ACTIVIDAD GRUPAL –

FUGA DE
INFORMACIÓN
Máster Universitario en Seguridad Informática
Análisis Forense
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

1. ¿Cuál es el hash (SHA1) de los dispositivos analizados?

Imagen Hash SHA1
cfreds_2015_data_leakage_pc.E01 afe5c9ab487bd47a8a9856b1371c2384d44fd785
cfreds_2015_data_leakage_rm#1.E01 f6bb840e98dd7c325af45539313fc3978fff812c
cfreds_2015_data_leakage_rm#2.E01 048961a85ca3eced8cc73f1517442d31d4dca0a3
cfreds_2015_data_leakage_rm#3.E01 471d3eedca9add872fc0708297284e1960ff44f8

2. ¿Qué sistema operativo tenía el equipo instalado?

 Windows 7 Ultimate Service Pack 1

¿En qué fecha y hora se instaló?

 3/22/2015 2:34:26 PM

¿Quién es el propietario del sistema?

 Informant

3. ¿Cuál es el ajuste horario del equipo?

Eastern Standard Time UTC -5

4. Enumere todas las cuentas de usuario del sistema (excepto las propias del
Sistema Operativo como: Administrator, Guest, etc.)
 Rioja
© Universidad Internacional de La Informant
(UNIR)

 Admin11
 ITechTeam
 Temporary

1
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

5. ¿Quién fue el último usuario en iniciar sesión en el equipo?

6. ¿Cuándo fue la última fecha y hora de apagado del equipo?

7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP?

8. ¿Qué aplicaciones tenía el equipo instaladas?

 Professional Plus 2013
 DirectDrawX
 Icloud v 4.0.6.28

9. ¿Qué navegadores de Internet se utilizaban?

 Google Chrome
 Internet Explorer
 Microsoft Edge

10. ¿A qué sitios web se accedieron y en qué hora?

Fecha - Hora URL Navegador
2015-03-23 Google
18:04:54 UTC Chrome
2015-03-23 Google
18:05:55 UTC Chrome
2015-03-23 Google
18:16:37 UTC Chrome
2015-03-23 Google
18:16:37
© Universidad Internacional UTC (UNIR)
de La Rioja Chrome
2015-03-23 Google
18:16:42 UTC Chrome
2015-03-23 Google
18:17:19 UTC Chrome
2015-03-23 Google
18:19:17 UTC Chrome
2015-03-23 Google

2
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

18:19:21 UTC Chrome

2015-03-23 Google
18:18:00 UTC Chrome
2015-03-23 Microsoft
18:08:18 UTC Edge
2015-03-23 Microsoft
18:14:24 UTC Edge
2015-03-23 Microsoft
20:56:32 UTC Edge
2015-03-25 Microsoft
14:47:30 UTC Edge
2015-03-25 Microsoft
14:47:34 UTC Edge
2015-03-25 Microsoft
14:48:22 UTC Edge
2015-03-23 Microsoft
18:08:18 UTC Edge
2015-03-23 Microsoft
20:56:32 UTC Edge
2015-03-25 Microsoft
14:46:59 UTC Edge
2015-03-25 Microsoft
14:47:29 UTC Edge
2015-03-25 Microsoft
14:48:12 UTC Edge

11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?

Dominio Texto buscado Navegador
google.co
m Google Chrome
google.co
m Google Chrome
google.co
m Google Chrome
google.co
m Google Chrome
google.co
m Google Chrome
google.co
m (UNIR)
© Universidad Internacional de La Rioja Internet Explorer
google.co
m Microsoft Edge
bing.com Microsoft Edge
bing.com Microsoft Edge
bing.com Microsoft Edge
bing.com Microsoft Edge

3
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

Dominio Texto buscado Navegador

bing.com Microsoft Edge
bing.com e-mail investigation Microsoft Edge
bing.com Forensic Email Investigation Microsoft Edge
bing.com what is windows system artifacts Microsoft Edge
bing.com investigation on windows machine Microsoft Edge
bing.com windows event logs Microsoft Edge
bing.com cd burning method Microsoft Edge
bing.com cd burning method in windows Microsoft Edge
bing.com eraser Microsoft Edge
bing.com ccleaner Microsoft Edge

12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del

explorador de Windows?
En el directorio /Users/informant/ exportamos el archivo NTUSER.DAT lo abrimos
con la aplicación WRR y vamos a la ruta:
Software → Microsoft → Windows → CurrentVersion → Explorer →
WordWheelQuery
Allí damos doble clic en el valor “0” y nos muestra lo siguiente:

La búsqueda realizada fue la palabra “secret” como se evidencia en la imagen a

continuación:

© Universidad Internacional de La Rioja (UNIR)

13. ¿Qué aplicación utilizaba para el envío y recepción de correos electrónicos?

