26. Autopsy Forensic para recuperacion de archivos

 26. Autopsy Forensic para Recuperación de Archivos

📅 Fecha: Noviembre 19, 2025

¡Hola a todos! 👋
En esta clase, exploramos la recuperación avanzada de archivos, imágenes y documentos a partir de una copia forense en un disco duro, utilizando la herramienta Autopsy Forensic. A continuación, te resumo los pasos y conceptos clave:

🔍 Proceso de Recuperación con Autopsy

1. Creación de un Nuevo Caso

  • Iniciamos creando un nuevo caso en Autopsy, tal como vimos en clases anteriores.

  • Es fundamental trabajar con una copia forense y no directamente con el disco físico, para evitar alterar la evidencia. En investigaciones privadas, aunque no haya otro perito que cuestione la metodología, siempre es mejor seguir las buenas prácticas.

2. Configuración del Caso

  • Asignamos un nombre al caso (ej: "Caso Udemy") y seleccionamos la ubicación para guardarlo (en este caso, el escritorio).

  • Agregamos la copia forense o el disco duro a analizar. Autopsy permite trabajar con:

    • Imágenes forenses.

    • Discos duros físicos.

    • Espacios no asignados (donde suelen residir los archivos eliminados).

3. Análisis del Disco o Imagen

  • Autopsy aplica múltiples metodologías para recuperar archivos, analizar logs, metadatos, etc.

  • El proceso puede tomar tiempo, dependiendo del tamaño del disco, pero es exhaustivo.

  • Nos enfocamos en la recuperación de archivos eliminados, los cuales permanecen en el espacio no asignado hasta que son sobrescritos.

4. Filtrado y Visualización de Archivos

  • Autopsy clasifica los archivos por tipo: imágenes, videos, documentos, etc.

  • Podemos visualizar archivos en formato hexadecimal o texto para identificar alteraciones (ej: archivos con extensiones modificadas).

  • Los metadatos (EXIF) también son analizados, lo que puede revelar información valiosa como ubicación GPS en imágenes.

5. Recuperación de Archivos

  • Seleccionamos los archivos eliminados que queremos recuperar y los extraemos a una ubicación segura (ej: escritorio).

  • En este ejemplo, recuperamos archivos como "receta_gato" y "cómo_preparar_perro", mostrando cómo Autopsy reconstruye archivos desde el espacio no asignado.

⚠️ Recomendaciones Importantes

  • Trabajar con copias forenses: Evita conectar el disco original para no alterar la evidencia.

  • Verificar extensiones y metadatos: No todos los archivos son lo que parecen. Usa el análisis hexadecimal para confirmar su tipo real.

  • Extraer metadatos: Archivos como documentos de Office o imágenes pueden contener información oculta (ej: imágenes incrustadas, coordenadas GPS).

🛠️ Herramientas Relacionadas

  • OpenOffice: Alternativa libre a Microsoft Office, compatible con formatos como .odt (equivalente a .doc).

  • Autopsy: Ideal para análisis forenses avanzados, recuperación de archivos y análisis de metadatos.

🎥 Miniatura de la Clase

📺 Duración: 0:15 / 9:03
🔗 [Ver clase completa aquí]

¡Espero que esta clase te haya sido útil! Si tienes dudas o quieres profundizar en algún tema, no dudes en dejar tu comentario. 😊

¿Necesitas ayuda con algún otro tema? ¡Estoy aquí para ayudarte!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más