Sanchez Delgado Javier FUGA DE Inoformacion PDF

Preview

Summary

Download Sanchez Delgado Javier FUGA DE Inoformacion PDF

Description

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

Actividad grupal: Fuga de información Para ello debe responder a las siguientes preguntas: 1. ¿Cuál es el hash (SHA1) de los dispositivos analizados? Evidencia

SHA1 de verificación

cfreds_2015_data_leakage_rm#1.E01 cfreds_2015_data_leakage_rm#2.E01 cfreds_2015_data_leakage_rm#3.E01 cfreds_2015_data_leakage_pc.E01

f6bb840e98dd7c325af45539313fc3978fff812c 048961a85ca3eced8cc73f1517442d31d4dca0a3 471d3eedca9add872fc0708297284e1960ff44f8 afe5c9ab487bd47a8a9856b1371c2384d44fd78 5

2. ¿Qué sistema operativo tenía el equipo instalado? ¿En qué fecha y hora se instaló? ¿Quién es el propietario del sistema? El sistema operativo que estaba instalado Windows 7 Ultimate Service Pack 1, el mismo que estaba instalado el 2015-03-22 14:34:26, cuyo propietario fue informant.

3. ¿Cuál es el ajuste horario del equipo? (UTC-05:00) Bogotá, Lima, Quito, Rio Branco. 4. Enumere todas las cuentas de usuario del sistema (excepto las propias del Sistema Operativo como: Administrator, Guest, etc.) Las cuentas de usuario del sistema son: informant, temporary, admin11, ITechTeam.

© Universidad Internacional de La Rioja (UNIR)

Tema 3. Actividades

1

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

5. ¿Quién fue el último usuario en iniciar sesión en el equipo? El último usuario en iniciar sesión en el equipo fue informant.

6. ¿Cuándo fue la última fecha y hora de apagado del equipo? [11:31:05] – 2015/03/25

7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP? La última dirección IP asignada fue la 10.11.11.128 y fue asignada mediante DHCP.

© Universidad Internacional de La Rioja (UNIR)

8. ¿Qué aplicaciones tenía el equipo instaladas? a) AddressBook b) Apple Application Support v.3.0.6

Tema 3. Actividades

2

Asignatura Análisis Forense

c) d) e) f) g) h) i) j) k) l) m) n) o) p) q) r) s) t) u) v) w) x) y) z) aa) bb) cc) dd) ee) ff) gg) hh) ii) jj) kk)

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

Apple Software Update v.2.1.3.127 Bonjour v.3.0.0.10 Connection Manager DirectDrawEx Eraser 6.2.0.2962 v.6.2.2962 Google Chrome v.41.0.2272.101 Google Drive v.1.20.8672.3137 Google Update Helper v.1.3.26.9 iCloud v.4.0.6.28 Microsoft .NET Framework 4 Client Profile v.4.0.30319 Microsoft Access Setup Metadata MUI (English) 2013 v.15.0.4420.1017 Microsoft DCF MUI (English) 2013 v.15.0.4420.1017 Microsoft Excel MUI (English) 2013 v.15.0.4420.1017 Microsoft Groove MUI (English) 2013 v.15.0.4420.1017 Microsoft InfoPath MUI (English) 2013 v.15.0.4420.1017 Microsoft Lync MUI (English) 2013 v.15.0.4420.1017 Microsoft Office 32-bit Components 2013 v.15.0.4420.1017 Microsoft Office OSM MUI (English) 2013 v.15.0.4420.1017 Microsoft Office OSM UX MUI (English) 2013 v.15.0.4420.1017 Microsoft Office Professional Plus 2013 v.15.0.4420.1017 Microsoft Office Proofing (English) 2013 v.15.0.4420.1017 Microsoft Office Proofing Tools 2013 - English v.15.0.4420.1017 Microsoft Office Proofing Tools 2013 - Español v.15.0.4420.1017 Microsoft Office Shared 32-bit MUI (English) 2013 v.15.0.4420.1017 Microsoft Office Shared MUI (English) 2013 v.15.0.4420.1017 Microsoft Office Shared Setup Metadata MUI (English) 2013 v.15.0.4420.1017 Microsoft OneNote MUI (English) 2013 v.15.0.4420.1017 Microsoft Outlook MUI (English) 2013 v.15.0.4420.1017 Microsoft PowerPoint MUI (English) 2013 v.15.0.4420.1017 Microsoft Publisher MUI (English) 2013 v.15.0.4420.1017 Microsoft Word MUI (English) 2013 v.15.0.4420.1017 MobileOptionPack MPlayer2 SchedulingAgent WIC

© Universidad Internacional de La Rioja (UNIR)

9. ¿Qué navegadores de Internet se utilizaban? Los navegadores que utilizaron fueron Chrome, Microsoft Edge e Internet Explorer. Tal como se muestra en la Figura

Tema 3. Actividades

3

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

10. ¿A qué sitios web se accedieron y en qué hora?

11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?

© Universidad Internacional de La Rioja (UNIR)

12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del explorador de Windows?

Tema 3. Actividades

4

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

Secret

13. ¿Qué aplicación utilizaba para el envío y recepción de correos electrónicos? Microsoft Outlook MUI (English) 2013 v.15.0.4420.1017

14. ¿Qué cuentas de correo se encontraban configuradas? [email protected]

15. ¿Qué dispositivos de almacenamiento externo se conectaron al equipo?

