Este documento describe una práctica de laboratorio sobre la recuperación de archivos eliminados. El objetivo es recuperar un archivo eliminado de una partición FAT32 y obtener metadatos como el nombre, fecha de creación, tamaño y hash. El estudiante sigue los pasos de montar la partición, encontrar el archivo eliminado usando WinHex, recuperarlo, y luego usar una herramienta en línea para extraer los metadatos del archivo recuperado.

1. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Actividades
Trabajo: Recuperación de ficheros eliminados
El objetivo de esta actividad es ver y entender de manera práctica lo que se ha explicado
para recuperar información eliminada. Durante el desarrollo de la misma, has de
recuperar de manera manual, tal y como se explica el archivo eliminado dentro de una
partición FAT32 y visualizar los metadatos asociados a dicho archivo.
Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el
apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las
entradas del directorio raíz de una partición FAT. El artículo está disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29
Para realizar la práctica, se puede utilizar el software que crea conveniente, aunque se
recomienda utilizar: AccessData FTK Imager, Winhex y FCiv (o cualquier otro software
que permita el cálculo de hashes). Para el análisis de los metadatos puede utilizar
ExifTool, o la herramienta online Metashield Analyzer1.
Para realizar la práctica se debe hacer lo siguiente:
Calcular el SHA1 del archivo facilitado para realizar la práctica (archivo
VHD03.E01).
Obtener mediante Winhex y haciendo uso de las plantillas incluidas:
o Nombre y extensión del archivo eliminado.
o Fecha de creación, modificación y último acceso.
o Tamaño del archivo.
o Clúster inicial.
o El offset inicial y final del archivo.
Recuperar el archivo eliminado.
Calcular el SHA1 del archivo recuperado.
Obtener los metadatos asociados al archivo recuperado.
1
https://metashieldanalyzer.elevenpaths.com/

2. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
1. Calcular el SHA1 del archivo facilitado para realizar la practica (VHD03.E01)
Luego se procede a calcular el Hash para MD5 y SHA1
Seleccionamos la opción Herramientas y Calcular Hash

3. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Despues de haber obtenido los dos hashes, se puede decir que el hash de Sha1
no coincide con el de la imagen original.
A continuacion se muestran las originales:
Image Verification Results:
Verification started: Mon May 04 14:17:41 2015
Verification finished: Mon May 04 14:17:41 2015
MD5 checksum: 24b6522a03f063664c67ae97d44202c4 : verified
SHA1 checksum: 652fa30361677e19f03f6f07201ae143fa650132 :
verified

4. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
2. Obtener mediante Winhex y haciendo uso de las plantillas incluidas:
a. Nombre y extensión del archivo eliminado.
b. Fecha de creación, modificación y último acceso.
c. Tamaño del archivo.
d. Clúster inicial.
e. El offset inicial y final del archivo.
Para proceder con este apartado se debe realizar el montaje de la unidad dada
en el ejercicio, para ello se utilizará el programa AccesData FTK.
Montamos una imagen:
Verficamos que se haya creado la imagen del disco:

5. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Se debera obtener la siguiente ventana, en la cual indique el archivo oculto el
cual debe ser recuperado
Se copiara los caracteres finales, para realizar la busqueda en la unidad UNIR

6. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Buscaremos dicho texto:
3. Recuperar el archivo eliminado
En winhex deberemos ir a tool disk y file recovery by type:

7. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
En la ventana resultante se debera configurar la carpeta en donde se requiere
guardar el archivo borrado:
Miramos en el directorio que indicamos que se debera guardar:
Mostramos la imagen recuperada:

8. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
4. Calcular el SHA1 del archivo recuperado
5. Obtener los metadatos asociados al archivo recuperado
Para realizar este analisis, se utilizara un programa en linea llamado: Metashiel,
Analizador en Linea

9. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Seleccionamos el archivo a analizar:
Aceptamos el mensaje que nos sale y deberiamos poder visualizar los datos:

10. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
Los datos relativos a las fechas
 Fecha de creación: 8/22/2008 9:07:44 PM
Información EXIF
 SALIR miniatura
 Descripción imagen: Plaza Mayor de Madrid
 Marca: NIKON CORPORATION
 Modelo: NIKON D60
 Orientación: Arriba, lado izquierdo (Horizontal / normal)
 X Resolución: 300 puntos por pulgadas
 Y Resolución: 300 puntos por pulgadas
 Unidad de resolución: Pulgadas
 Software: V.1.00
 Fecha / Hora: 2008: 08: 22 21:07:44
 Artista: Lourdes Martínez
 YCbCr Posicionamiento: Punto de referencia
 Tiempo de exposición: 1/60 seg

11. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
 F-Número: F 3.5
 Clasificación de Velocidad ISO: 1600
 Exif versión: 2.21
 Fecha / Hora original: 2008: 08: 22 21:07:44
 Fecha / Hora digitalizado: 2008: 08: 22 21:07:44
 Componentes de configuración: YCbCr
 Comprimido bits por píxel: 4 bits / pixel
 Valores de exposición parcial: 0
 Max Valor de Apertura: F 3.5
 Modo medición: Multisegmentos
 Fuente de luz: 0
 Flash: Flash disparado, detectado retorno, Auto
 Distancia focal: 18.0 mm
 Usuario Comentario:
 Sub-Sec Tiempo: 30
 Sub-Sec Hora original: 30
 Sub-Sec Tiempo Digitalizado: 30
 FlashPix Version: 1.00
 Espacio de color: sRGB
 Exif de la imagen Anchura: 3872 píxeles
 Exif altura de la imagen: 2592 píxeles
 Método de detección de un chip sensor de área de color
 Archivo de origen: Cámara fotográfica digital (DSC)
 Tipo de escena: imagen directamente fotografiada
 Patrón CFA:
 Rendida por el usuario: 0
 Modo de exposición: exposición automática
 El modo de balance de blancos: el balance de blancos automático
 Relación de zoom digital: 1
 Longitud focal en película de 35 mm: 27 mm

12. Asignatura Datos del alumno Fecha
Informática Legal
Apellidos: Toapanta Molina
14 de diciembre de 2020
Nombre: Alex Jhonatan
Práctica de Laboratorio N0 1 Msc. Diego Baroja Llanos
 Escena Tipo de captura: Estándar
 Control de ganancia: Baja disminución de ganancia
 Contraste: Ninguno
 Saturación: Ninguno
 Nitidez: Ninguna
 Título (Win): Plaza Mayor de Madrid
 Autor (Win): Lourdes Martínez
 Palabra Clave (Win): Madrid, Plaza Mayor
 Compresión: JPEG (estilo antiguo)
 Miniatura Offset: 30194 bytes
 Miniatura Longitud: bytes 5546
 Miniatura de datos: [5546 bytes de datos de imágenes en miniatura]