. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 1� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
Herramientas de Análisis Forense para el Ambiente Windows. Objetivos: Esta práctica es la base de otras que se realizarán posteriormente. Su objetivo es mostrar las bondades y utilización de la herramienta de Análisis Forense: EnCase, de Guidance Software. Ambiente de Trabajo: Windows Herramientas a Utilizar: EnCase. Autor: Reinaldo Mayol Arnao
Primera Parte. Familiarización con la Herramienta Desarrollo:
1- Instale la herramienta siguiendo las instrucciones del facilitador. Asegúrese de seguir fielmente las indicaciones.
2- Ejecute la herramienta desde el directorio donde la instaló.
3- La herramienta debe “levantar” y Ud. verá una interfaz como la siguiente.
(Obviamente el contendido de cada unidad puede variar). Haga una previsualización (Preview) de la unidad CD. Asegúrese tener el disco que le ha entregado el instructor dentro de esa unidad.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 2� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 3� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
4- Explore las opciones: Table. Gallery, Timeline y Report. Comente con el instructor lo encontrado en cada opción y su importancia para el análisis forense.
Espacio para sus anotaciones: _________________________________________.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 4� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 5� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
Compare las fechas de creación, modificación y Escritura. ¿Que significa este número?
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 6� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
Cambio de resolución de la escala de tiempo. Click Derecho
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 7� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
5- Marque uno de los archivos encontrados (en la opción TABLE)
6- Vaya a la opción Bookmark. Comente los resultados con el instructor Espacio para sus anotaciones: _________________________________________.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 8� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
7- Marque el archivo seleccionado y presione el botón derecho del ratón y comente con el instructor las opciones y su importancia para el análisis forense.
Espacio para sus anotaciones: _________________________________________.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 9� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
8- Regrese a la opción CASE y vaya a la zona inferior de la pantalla y explore cada uno de las opciones posibles.
9- Note el inicio de un archivo cualquiera. ¿Puede inferir de que se trata? ¿ Que
importancia puede darle a este hallazgo?
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 10� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
10- Dentro de los datos disponibles marque una zona de su interés, presione el botón derecho de su ratón y cree un marcador del mismo. Localice un archivo del que pueda ver su contenido.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 11� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
11- Vaya a la opción Keywords. Presionando el botón derecho de ratón, agregue una nueva palabra. La misma le servirá posteriormente como patrón de búsqueda.
Buscaremos la cadena “Seguridad”
Comente estas opciones
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 12� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
12- Vaya a la barra superior de la herramienta y busque la palabra introducida.
Vaya ahora a la opción Bookmarks y revise los resultados de la búsqueda.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 13� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
13- Regrese ahora a la opción Case. Marque uno de los archivos pre visualizados.
Presione el botón derecho de su ratón y seleccione la opción señalada.
14- Cree una imagen del archivo seleccionado. El mismo le servirá posteriormente
como posible evidencia. 15- Fije su atención ahora en la opción Adquirir (Acquire) del programa. Discuta
con el instructor las diferencias de este método con el utilizado hasta este momento.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 14� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
Espacio para sus anotaciones: _________________________________________. Espacio para sus conclusiones: _________________________________________. Espacio para preguntas pendientes: _____________________________________.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 15� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
2da Parte Buscando Evidencias. En esta parte de la práctica trabajaremos sobre su disco duro directamente. Por favor sea cuidadoso.
1. Leyendo correos. Busque con la ayuda del instructor los archivos de correo que utilizan las herramientas Outlook y OutlookExpress. Visualice el resultado y comente sus impresiones.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 16� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 17� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
2. Buscando en los datos perdidos. a. Localice el sector de datos no localizados de su disco. b. Utilizando el mecanismo probado anteriormente busque la cadena de
caracteres que ud. Desee. Se sorprenderá con los resultados.
c. Comente con su instructor como recuperar una partición formateada.
En este caso buscamos la cadena “Reinaldo” dentro de una partición que fue formateada
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 18� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
3. Ahora revise la papelera de reciclaje. Indague sobre que archivos han sido borrados en su sistema. Revise que datos están borrados en cada papelera.
4. Haga lo mismo con los archivos temporales. 5. Busque un archivo MS. Word, otro MS PP. Puede ver algo común entre ambos.
Comente con su instructor. 6. Revisión de las firmas de cada archivo.
Vaya al menú search y siga las instrucciones del profesor.
. Herramientas de Análisis Forense para el ambiente Windows
Reinaldo Mayol Arnao 19� Universidad Pontificia Bolivariana, Medellín. Colombia
Modificado para WALC
7. Revise las firmas de varios archivos y comente con su instructor.
Solo haga una verificación de firmas ( signature) por cuestiones de tiempo. Verifique con el instructor las otras opciones