image

Circle Of Confusion
Depth Of Field
Field Of View
Focal Length

Hyperfocal Distance
Light Value

: 2008:08:22 21:07:44.30

: (Binary data 5546 bytes, use -b option to extract)

: 0.020 mm

: 10.06 m (1.95 - 12.00 m)

: 67.1 deg (4.44 m)

: 18.0 mm (35 mm equivalent: 27.0 mm)

: 5.5

TEMA 2 Actividades

: 4.62 m

26