El documento describe una práctica de laboratorio para recuperar un archivo eliminado de una partición FAT32. Los pasos incluyen montar la partición, usar WinHex para encontrar metadatos del archivo eliminado como el nombre y tamaño, recuperar el archivo y calcular su SHA1 para verificación.

1. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
Actividades
Trabajo: Recuperación de ficheros eliminados
El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado
para recuperar información eliminada. Durante el desarrollo de la misma, has de
recuperar de manera manual, tal y como se explica el archivo eliminado dentro de una
partición FAT32 y visualizar los metadatos asociados a dicho archivo.
Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el
apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
entradas del directorio raíz de una partición FAT. El artículo está disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29
Para realizar la práctica, se puede utilizar el software que crea conveniente, aunque se
recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
que permita el cálculo de hashes). Para el análisis de los metadatos puede utilizar
ExifTool, o la herramienta online Metashield Analyzer1.
Para realizar la práctica se debe hacer lo siguiente:
1. Calcular el SHA1 del archivo facilitado para realizar la práctica
(VHD03.E01).
Para realizar el primer punto de la tarea se debe abir el archivo de disco duro entregado,
en el programa winhex, el cual presenta la siguiente pantalla
Abrimos la ruta donde se encuentra el archivo
1
https://metashieldanalyzer.elevenpaths.com/

2. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
Abrimos el archivo:

3. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
Una vez obtenida esta pantalla se debe a proceder a calcular Hash tanto MD5 como
SHA-1, se debe seleccionar la opción Herramientas y Calcular Hash
Luego aparace la siguiente vetana de resultados:

4. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
MD5 = 96A11C5AE458E32A41A907577FF8B7FE
SHA-1 = C46824C453E639F6771CF45F3008C1A98CAC5C3C
Luego de este análisis es importante destacar que finalizados los mismos se concluye que
los Sha1 de la imagen dada originalmente con la encontrada no coinciden.
2. Obtener mediante Winhex y haciendo uso de las plantillas incluidas:
o Nombre y extensión del archivo eliminado: ?adrid.jpg o Fecha de
creación: 04/05/2015 14:16:37,7 o Fecha de modificación: 04/05/2015
14:15:30 o Fecha de último acceso: 04/05/2015 o Tamaño del archivo:
4,5 MB o Clúster inicial: Clúster 3; Sector 8193 o El offset inicial:
400200 o El offset final del archivo: 87CB39
Para la realización de esta sección se debe realizar el montaje de la unidad dada en el
ejercicio en el sistema, para esto se va utilizar el programa AccesData FTK imagen.

5. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
Ingresados en el programa se debe seleccionar la opción Mounting, luego ubicar la ruta
del archivo de disco duro entregado para esta tarea.

6. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
Realizado todo este proceso se debe comprobar si el montaje de la unidad se realizó
correctamente, para eso se debe ingresar al explorados de equipos del sistema operativo
del Pc.

7. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
Efectivamente, se puede visualizar el nuevo disco que aparece en la unidad denominada
UNIR F:
Realizado este proceso de forma efectiva, se debe abrir el nuevo disco instalado desde el
programa WinHex, como información adicional se debe ejecutar el programa en modo
administrador, el mismo que debe dar el siguiente resultado visual.
Desplegada esta información en la ventana superior se puede observar en modalidad
oculto el archivo que debe ser recuperado como objetivo de este trabajo, llamado
¿adrid.jpj.

8. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
En esta sección se debe encontrar el offset final, para esto se debe dar doble clic en el
archivo ?adrid.jpg, ahí se muestra un detalle solo del archivo, se copia los caracteres
finales para la búsqueda respectiva en la unidad UNIR (F:)

9. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
3. Recuperar el archivo eliminado.
Para realizar este trabajo se debe ingresar el programa WinHex, luego ir a la opción
Herramientas y luego herramientas de disco, luego el sub menú recuperación de archivos.

10. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván

11. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván
4. Calcular el SHA1 del archivo recuperado.
Para obtener el SHA1 del archivo recuperado del disco se debe abrir el archivo dentro del
programa winhex, desde esta posición nuevamente se calcula con los pasos anteriores:

12. Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Andrade Carrera
14/12/2020
Nombre: Santiago Iván