INSTALAR EL CAINE (COMPUTER AIDED INVESTIGATIVE ENVIRONMENT) EN UN
PENDRIVE USB.
Lo primero es bajar la imagen de la página http://www.caine-live.net/.
Luego de haber descargado la imagen de Caine, procedemos a
utilizar una herramienta Rufus. Esta
herramienta me permite montar la imagen ISO sobre el pendrive USB. La podemos
descargar de la página: http://rufus.akeo.ie/
Luego ejecutamos la aplicación Rufus, si tenemos la memoria
USB montada la debe reconocer y mostrará la pantalla siguiente:
Seleccionamos formato rápido y en la opción crear arranque
con: seleccionamos ISO.
Luego damos clic en el icono del disco para seleccionar el
disco origen donde se encuentra descargada la imagen a montar en USB. Luego
damos clic en empezar para iniciar la copia en USB.
Luego de finalizar la imagen. Reiniciamos nuestro PC, En la
BIOS habilitamos el primer arranque desde USB. Para que al reiniciar la maquina
arranque desde el pendrive USB y monte el sistema CAINE, para luego hacer el
montaje de la imagen de DD a evaluar.
Estando en CAINE creamos el caso de análisis, como se describe
a continuación. En el botón de Menú parte
inferior izquierda, damos clic, luego escogemos herramientas Forensic Tools, luego clic en Autopsy. Ver figura siguiente.
Cambiamos el idioma del teclado para facilidad nuestra. En
el ícono de teclado damos clic y en la ventana abierta digitamos es y luego enter.
Creamos el nuevo caso, con descripción y nombre del
investigador.
Adicionamos el Host.
Luego cargamos la imagen del Disco Duro ya creada.
Hasta este punto podemos hacer el análisis forense de los
datos copiados del imagen del DD.
También tenemos la versión de Autopsy para Windows,
pasaremos a usar esta para realizar el ejemplo con una imagen lógica. La
versión de Autopsy
para Windows me permite cargar archivos lógicos para su
análisis.
ANÁLISIS DE DATOS CON
AUTOPSY PARA WINDOWS
RECUPERAR INFORMACIÓN BORRADA DE WINDOWS.
Ejemplo: Deseamos recuperar un archivo de contraseña eliminado.
Para hacer el análisis simple, solo vamos a cargar el directorio donde quedan los
archivos borrados de Windows, $RECYCLE.BIN;
este archivo se encuentra oculto en la raíz de C: en Windows 7 y 8.
Iniciamos Autopsy para Windows y cargamos un archivo lógico
como se muestra a continuación.
El directorio tiene dos archivos que se diferencian en
nombre por el segundo carácter, uno inicia con $I; que es el que contiene la
vía donde se encontraba el archivo. El segundo inicia con $R; donde está el
contenido del archivo y podemos observar la clave.. Lo podemos evidenciar con
Autopsy en la siguiente imagen.
Funcionamiento del
borrado de archivos en Windows 7.
El directorio donde quedan los archivos borrados es
$RECYCLE.BIN y se encuentra oculto en la raíz de c:
Ejecutamos la ventana de comandos de Windows CMD como administrador
en el cuadro de búsqueda de inicio de Windows. Digitamos el comando: dir /a. En la imagen siguiente podemos
ver el directorio $RECYCLE.BIN.
Entramos al directorio, con el comando: cd $reycle.bin y luego listamos el contenido con dir /a.
Entramos al último directorio con el comando cd s-1-21 y con tab completamos el
directorio
Observamos que contiene 2 archivos, uno inicia con $I, que contiene el path o vía donde
estaba el archivo y el otro inicia con $R
que contiene los datos del archivo.
Lo podemos visualizar con el comando more, ver imagen siguiente:
El directorio o vía se puede ver haciendo clic en la barra
espaciadora y va mostrando todo el contenido.
En la imagen siguiente detallamos el segundo archivo también
con el comando more.
Observamos en la imagen de arriba que el contenido del
archivo es la clave 1234abc. Como lo habíamos verificado con Autopsy.
