Asignatura Datos del alumno Fecha

Apellidos:
Análisis Forense
Nombre:

UNIVERSIDAD INTERNACIONAL UNIR

TRABAJO
FUGA DE INFORMACIÓN

PRESENTADO A
JUAN JOSÉ DELGADO

PRESENTADO POR
ANDREA JULIANA PAREDES VALDERRAMA
MARCO JESUS CHUCO
JESUS SANCHEZ PRADA
GUSTAVO ADOLFO BONILLA RESTREPO

MATERIA
ANÁLISIS FORENSE

FECHA: 18 DE JUNIO DE 2021

© Universidad Internacional de La Rioja (UNIR)

Tema 3. Actividades 1
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

Actividad grupal: Fuga de información

1. ¿Cuál es el hash (SHA1) de los dispositivos analizados?
• Computer: afe5c9ab487bd47a8a9856b1371c2384d44fd785
• cfreds_2015_data_leakage_rm#1:
f6bb840e98dd7c325af45539313fc3978fff812c
• cfreds_2015_data_leakage_rm#2:
048961a85ca3eced8cc73f1517442d31d4dca0a3
• cfreds_2015_data_leakage_rm#3:
471d3eedca9add872fc0708297284e1960ff44f8
2. ¿Qué sistema operativo tenía el equipo instalado? ¿En qué fecha y hora se instaló?
¿Quién es el propietario del sistema?
De acuerdo al registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion se identificó:
Sistema operativo: Windows 7 Ultimate Service Pack 1
Fecha y hora de instalación: 1427034866 (22/03/2015 2:34:26 p. m.)
Propietario: informant
3. ¿Cuál es el ajuste horario del equipo?
De acuerdo al registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation la

zona horaria corresponde a: Eastern Standard Time

4. Enumere todas las cuentas de usuario del sistema (excepto las propias del Sistema
Operativo como: Administrator, Guest, etc.)
Desde el software de Autopsy en la opción de cuentas de sistema operativo se listan
las siguientes cuentas que no son cuentas propias del sistema:
Cuentas de Usuarios: admin11, informant, ITechTeam
5. ¿Quién fue el último usuario en iniciar sesión en el equipo?
© Universidad Internacional de La Rioja (UNIR)

Al analizar los archivos de registro y analizar la ubicación específica del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentic
ation\LogonUI. Identificamos que el ultimo usuario que inicio sesión fue:
Ultimo usuario en iniciar sesión: informant
6. ¿Cuándo fue la última fecha y hora de apagado del equipo?

Tema 3. Actividades 2
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

Mediante la aplicación Windows Registry Recovery se identificó la última fecha y hora

de apagado 3/25/2015 3:31:05 PM que se encuentra en el registro
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows
7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP?
Mediante la aplicación Windows Registry Recovery se identificó que la última
dirección asignada al equipo fue:
Ip: 10.11.11.29 y si se asignó por DHCP
8. ¿Qué aplicaciones tenía el equipo instaladas?
Programas instalados: Apple Software Update, Bonjour, Microsoft Office 2013,
Google Chrome, Internet Explorer, sqldumper, WinMail, PhotoViwer, Eraser,
Ccleaner, DVDmaker, Windows Media Player 2, DXM_Runtime, iCloud v4.0.6.2.8,
AdressBook, Conection Manager, Google Drive
9. ¿Qué navegadores de Internet se utilizaban?
Navegadores que utilizaban Microsoft Edge, Google Chrome e Internet Explorer
10. ¿A qué sitios web se accedieron y en qué hora?
En total se identificaron 1611 registros de navegación mediante los diferentes
navegadores del equipo de los cuales se destacan los siguientes sitios web:
ID Sitio Web Fecha
1 Your browser has been upgraded - Microsoft Windows 22/03/2015 10:09
2 msn 22/03/2015 10:09
3 Google 22/03/2015 10:09
4 Download Internet Explorer 11 (Offline installer) - Internet
Explorer 22/03/2015 10:10
5 Download Web Browser - Internet Explorer 22/03/2015 10:10
6 internet explorer 11 - Google Search 22/03/2015 10:10
7 Chrome 22/03/2015 10:11
© Universidad Internacional de La Rioja (UNIR)

