Title | Sanchez Delgado Javier FUGA DE Inoformacion |
---|---|
Author | Javier Sanchez |
Course | Sistema de Inform. Gerencial |
Institution | Universidad Técnica de Manabí |
Pages | 10 |
File Size | 815.4 KB |
File Type | |
Total Downloads | 655 |
Total Views | 805 |
Download Sanchez Delgado Javier FUGA DE Inoformacion PDF
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
Actividad grupal: Fuga de información Para ello debe responder a las siguientes preguntas: 1. ¿Cuál es el hash (SHA1) de los dispositivos analizados? Evidencia
SHA1 de verificación
cfreds_2015_data_leakage_rm#1.E01 cfreds_2015_data_leakage_rm#2.E01 cfreds_2015_data_leakage_rm#3.E01 cfreds_2015_data_leakage_pc.E01
f6bb840e98dd7c325af45539313fc3978fff812c 048961a85ca3eced8cc73f1517442d31d4dca0a3 471d3eedca9add872fc0708297284e1960ff44f8 afe5c9ab487bd47a8a9856b1371c2384d44fd78 5
2. ¿Qué sistema operativo tenía el equipo instalado? ¿En qué fecha y hora se instaló? ¿Quién es el propietario del sistema? El sistema operativo que estaba instalado Windows 7 Ultimate Service Pack 1, el mismo que estaba instalado el 2015-03-22 14:34:26, cuyo propietario fue informant.
3. ¿Cuál es el ajuste horario del equipo? (UTC-05:00) Bogotá, Lima, Quito, Rio Branco. 4. Enumere todas las cuentas de usuario del sistema (excepto las propias del Sistema Operativo como: Administrator, Guest, etc.) Las cuentas de usuario del sistema son: informant, temporary, admin11, ITechTeam.
© Universidad Internacional de La Rioja (UNIR)
Tema 3. Actividades
1
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
5. ¿Quién fue el último usuario en iniciar sesión en el equipo? El último usuario en iniciar sesión en el equipo fue informant.
6. ¿Cuándo fue la última fecha y hora de apagado del equipo? [11:31:05] – 2015/03/25
7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP? La última dirección IP asignada fue la 10.11.11.128 y fue asignada mediante DHCP.
© Universidad Internacional de La Rioja (UNIR)
8. ¿Qué aplicaciones tenía el equipo instaladas? a) AddressBook b) Apple Application Support v.3.0.6
Tema 3. Actividades
2
Asignatura Análisis Forense
c) d) e) f) g) h) i) j) k) l) m) n) o) p) q) r) s) t) u) v) w) x) y) z) aa) bb) cc) dd) ee) ff) gg) hh) ii) jj) kk)
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
Apple Software Update v.2.1.3.127 Bonjour v.3.0.0.10 Connection Manager DirectDrawEx Eraser 6.2.0.2962 v.6.2.2962 Google Chrome v.41.0.2272.101 Google Drive v.1.20.8672.3137 Google Update Helper v.1.3.26.9 iCloud v.4.0.6.28 Microsoft .NET Framework 4 Client Profile v.4.0.30319 Microsoft Access Setup Metadata MUI (English) 2013 v.15.0.4420.1017 Microsoft DCF MUI (English) 2013 v.15.0.4420.1017 Microsoft Excel MUI (English) 2013 v.15.0.4420.1017 Microsoft Groove MUI (English) 2013 v.15.0.4420.1017 Microsoft InfoPath MUI (English) 2013 v.15.0.4420.1017 Microsoft Lync MUI (English) 2013 v.15.0.4420.1017 Microsoft Office 32-bit Components 2013 v.15.0.4420.1017 Microsoft Office OSM MUI (English) 2013 v.15.0.4420.1017 Microsoft Office OSM UX MUI (English) 2013 v.15.0.4420.1017 Microsoft Office Professional Plus 2013 v.15.0.4420.1017 Microsoft Office Proofing (English) 2013 v.15.0.4420.1017 Microsoft Office Proofing Tools 2013 - English v.15.0.4420.1017 Microsoft Office Proofing Tools 2013 - Español v.15.0.4420.1017 Microsoft Office Shared 32-bit MUI (English) 2013 v.15.0.4420.1017 Microsoft Office Shared MUI (English) 2013 v.15.0.4420.1017 Microsoft Office Shared Setup Metadata MUI (English) 2013 v.15.0.4420.1017 Microsoft OneNote MUI (English) 2013 v.15.0.4420.1017 Microsoft Outlook MUI (English) 2013 v.15.0.4420.1017 Microsoft PowerPoint MUI (English) 2013 v.15.0.4420.1017 Microsoft Publisher MUI (English) 2013 v.15.0.4420.1017 Microsoft Word MUI (English) 2013 v.15.0.4420.1017 MobileOptionPack MPlayer2 SchedulingAgent WIC
© Universidad Internacional de La Rioja (UNIR)
9. ¿Qué navegadores de Internet se utilizaban? Los navegadores que utilizaron fueron Chrome, Microsoft Edge e Internet Explorer. Tal como se muestra en la Figura
Tema 3. Actividades
3
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
10. ¿A qué sitios web se accedieron y en qué hora?
11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?
© Universidad Internacional de La Rioja (UNIR)
12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del explorador de Windows?
Tema 3. Actividades
4
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
Secret
13. ¿Qué aplicación utilizaba para el envío y recepción de correos electrónicos? Microsoft Outlook MUI (English) 2013 v.15.0.4420.1017
14. ¿Qué cuentas de correo se encontraban configuradas? [email protected]
15. ¿Qué dispositivos de almacenamiento externo se conectaron al equipo?
