🕵️♂️ Reto Forense: Deleted file
En este reto se nos presenta una escena típica en análisis forense digital: una memoria USB encontrada que podría contener pistas sobre su dueño. Usaremos herramientas de análisis de datos eliminados y metadatos para resolverlo.
🎯 Objetivo
Identificar al propietario de la memoria USB. La flag es el identificador en el formato: firstname_lastname.
📥 Paso 1: Descomprimir la imagen
Descarga el archivo proporcionado, por ejemplo usb.image.gz, y descomprímelo con:
gunzip usb.image.gzEsto generará el archivo usb.image que contiene los datos del dispositivo USB.
🔍 Paso 2: Recuperar archivos con Foremost
Usamos la herramienta Foremost para recuperar archivos borrados (en este caso, imágenes PNG):
foremost -i usb.image -t png -o salida-i: especifica el archivo de imagen a analizar-t png: busca solo archivos PNG-o salida: carpeta donde se guardarán los archivos extraídos
🖼️ Paso 3: Analizar los metadatos
Ve a la carpeta donde se han recuperado los PNG:
cd salida/pngY analiza uno de los archivos con ExifTool:
exiftool archivo.pngAlternativamente, si trabajas en entorno gráfico (por ejemplo Parrot OS, Kali o Ubuntu), puedes hacer clic derecho sobre la imagen y elegir «Propiedades → Detalles».
🔐 Flag encontrada
Entre los metadatos encontrarás un campo tipo:
Creator: john_doeEsto indica que la flag es:
john_doe🧠 Conclusión
Este reto nos enseña cómo archivos aparentemente eliminados aún pueden contener datos identificativos. Los metadatos son una fuente clave en el análisis forense, por lo que borrar adecuadamente la información sensible es fundamental.
🛠️ Herramientas utilizadas
gunzip— para descomprimir la imagenforemost— para recuperar archivos eliminadosexiftool— para leer metadatos de imágenes
✅ ¡Reto completado! Sigamos con el siguiente 🔎