8 Chrome Browser 22/03/2015 10:11

9 Getting Started 22/03/2015 10:11
10 Bing 22/03/2015 10:12
11 Set up email in Outlook 2010 or Outlook 2013 for Office 365 or
Exchange-based accounts 22/03/2015 10:28

Tema 3. Actividades 3
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

12 Emmy Noether - Google Search 23/03/2015 12:27

13 data leakage methods - Google Search 23/03/2015 13:02
14 leaking confidential information - Google Search 23/03/2015 13:02
15 information leakage cases - Google Search 23/03/2015 13:03
16 Top 5 sources leaking personal data - Emirates 24|7 23/03/2015 13:04
17 intellectual property theft - Google Search 23/03/2015 13:05
18 Google To Settle 'Data Leakage' Case For $8.5 Million 07/23/2013 23/03/2015 13:05
19 how to leak a secret - Google Search 23/03/2015 13:05
20 FBI — Intellectual Property Theft 23/03/2015 13:05
21 Intellectual property - Wikipedia, the free encyclopedia 23/03/2015 13:06
22 cloud storage - Google Search 23/03/2015 13:06
23 Cloud storage - Wikipedia, the free encyclopedia 23/03/2015 13:15
24 7 best cloud storage services 2015: Dropbox vs Google Drive - PC
Advisor 23/03/2015 13:15
25 digital forensics - Google Search 23/03/2015 13:15
26 Digital forensics - Wikipedia, the free encyclopedia 23/03/2015 13:15
27 Digital Evidence and Forensics | National Institute of Justice 23/03/2015 13:16
28 NIJ Home Page Page not found (404 Error) 23/03/2015 13:16
29 Digital Evidence Analysis Tools | National Institute of Justice 23/03/2015 13:16
30 how to delete data - Google Search 23/03/2015 13:16
31 anti-forensics - Google Search 23/03/2015 13:17
32 Anti-forensic techniques - ForensicsWiki 23/03/2015 13:17
33 how to recover data - Google Search 23/03/2015 13:18
34 List of data recovery software - Wikipedia, the free encyclopedia 23/03/2015 13:19
35 Tools:Data Recovery - ForensicsWiki 23/03/2015 13:19
36 apple icloud - Google Search 23/03/2015 14:55
37 Apple - iCloud - Everything you love, everywhere you go. 23/03/2015 14:55
38 Apple - iCloud - Learn how to set up iCloud on all your devices. 23/03/2015 14:55
© Universidad Internacional de La Rioja (UNIR)

39 iCloud 23/03/2015 14:55

40 iCloud for Windows 23/03/2015 14:55
41 google drive - Google Search 23/03/2015 14:56
42 Google Drive - Cloud Storage & File Backup for Photos, Docs &
More 23/03/2015 14:56

Tema 3. Actividades 4
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

43 Download Google Drive - Free Cloud Storage 23/03/2015 14:56

44 Download Google Drive Now – For Free 23/03/2015 14:56
45 Google Drive 23/03/2015 14:56
46 Google News 24/03/2015 10:22
47 World 24/03/2015 10:22
48 Technology 24/03/2015 10:23
49 Germanwings Flight 9525: "Everything is pulverized" - CBS News 24/03/2015 14:00
50 Sports 24/03/2015 14:00
51 security checkpoint cd-r - Google Search 24/03/2015 16:06

11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?

Google Chrome: Emmy Noether, anti-forensics, apple icloud, cloud storage, data
leakage methods, data recovery tools, digital forensics, google, google drive, how to
delete data, how to leak a secret, how to recover data, information leakage cases,
intellectual property theft, leaking confidential information, outlook 2013 settings,
security checkpoint cd-r, system cleaner.
Internet Explorer: Ccleaner, eraser, anti-forensic tools, external device and forensics
Microsoft Edge: Buesqueda; file sharing and tethering; external device and forensics;
anti-forensic tools; DLP DRM; e-mail investigation; Forensic Email Investigation; what
is windows system artifacts; investigation on windows machine; windows event logs;
cd burning method; eraser; ccleaner
12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del
explorador de Windows?
Una vez se analizó la información con FTKDisk, identificamos que en la capeta ubicada
en la ruta “C:\Users\informant\Searches”, se alojan el historial de búsquedas que
realizo el usuario desde el explorador de windows. Las búsquedas encontradas son
las siguientes: permiso; buscador
© Universidad Internacional de La Rioja (UNIR)

13. ¿Qué aplicación utilizaba para el envío y recepción de correos electrónicos?