Microsoft Outlook MUI (English) 2013 v.15.0.4420.10.17

14. ¿Qué cuentas de correo se encontraban configuradas?

4
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

Se identifica la cuenta iaman.informant@nist.gov configurada en el PC.

15. ¿Qué dispositivos de almacenamiento externo se conectaron al equipo?

Authorized USB SanDisk Corp – Cruzer Fit Device ID: 4C530012450531101593
IAMAN $_@ SanDisk Corp – Cruzer Fit Device ID: 4C530012550531106501

16. ¿Cuál es la dirección IP de la unidad de red compartida de la empresa?

10.11.11.128

17. Enumere todos los archivos que se abrieron en la unidad de red de la

empresa.
\\10.11.11.128\SECURED_DRIVE\Secret Project Data\pricing decision\
(secret_project)_pricing_decision.xlsx
\\10.11.11.128\secured_drive\Secret Project Data\final\
[secret_project]_final_meeting.pptx

18. Encuentre en el PC rastros relacionados con los servicios en la nube

(Nombre del servicio, archivos de registro...)
Google Drive
Google Drive Sync - /Program Files (x86)/Google/Drive/googledrivesync.exe -
/Windows/System32/config/RegBack/SOFTWARE - Location
/img_cfreds_2015_data_leakage_pc.E01/vol_vol3/Users/informant/Downloads/googledrivesync.
exe
iCloud
Icloud - Location
/img_cfreds_2015_data_leakage_pc.E01/vol_vol3/Users/informant/Downloads/icloudsetup.exe

19. ¿Qué archivos se eliminaron de Google Drive? (Sugerencia: Busca un

archivo de registro de transacciones de Google Drive)

La información
© Universidad Internacional se encuentra
de La Rioja (UNIR) en el archivo:
/Users/informant/AppData/Local/Google/Drive/user_default/sync_log.log

Los archivos borrados fueron los siguientes con sus respectivas rutas:
 C:\\Users\\informant\\Google Drive\\How to get started with Drive

5
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

 C:\\Users\\informant\\Google Drive\\do_u_wanna_build_a_snow_man.mp3
 C:\\Users\\informant\\Google Drive\\happy_holiday.jpg

20. Identificar la información de la cuenta utilizada para sincronizar Google

Drive
Se usa la cuenta iaman.informant.personal@gmail.com y se evidencia en el archivo:
/Users/informant/AppData/Local/Google/Drive/user_default/sync_log.log

21. ¿Qué software se utilizó para grabar el CD?

Se realiza la validación en el timeline de Autopsy y se identifica que se usa la
aplicación nativa de Windows para grabar el CD:

22. ¿Cuándo grabó el sospechoso el CD?

Se identifica que graba el disco a las 20:43:20 del día 24 de Marzo de 2015

23. Identifique todas las marcas de tiempo relacionadas con un archivo de

© Universidad Internacionalrenuncia
de La Rioja (en formato
(UNIR) DOCX) en el escritorio de Windows.

Archivo: /Users/informant/Desktop/Resignation_Letter_(Iaman_Informant).docx
Marcas de tiempo:
 File Created: 2015-03-24 18:48:40

6
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

 Last Saved: 2015-03-24 18:59:00

 File Accessed: 2015-03-24 18:59:30
 File Changed: 2015-03-24 18:59:30
 File Modified: 2015-03-24 18:59:30

24. ¿Cómo y cuándo imprimió el sospechoso un archivo de renuncia?

Impreso en formato XPS el 2015-03-25 15:28:34

25. ¿Dónde se encuentran los archivos de la aplicación Sticky Note (Notas)?

Identifique las notas almacenadas.
Notas almacenadas en:
\Users\informant\AppData\Roaming\Microsoft\Sticky Notes\StickyNotes.snt

Sticky Notes encontradas:

Tomorrow…
Everything will be OK…

© Universidad Internacional de La Rioja (UNIR)

7
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

© Universidad Internacional de La Rioja (UNIR)

8
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

26. ¿Qué acciones se llevaron a cabo para los complicar el análisis forense del
equipo el día 25 de marzo de 2015?

