![Page 1: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/1.jpg)
https://cybercamp.es
Recuperación de ficheros borrados, a través del análisis forense de discos
José Carlos Sancho NúñezCátedra INSA-UEx “Seguridad y Auditoría
de Sistemas Software"
![Page 2: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/2.jpg)
[email protected] @Totemoheda
¿Quién soy?José Carlos Sancho Núñez
Cátedra INSA‐UEx‘Seguridad y Auditoría de Sistemas Software’
Ingeniería de Sistemas Informáticos y TelemáticosUniversidad de Extremadura
Ingeniero Informático Ingeniero Técnico en Informática de Gestión Máster en Dirección TIC Máster en Ingeniería Informática Doctorando en Tecnologías Informáticas
![Page 3: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/3.jpg)
3
Agenda1. Origen del reto.2. Demanda Social.3. ¿Cuál es el reto?4. Preservación de pruebas.
a. Clonado de discos.5. Localización de archivos.
a. Escaneo de archivos eliminados.b. Recuperación de archivos borrados.c. Restauración de extensiones.
6. Resumen del reto.7. Reto superado.
![Page 4: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/4.jpg)
[email protected] @_AndresCaro_
Origen del reto
Andrés Caro LindoProfesor Titular Universidad de Extremadura
Ingeniería de Sistemas Informáticos y Telemáticos
Auditoría y Legislación Informática Grados en Ingeniería Informática Personas sin conocimientos iniciales Entorno Windows ‐> Linux Resultado aplicado a alta demanda social
MEJOR RETO
![Page 5: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/5.jpg)
Demanda Social
Reto resuelto en:
¿Has borrado un fichero por error? Fotos de grandes recuerdos Vídeos de la infancia de nuestros
hijos Documentos imprescindibles Ficheros de contraseñas
![Page 6: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/6.jpg)
¿Cuál es el reto? Borrar memoria extraíble de forma segura. Copiar 10 archivos con diferentes extensiones. Renombrar los ficheros con nombres genéricos (opcional) Eliminar las extensiones ‐> Dificultar su identificación De los 10 ficheros (nombres genéricos y sin extensión)
Eliminamos 5 ficheros.
Técnicas clásicas del análisis forense de
discos
![Page 7: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/7.jpg)
Preservación de pruebas
Clonado de disco duro
Técnicas clásicas de análisis forense
![Page 8: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/8.jpg)
Preservación de pruebasClonado de disco duro
Preparación USB
Preparación ficheros
Creación Live Flash USB
Clonado USB
Montar imagen
![Page 9: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/9.jpg)
Preservación de pruebas
Preparación USB
Método de borrado seguro Gutmann: 35 pasadas Escribe 35 patrones diferentes de datos
Clonado de disco duro
Eraser
![Page 10: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/10.jpg)
Preservación de pruebas
Preparación de ficheros
Clonado de disco duro
Partimos de 10 ficheros de distintos tipos Borramos 5 ficheros y eliminamos su extensión
![Page 11: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/11.jpg)
Preservación de pruebas
Creación Live Flash USB
Clonado de disco duro
1. Seleccionar memoria.
2. Marcar “Write to UFD”
3. Seleccionar OSFClone.bin
4. Pulsar en “Write”
![Page 12: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/12.jpg)
Preservación de pruebas
Clonado USB
Clonado de disco duro
Arrancar USB Live.
Formato de la copia
![Page 13: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/13.jpg)
Preservación de pruebas
Clonado USB
Clonado de disco duro
Seleccionamos: Disco origen Disco destino
Asegura una clonación idéntica
![Page 14: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/14.jpg)
Preservación de pruebas
Montar imagen
Clonado de disco duro
![Page 15: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/15.jpg)
Localización de archivosEscaneo de archivos eliminadosRecuperación de archivos borradosRestauración de extensiones
![Page 16: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/16.jpg)
Localización de archivosEscaneo de archivos eliminadosRecuperación de archivos borrados
Autopsy
![Page 17: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/17.jpg)
Localización de archivosRecuperación de archivos eliminados
![Page 18: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/18.jpg)
Localización de archivosRecuperación de archivos eliminados
![Page 19: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/19.jpg)
Localización de archivosRecuperación de archivos eliminados
Autopsy
![Page 20: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/20.jpg)
Localización de archivosRecuperación de archivos eliminados
![Page 21: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/21.jpg)
Localización de archivosRecuperación de archivos eliminados
Comand: • dd_rescue• md5sum• foremost
![Page 22: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/22.jpg)
Localización de archivosRestauración de extensiones
3700 tipos de ficheros
P10XB
Detección de extensionesautomática
![Page 23: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/23.jpg)
Localización de archivosRestauración de extensiones
Recuperamos 8 extensiones de los 10 ficheros
trid F:\* ‐ae
![Page 24: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/24.jpg)
Localización de archivosRestauración de extensiones
Ejecutable Base de datos
P10XB
Utilizar como complemento a TrID
![Page 25: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/25.jpg)
Resumen del reto
2
![Page 26: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/26.jpg)
Reto superado
‐ A veces son aquellos de quienes no te imaginas nada quienes hacen aquello
que nadie puede imaginar.
Descrifrando Enigma
![Page 27: José Carlos Sancho Núñez - CyberCamp...Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado](https://reader033.vdocuments.co/reader033/viewer/2022060406/5f0f64737e708231d443ef00/html5/thumbnails/27.jpg)
https://cybercamp.es @CyberCampEs#CyberCamp15
[email protected] @Totemoheda
¿¿Preguntas??Muchas gracias!!