Al analizar el registro de Windows y el listado de aplicaciones identificamos que el
programa para la recepción y envió de correos usado es: MS Outlook 2013
14. ¿Qué cuentas de correo se encontraban configuradas?

Tema 3. Actividades 5
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

Al analizar los logs de eventos de aplicación mediante Event Log Explorer y ubicar los
eventos de Outlook identificamos la cuenta: iaman.informant@nist.gov.ost
15. ¿Qué dispositivos de almacenamiento externo se conectaron al equipo?
Al realizar el análisis a través de la herramienta Autopsy, en la opción de “USB Device
Attached” identificamos dos dispositivos de almacenamiento USB del fabricante:
SanDisk Corp, modelo: Cruzer Fit, IDDisc1: 4C530012450531101593 y IDisc2:
4C530012550531106501.
16. ¿Cuál es la dirección IP de la unidad de red compartida de la empresa?
Según los registros de Web Cache de Windows la dirección IP del recurso compartido
es la 10.11.11.128. Esto se logra ver cargando el archivo .dat alojado en la carpeta de
web cache de Windows
17. Enumere todos los archivos que se abrieron en la unidad de red de la empresa.
Analizando la evidencia desde la herramienta Autopsy, en la opción de “shell bags”
podemos observar todos los archivos a los cuales accedieron.

18. Encuentre en el PC rastros relacionados con los servicios en la nube (Nombre

del servicio, archivos de registro...)
Al realizar el análisis de los registros de windows y la evidencia del disco identificamos
dos servicios de nube Apple iCloud y Google Drive. Para el caso de Apple iCloud en la
ruta “root\Program files (x86)” se encuentran dos carpetas relacionadas al servicio
“Apple Software Update” y “Bonjuor”, dentro de los eventos encontramos el log que
© Universidad Internacional de La Rioja (UNIR)

indica “Windows Installer installed the product.Product Name: iCloud. Product

Version:4.0.6.28 Product Language: 1033. Manufacture: Apple Inc. Instalation
success” y el registro se ubica en

Tema 3. Actividades 6
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

“HKEY_LOCAL_MACHINE\Act_Softwa\WoW6432Node\Apple Inc.\Apple Software

Update
Para Google Drive, en la ruta “root\Program files (x86)\Google” se encuentra la
carpeta relacionada al servicio “Drive”, dentro de los eventos encontramos el log que
indica “Windows Installer installed the product.Product Name: Google Drive. Product
Version:1.20.8672.3137 Product Language: 1033. Manufacture: Google, Instalation
success” y el registro se ubica en
“HKEY_LOCAL_MACHINE\Act_Softwa\WoW6432Node\Google\Drive
19. ¿Qué archivos se eliminaron de Google Drive? (Sugerencia: Busca un archivo
de registro de transacciones de Google Drive)
Al analizar la información del disco en la ruta
“Informant\AppData\Google\Drive\user_defalt\sync:log.log” identificamos se
encuentra el historial de las transacciones de Drive. Dentro del archivo sync:log.log
se identificaron las siguientes transacciones DELETE:
event RawEvent(DELETE, path=u'\\\\?\\C:\\Users\\informant\\Google
Drive\\do_u_wanna_build_a_snow_man.mp3
event RawEvent(DELETE, path=u'\\\\?\\C:\\Users\\informant\\Google
Drive\\happy_holiday.jpg
20. Identificar la información de la cuenta utilizada para sincronizar Google Drive
Al analizar la información del disco en la ruta
“Informant\AppData\Google\Drive\user_defalt\sync:log.log” identificamos se
encuentra el historial de las transacciones de Drive. En el cual se encontro el siguiente
log: common.service.user:64 Initializing User instance with new credentials. Donde
la cuenta de correo usada es: iaman.informant.personal@gmail.com
21. ¿Qué software se utilizó para grabar el CD?
© Universidad Internacional de La Rioja (UNIR)

El programa utilizado para grabar se llama (DVD MAKER)

22. ¿Cuándo grabó el sospechoso el CD?