© Universidad Internacional de La Rioja (UNIR)
16. ¿Cuál es la dirección IP de la unidad de red compartida de la empresa? La carpeta compartida se encontraba en la dirección IP 10.11.11.128.
Tema 3. Actividades
5
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
17. Enumere todos los archivos que se abrieron en la unidad de red de la empresa.
18. Encuentre en el PC rastros relacionados con los servicios en la nube (Nombre del servicio, archivos de registro...) Google Drive
ICloud
19. ¿Qué archivos se eliminaron de Google Drive? (Sugerencia: Busca un archivo de registro de transacciones de Google Drive) © Universidad Internacional de La Rioja (UNIR)
Se revisó que se han eliminado tres archivos
do_u_wanna_built_a_snow_man.mp3
Tema 3. Actividades
6
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
happy_holiday.jpgG
do_u_wanna_built_a_snow_man.mp3
Fecha
18/06/2021
20. Identificar la información de la cuenta utilizada para sincronizar Google Drive La cuenta que usaba Drive es [email protected] Obtenido del archivo Users/informant/AppData/Local/Google/Drive/user_default/sync_config.db
21. ¿Qué software se utilizó para grabar el CD?
22. ¿Cuándo grabó el sospechoso el CD?
23. Identifique todas las marcas de tiempo relacionadas con un archivo de renuncia (en formato DOCX) en el escritorio de Windows. © Universidad Internacional de La Rioja (UNIR)
24. ¿Cómo y cuándo imprimió el sospechoso un archivo de renuncia? El sospechoso imprimió el archivo a formato XPS el dia 2015-03-25 a las 10:28:33, y por el desfase de tiempo 11:28:33
Tema 3. Actividades
7
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
25. ¿Dónde se encuentran los archivos de la aplicación Sticky Note (Notas)? Identifique las notas almacenadas. El archivo de las notas está ubicado en la carpeta del computador Disco C/User/informant/AppData/Roaming/Microsoft/Sticky Notes El mensaje en las notas era “Tomorrow. Everything Will be Ok..” 26. ¿Qué acciones se llevaron a cabo para los complicar el análisis forense del equipo el día 25 de marzo de 2015? ACTIVIDAD Búsqueda de software para eliminación de evidencia Instalación de software para eliminación de evidencia Eliminación segura de directorios y ficheros con la herramienta Eraser
anti-forensic tolos eraser
2015-03-25 10:46:44
\PROGRAM FILES\Eraser\ CCLEANER64.EXE \PROGRAM FILES\Eraser\ ERASER.EXE
2015-03-25 10:15:50 2015-03-25 09:50:14 2015-03-25 11:13:39 2015-03-25 11:14:44
\ User\Informant\Desktop\Temp\Chrysant hemum.jpg \ User\Informant\Desktop\Temp\Desert.jp g \ User\Informant\Desktop\Temp\Hydrange as.jpg \User\Informant\Desktop\Temp\IE11- Windows6.1x64-en-us.exe \ User\Informant\Desktop\Temp\Jellyfish.j pg \User\Informant\Desktop\Temp\Koala.jpg \ User\Informant\Desktop\Temp\Lighthous e.jpg \ User\Informant\Desktop\Temp\Penguins. jpg \ User\Informant\Desktop\Temp\Tulips.jpg \ User\Informant\Desktop\Temp\Tulips.jpg \User\Informant\Desktop\Temp\ (See below) \PROGRAM FILES\CCLEANER\UNINST.EXE 2015-03-25 11:18:29
Desinstalación de herramienta antiforense Desconexión de la sync_log.log > 2015-03-25 11:22:47,053 -0400 2015-03-25 cuenta de Google INFO pid=3164 1528:MainThread 11:22:47 drive © Universidad Internacional de La Rioja common.sync_app:1630 Signing Out > 2015-03-25 (UNIR) 11:22:48,878 -0400 INFO pid=3164 1528:MainThread common.sync_app:1741 Deleting file: C:\Users\INFORM~1\AppData\Loc al\Google\Drive\user_default\sync_ config.db > 2015-03-25 11:22:48,878 -0400 INFO pid=3164 1528:MainThread common.sync_app:1741 Deleting file: C:\Users\INFORM~1\AppData\Loc
Tema 3. Actividades
8
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
al\Google\Drive\user_default\snaps hot.db
27. Recupere los archivos borrados de los USB. ¿Hay algún archivo de interés? Nombre del archivo Secret Project data\design\f0001536_secret_project_design_conc e pt.ppt f0005120_detailed_design.pptx f0037120_secret_project_revised_points.ppt Secret Project data\proposal\proposal.docx
Tipo de Archivo
Tamaño
PPT
1.72MB
PPTX PPT DOCX
15.6MB 13.8MB 6.3MB
28. ¿Qué archivos se copiaron el PC a los USB?
29. Recupere los archivos ocultos del CD ¿Hay algún archivo de interés?
Ha eliminado un programa llamado RJEMT64.exe que es un ejecutable de Nintendo y varias imágenes © Universidad Internacional de La Rioja 30. Examine la (UNIR)
papelera de reciclaje del PC ¿Hay algún archivo de interés?
Tema 3. Actividades
9
Asignatura Análisis Forense
Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio
Fecha
18/06/2021
© Universidad Internacional de La Rioja (UNIR)
Tema 3. Actividades
10...