Este documento describe una práctica de laboratorio sobre la recuperación de archivos eliminados. El estudiante usa herramientas como Winhex y FTK Imager para montar una partición FAT32, calcular hashes de un archivo, recuperar un archivo eliminado llamado "Madrid.jpg", y extraer metadatos del archivo recuperado. El estudiante concluye que las herramientas forenses digitales son útiles para investigar delitos que involucren tecnología al permitir la recuperación de información eliminada.

1. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Actividades
Trabajo: Recuperación de ficheros eliminados
El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado
para recuperar información eliminada. Durante el desarrollo de la misma, has de
recuperar de manera manual, tal y como se explica el archivo eliminado dentro de una
partición FAT32 y visualizar los metadatos asociados a dicho archivo.
Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el
apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
entradas del directorio raíz de una partición FAT. El artículo está disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29
Para realizar la práctica, se puede utilizar el software que crea conveniente, aunque se
recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
que permita el cálculo de hashes). Para el análisis de los metadatos puede utilizar
ExifTool, o la herramienta online Metashield Analyzer1.
Para realizar la práctica se debe hacer lo siguiente:
Calcular el SHA1 del archivo facilitado para realizar la práctica (archivo
VHD03.E01).
1
https://metashieldanalyzer.elevenpaths.com/

2. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Abrimos el winhex y cargamos el archivo VHDo3.E01

3. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Calculamos el sha1
Calculamos el MD5
MD5: 96A11C5AE458E32A41A907577FF8B7FE
SHA1: C46824C453E639F6771CF45F3008C1A98CAC5C3C
No coinciden

4. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Obtener mediante Winhex y haciendo uso de las plantillas incluidas:
Abrimos el Ftk
Click en Image Mounting

5. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Montamos el archivo VHD03.E01
Click en instalar dispositivo

6. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Abrimos winhex como administrador y cargamos el disco UNIR
Observamos que el archivo ?adrid.jpg ya aparece

7. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
o Nombre y extensión del archivo eliminado. ?adrid.jpg
o Fecha de creación, modificación y último acceso. 04/05/15'14:17:02 LT,
04/05/15'14:17:04 LT
o Tamaño del archivo. 0,5 KB
o Clúster inicial. Clúster 3; Sector 8193
o El offset inicial y final del archivo. Inicial: 400200 Final: 87CB39
Recuperar el archivo eliminado.
Seleccionamos el offset final y click en recuperacion de archivos

8. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Recuperamos documentos e imagenes
Comprobamos que se haya recuperado el archivo en la carpeta

9. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
La imagen debe poder abrirse
Calcular el SHA1 del archivo recuperado.
Seleccionamos el archivo recuperado con winhex

10. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Calculamos el sha1
Podemos comprobar con la herramienta hashmyfiles que el sha1 es igual

11. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Obtener los metadatos asociados al archivo recuperado.
Ingresamos a metashield pero el servicio actualmente es de pago y no se puede usar
Pero podemos ingresar a extractmetadata que brinda información muy similar solo
cargando la imagen

12. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Molina Oñate
14/12/2020
Nombre: Luis Fernando
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Resultado final
Conclusion:
Haciendo uso de las herramientas informaticas los temas de informacion perdida o falsa
es un problema que causa mucho menos impactos que hace unas decadas donde la
informacion por papel era eliminada y esta desaparecia sin posibilidad de recuperacion.
Estas herramientas son de gran ayuda para castigar todo tipo de delitos que se realicen
usando tecnologia como computadoras o smartphones ya que la informacion muchas
veces es almacenada en discos duros, cds, pendrives, memorias de celular.