Tema 3. Actividades 7
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

De acuerdo al registro de eventos de Windows sen identificaron cuatro eventos en

los que se evidencia que el CD se grabó el día 24/03/2015 entre las 2:47:47 pm y las
3:41:21 pm

23. Identifique todas las marcas de tiempo relacionadas con un archivo de

renuncia (en formato DOCX) en el escritorio de Windows.
El documento de renuncia está ubicado en el escritorio del usuario informant, el
documento se llama (Resignation_Letter_(laman_Informant)
Marcas de tiempo:
Fecha de creación: 24/03/2015 1:48 pm
Fecha de Modificación: 24/03/2015 1:59 pm
Fecha de acceso: 24/03/2015 1:59 pm
24. ¿Cómo y cuándo imprimió el sospechoso un archivo de renuncia?
El archivo no se imprimió ya que el equipo no tiene instalada ninguna impresora en
los registros. De igual forma, se revisaron los eventos de Microsoft-Windows-
PrintServices los cuales evidenciaron no se realizó ningún evento de impresión de
documentos.
c:\windows\System32\config\software\Microsotf\Windows
NT\CurrentVersion\Printers\Microsoft XPS Document Writer\PrinterDriverData
25. ¿Dónde se encuentran los archivos de la aplicación Sticky Note (Notas)?
Identifique las notas almacenadas.
Se encuentran almacenadas en:
C:\Users\Informant\Appdata\Roaming\Microsoft\Sticky Notes\StickyNotes.snt
© Universidad Internacional de La Rioja (UNIR)

La única nota almacenada dice:

Tema 3. Actividades 8
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

26. ¿Qué acciones se llevaron a cabo para los complicar el análisis forense del
equipo el día 25 de marzo de 2015?
La lista de programas indica la instalación de ERASER 6.2 el cual es un programa de
eliminación de evidencias.
Entre las acciones realizadas para dificultar el análisis forense se identificaron:
• El 25 de marzo de 2015 a las 9:13:47 am se realizó un cambio en la
configuración de hora del sistema

• Posteriormente, se evidencia que a las 10:31:00 am del mismo día los

registros de log del sistema fueron desactivados.

27. Recupere los archivos borrados de los USB. ¿Hay algún archivo de interés?
En el USB 1 (4GB) existen archivos word y power point (2 en word y 3 en power point)
que contienen información de diseño y propuesta.
En el USB 2 (1GB) Hay mas de 50 elementos eliminados de los cuales se han
identificado archivos en word, excel y power point que tenían nombres disuasivos
© Universidad Internacional de La Rioja (UNIR)

con extensiones cambiadas para confundir el análisis, los cuales contenían

información importante.

Tema 3. Actividades 9
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

28. ¿Qué archivos se copiaron el PC a los USB?***

Se copiaron los siguientes archivos al CD:
Desde USB 1
1. [secret_project]_revised_points.ppt

Desde USB 2
1. winter_whether_advisory.zip, Stonehenge.JPG, my_favorite_movies.7z,
new_years_day.jpg, super_bowl.avi, my_friends.svg, my_smartphone.png,
new_year_calendar.one, [000001].zip, diary_#3d.txt, F0205596.jpg,
F0207124.jpg,F0208644.jpg, Report.xml, T0205596.jpg, T0207124.jpg,
T0208644.jpg
29. Recupere los archivos ocultos del CD ¿Hay algún archivo de interés?
De todos los archivos recuperados, los de mayor interés son los que corresponden a
la suite de Microsoft Office (4 word, 4 excel, 3 power point) los cuales contienen
información muy valiosa.
© Universidad Internacional de La Rioja (UNIR)

Tema 3. Actividades 10
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense
Nombre:

30. Examine la papelera de reciclaje del PC ¿Hay algún archivo de interés?

Los elementos de la papelera de reciclaje son estos y no se encontró archivos de
interés, se encontraron instaladores e imágenes.

Sí No A veces

Todos los miembros se han integrado al trabajo del

X
grupo

Todos los miembros participan activamente X

Todos los miembros respetan otras ideas aportadas X

Todos los miembros participan en la elaboración del

X
informe
Me he preocupado por realizar un trabajo cooperativo
X
con mis compañeros
Señala si consideras que algún aspecto del trabajo en
X
grupo no ha sido adecuado
© Universidad Internacional de La Rioja (UNIR)

Tema 3. Actividades 11