Prueba libre de Geografía para obtención título Bachillerato - 2024
Practica nro 2 Informática Forense
1. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Actividades
Taller Nro 22: Informática Forense
Parte 1: Recuperación de archivos eliminados
Para esta actividad utilice una memoria flash, copie o cree 3 archivos de
distintos formatos, los cuales serán borrados (Capture en pantallas este
proceso). Realizar un análisis con respecto a una memoria flash, muestre la
cantidad de archivos eliminados, seleccione 3 archivos de formatos distintos y
además capture la fecha y ahora de su creación, escritura y acceso. Analice los
archivos eliminados de un dispositivo móvil, RECUPERARLOS y almacenarlos
en una carpeta y presente las evidencias del mismo mediante una captura de
pantalla de los resultados obtenidos. (proceso de recuperación con la aplicación
WINHEX
La flash memory con el contenido:
2. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Eliminamos los archivos:
Ahora para recuperar los archivos desde Whinhex
Vamos a Tools->Open Disk: y deberia mostrar la siguiente ventana:
3. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
En nuestro caso escogemos la ESD-ISO que es el nombre nuestra flash memory con los
datos eliminados, le damos en ok y esperamos a que se procesen los datos:
4. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Una vez termine, nos vamos a la barra de herramientas y seleccionamos: Tools->Disk
Tools->File Recovery by Type
Se mostrara una ventana pequena y aceptamos, luego se mostrara una ventana en la cual
debemos indicar que tipo de archivos queremos recuperar. Seleccionamos los que
deseamos recuperar:
5. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Le damos en Ok y nos dira en donde queremos poner los archivos que se puedan
recuperar e indicamos la ruta:
Esperamos mientras termina de procesar toda la informacion:
6. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Una vez termine se podran visualizar los archivos eliminados, con su respectivo
informe de todos los archivos que se procesaron:
Parte 2: Adquisición de evidencias en caliente
Utilizando la herramienta FTK imagen, realizar una captura de memoria RAM, luego
guarde la imagen de la memoria en una carpeta determinada. Obtener en pantallas los
resultados de búsqueda de password digitadas, investigue el proceso para verificar que
programas y aplicaciones estuvieron abiertas mientras estaba encendido el computador.
Una vez obtenidos los resultados, subir la información al blog de trabajo de forma
embebida, luego publicar en su blog de trabajo y colocar la dirección de la publicación
en el campus virtual hasta la hora indicada por su docente.
Entonces abrimos el programa FTK imager y seleccionamos: File->Capture Memory:
7. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Escogemos la ruta en donde queremos que se guarde la imagen de la memoria:
Agregamos la imagen de la memoria creada al programa FTK en, File->Add Evidence
Item y en la ventana que se nos cargue damos clic derechos sobre el codigo que se
muestra y de damos en Find:
8. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
18 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Luego en la ventana que se nos muestra, debemos ingresar el parametro &passwd=
para poder encontrar los tipo password:
Y le damos en buscar y se debera mostrar los campos relacionados con el campo
passwd.