© Universidad Internacional de La Rioja (UNIR)

16. ¿Cuál es la dirección IP de la unidad de red compartida de la empresa? La carpeta compartida se encontraba en la dirección IP 10.11.11.128.

Tema 3. Actividades

5

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

17. Enumere todos los archivos que se abrieron en la unidad de red de la empresa.

18. Encuentre en el PC rastros relacionados con los servicios en la nube (Nombre del servicio, archivos de registro...) Google Drive

ICloud

19. ¿Qué archivos se eliminaron de Google Drive? (Sugerencia: Busca un archivo de registro de transacciones de Google Drive) © Universidad Internacional de La Rioja (UNIR)

Se revisó que se han eliminado tres archivos 

do_u_wanna_built_a_snow_man.mp3

Tema 3. Actividades

6

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio



happy_holiday.jpgG



do_u_wanna_built_a_snow_man.mp3

Fecha

18/06/2021

 20. Identificar la información de la cuenta utilizada para sincronizar Google Drive La cuenta que usaba Drive es [email protected] Obtenido del archivo Users/informant/AppData/Local/Google/Drive/user_default/sync_config.db

21. ¿Qué software se utilizó para grabar el CD?

22. ¿Cuándo grabó el sospechoso el CD?

23. Identifique todas las marcas de tiempo relacionadas con un archivo de renuncia (en formato DOCX) en el escritorio de Windows. © Universidad Internacional de La Rioja (UNIR)

24. ¿Cómo y cuándo imprimió el sospechoso un archivo de renuncia? El sospechoso imprimió el archivo a formato XPS el dia 2015-03-25 a las 10:28:33, y por el desfase de tiempo 11:28:33

Tema 3. Actividades

7

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

25. ¿Dónde se encuentran los archivos de la aplicación Sticky Note (Notas)? Identifique las notas almacenadas. El archivo de las notas está ubicado en la carpeta del computador Disco C/User/informant/AppData/Roaming/Microsoft/Sticky Notes El mensaje en las notas era “Tomorrow. Everything Will be Ok..” 26. ¿Qué acciones se llevaron a cabo para los complicar el análisis forense del equipo el día 25 de marzo de 2015? ACTIVIDAD Búsqueda de software para eliminación de evidencia Instalación de software para eliminación de evidencia Eliminación segura de directorios y ficheros con la herramienta Eraser

anti-forensic tolos eraser

2015-03-25 10:46:44

\PROGRAM FILES\Eraser\ CCLEANER64.EXE \PROGRAM FILES\Eraser\ ERASER.EXE

2015-03-25 10:15:50 2015-03-25 09:50:14 2015-03-25 11:13:39 2015-03-25 11:14:44

\ User\Informant\Desktop\Temp\Chrysant hemum.jpg \ User\Informant\Desktop\Temp\Desert.jp g \ User\Informant\Desktop\Temp\Hydrange as.jpg \User\Informant\Desktop\Temp\IE11- Windows6.1x64-en-us.exe \ User\Informant\Desktop\Temp\Jellyfish.j pg \User\Informant\Desktop\Temp\Koala.jpg \ User\Informant\Desktop\Temp\Lighthous e.jpg \ User\Informant\Desktop\Temp\Penguins. jpg \ User\Informant\Desktop\Temp\Tulips.jpg \ User\Informant\Desktop\Temp\Tulips.jpg \User\Informant\Desktop\Temp\ (See below) \PROGRAM FILES\CCLEANER\UNINST.EXE 2015-03-25 11:18:29

Desinstalación de herramienta antiforense Desconexión de la sync_log.log > 2015-03-25 11:22:47,053 -0400 2015-03-25 cuenta de Google INFO pid=3164 1528:MainThread 11:22:47 drive © Universidad Internacional de La Rioja common.sync_app:1630 Signing Out > 2015-03-25 (UNIR) 11:22:48,878 -0400 INFO pid=3164 1528:MainThread common.sync_app:1741 Deleting file: C:\Users\INFORM~1\AppData\Loc al\Google\Drive\user_default\sync_ config.db > 2015-03-25 11:22:48,878 -0400 INFO pid=3164 1528:MainThread common.sync_app:1741 Deleting file: C:\Users\INFORM~1\AppData\Loc

Tema 3. Actividades

8

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

al\Google\Drive\user_default\snaps hot.db

27. Recupere los archivos borrados de los USB. ¿Hay algún archivo de interés? Nombre del archivo Secret Project data\design\f0001536_secret_project_design_conc e pt.ppt f0005120_detailed_design.pptx f0037120_secret_project_revised_points.ppt Secret Project data\proposal\proposal.docx

Tipo de Archivo

Tamaño

PPT

1.72MB

PPTX PPT DOCX

15.6MB 13.8MB 6.3MB

28. ¿Qué archivos se copiaron el PC a los USB?

29. Recupere los archivos ocultos del CD ¿Hay algún archivo de interés?

Ha eliminado un programa llamado RJEMT64.exe que es un ejecutable de Nintendo y varias imágenes © Universidad Internacional de La Rioja 30. Examine la (UNIR)

papelera de reciclaje del PC ¿Hay algún archivo de interés?

Tema 3. Actividades

9

Asignatura Análisis Forense

Datos del alumno Apellidos: Sánchez Delgado Nombre: Javier Antonio

Fecha

18/06/2021

© Universidad Internacional de La Rioja (UNIR)

Tema 3. Actividades

10...