Se identifica la descarga e instalación de Software que permite el borrado de datos

para evitar un análisis forense, tales como Erase y CCleaner.
Se modificaron los nombres de archivos y sus extensiones para persuadir en una
investigación forense el hallazgo de la información camuflada en archivos de
formatos como imágenes o videos.

27. Recupere los archivos borrados de los USB. ¿Hay algún archivo de interés?
 /img_cfreds_2015_data_leakage_rm#1.E01/vol_vol2/RM#1/Secret Project Data/proposal/~$ecret_project]_proposal.docx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/PRICIN~1/my_favorite_cars.db
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/PRICIN~1/my_favorite_movies.7z
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/PRICIN~1/new_years_day.jpg
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/PRICIN~1/super_bowl.avi
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/TECHNI~1/diary_#1d.txt
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/TECHNI~1/diary_#1p.txt
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/TECHNI~1/diary_#2d.txt
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/TECHNI~1/diary_#2p.txt
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/TECHNI~1/diary_#3d.txt
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/TECHNI~1/diary_#3p.txt
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/boudicca.bmp
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/cactus.png
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/design/winter_storm.amr
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/design/winter_whether_advisory.zip
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/progress/my_friends.svg
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/progress/my_smartphone.png
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/progress/new_year_calendar.one
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/proposal/a_gift_from_you.gif
 de
© Universidad Internacional /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2/$OrphanFiles/proposal/landscape.png
La Rioja (UNIR)
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0000016_secret_project_revised_points.ppt
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0060440_secret_project_price_analysis_2.xls
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0062904.xlsx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0063104.xlsx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0083104_secret_project_market_shares.xls

9
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0103208_secret_project_progress_3.doc
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0103328.docx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0103328.docx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0112072.docx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0180880.docx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0193560.docx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0193800.pptx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0194696.docx
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0198240_secret_project_technical_review_3.doc
 /img_cfreds_2015_data_leakage_rm#2.E01/vol_vol2//$CarvedFiles/f0202856_secret_project_technical_review_3.ppt

Nota:
Los archivos mencionados contienen información en texto plano confidencial de la
compañía.

28. ¿Qué archivos se copiaron el PC a los USB?

Se realiza la revisión de los hashes de todos los archivos detectados en las 3
unidades (PC, USB1 y USB2) y no se encuentran coincidencias de archivos existentes
en el PC y archivos existentes en las USB por lo que se puede deducir que no se
copiaron datos a las USB.

29. Recupere los archivos ocultos del CD ¿Hay algún archivo de interés?
Se identifican los siguientes archivos con el encabezado [Secret Project]:
 f0001308_secret_project_revised_points.ppt
 f0029724.pptx
 f0061720_secret_project_price_analysis_2.xls
 f0064184.xlsx
 f0064380.xlsx
 f0084376_secret_project_market_shares.xls
© Universidad Internacional 
de Laf0104472_secret_project_progress_3.doc
Rioja (UNIR)
 f0104588.docx
 f0113264.docx
 f0199536_secret_project_technical_review_3.doc
 f0204148_secret_project_technical_review_3.ppt

10
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

Ejemplo:

30. Examine la papelera de reciclaje del PC ¿Hay algún archivo de interés?

Se encuentran los siguientes archivos:
 Hydrangeas.jpg
 desktop.ini
 Desert.jpg
 Penguins.jpg
 Jellyfish.jpg
 IE11-Windows6.1-x64-en-us.exe
 Lighthouse.jpg
 Tulips.jpg
 Chrysanthemum.jpg
 Koala.jpg

© Universidad Internacional de La Rioja (UNIR)

11
Tema 3. Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis Forense 18 – jun - 2021
Nombre:

Indica en la actividad el nombre de todos los componentes del equipo y

cumplimenta la siguiente tabla de valoración individual:

- Juan David Londoño Martínez

- Julio Cesar Cortés Restrepo

Sí No A veces
Todos los miembros se han integrado al trabajo del grupo X
Todos los miembros participan activamente X
Todos los miembros respetan otras ideas aportadas X
Todos los miembros participan en la elaboración del informe X
Me he preocupado por realizar un trabajo cooperativo con mis X
compañeros
Señala si consideras que algún aspecto del trabajo en grupo no ha sido Infortunadamente, no
pudimos contar con el
adecuado
apoyo del compañero
Sergio Miguel Garzón
para el desarrollo de la
actividad.

© Universidad Internacional de La Rioja (UNIR)

12
Tema 3. Actividades