Cyberdefenders Eli Walkthrough

 

Como analista social, analice los artefactos y responda las preguntas.

Preguntas

La carpeta donde almacenar todos tus datos. ¿Cuántos archivos hay en el directorio de descargas de Eli?

En el directorio de descarga hay 6 archivos. La información se obtuvo de la siguiente manera. Prime con la instrucción ls -R | grep Downloads de Linux, liste todos los archivos del directorio Chromebook.

El directorio que nos interesa es ./decrypted/mount/user/Downloads. Me cambie de directorio Downlods y ejecute el siguiente comando de Linux ls | nl.

Como se muestra en la imagen hay 6 archivos en el directorio Downloads.

¿Qué es el hash MD5 de la foto de perfil del usuario?

La foto de perfil de usuario se encuentra en el directorio Chromebook/decrypted/mount/user/Accounts/Avatar Images/ y el nombre del archivo de la foto de perfil es eflatt610@gmail.com. Lo primero que hice fue identificar el tipo de archivo ya que el nombre asignado al archivo es una dirección de correo. Con la herramienta Exiftool identificaré el archivo.

El archivo es un archivo en formato PNG, por lo tanto, copiaré el archivo y lo renombraré como eflatt610.png y lo abriré con la herramienta ImageMagick.

Ahora calcularé el MD5 del archivo original, es decir, eflatt610@gmail.com para calcular el MD5 de la imagen utilizaré la utilidad md5sum de Linux.

¿En qué ciudad estaba el destino de Eli?

La ciudad de destino es Plattsburgh. La información se obtuvo del directorio /takeout/Takeout/My Activity/Maps/ en el hay un archivo MyActivity.html.

Al revisar todos los links, el que llamo mi atención fue el segundo link. 

En la imagen se puede observar la ruta que realizó Eli.

¿Cuántas promesas hace Wickr?

Wickr al parecer es una empresa de software estadounidense con sede en Nueva York, la empresa es conocida por su aplicación de mensajería. Entonces utilizaré la utilidad grep de Linux para buscar alguna coincidencia con la palabra Wickr.

Al visitar la url https://wickr.com/wp-content/uploads/2020/11/Wickr-Customer-Security-Promises-November-2020.pdf, se muestran las "Wickr’s Customer Security Promises"

¿Cuáles son los cinco últimos caracteres de la clave de la extensión Tabby Cat?

Los últimos caracteres de la clave de extensión de Tabby Cat es DAQAB. La información se obtuvo del directorio /Chromebook/decrypted/mount/user/ en el archivo Preferences. Utilice la herramienta online Jsonformatter para formatear el archivo.

¿Cuántas canciones se ha descargado Eli?

Eli a descargado 2 canciones. La información se obtuvo del directorio /Chromebook/decrypted/mount/user/MyFiles/Music.

¿Qué palabra se autocompletó más?

La palabra que se autocompleto más veces fue email. La información se obtuvo del directorio /Chromebook/decrypted/mount/user y el archivo Web Data que un archivo de base de dato sqlite.

¿Cuál es el tamaño lógico de la imagen de pájaro en bytes?

El tamaño lógico de la imagen es 46,791. La información se obtuvo del directorio /Chromebook/decrypted/mount/user/Downloads y el archivo de imagen llamado tux.png.

¿Cuál era el sitio más visitado de Eli?

El sitio más visitado por Eli es protonmail.com. La información se obtuvo del directorio /takeout/Takeout/My Activity/Chrome/ y el archivo MyActivity.html.

Aquí toca contar cada sitio, pero yo ya hice la tarea :).

¿Cómo se llama el tema relacionado con los coches?

El tema relacionado con el coche se llama Lambroghini Cherry. La información se obtuvo del directorio /Chromebook/decrypted/mount/user/Extensions/dkkklbgbfaeockpgbkleblklmcjdbnbj/1_0 del archivo Manifest.json.

Para encontrar la información realice una búsqueda recursiva en el directorio /Chromebook/ 

con el siguiente comando Linux grep -R -i Theme y en los resultados obtenidos me llamo la atención los siguiente.

Luego, analicé el archivo Manifest.json y encontré la respuesta a la pregunta.

¿Cuántos correos electrónicos se recibieron de notification@service.tiktok.com?

El número de correo electrónicos recibido fueron 6, La información se obtuvo del directorio /takeout/Takeout/Mail/ del archivo 'All mail Including Spam and Trash.mbox'.

¿Adónde solicitó el usuario direcciones el 4 de marzo de 2021 a las 4:15:18 a.m.EDT?

El usuario solicito en Chick-fil-A. Chick-fil-A es un restaurante de sandwiches. La información se obtuvo del directorio /home/remnux/lab_forensic/takeout/Takeout/My Activity/Maps del archivo MyActivity.html.

¿Quién define lo esencial? - Lo que se buscó el Mar 4, 2021, at 4:09:35 AM EDT

Lo que se busco es "is travelling to get chicken essential travel". La información se obtuvo del directorio /takeout/Takeout/My Activity/Search/ del archivo MyActivity.html.

¿A cuántos canales de YouYube está suscrito el usuario?

El usuario esta suscrito a 0 (cero) suscripciones. La información se obtuvo del directorio '/takeout/Takeout/YouTube and YouTube Music/subscriptions/' del archivo subscriptions.json.

¿En qué fecha se subió el primer vídeo de YouTube que vio el usuario?

La fecha que se subió el primer video que vio el usuario fue 27/01/2021. La información se obtuvo del directorio '/takeout/Takeout/YouTube and YouTube Music/history' del archivo watch-history.html.

¿Cuál es el precio del cinturón?

El precio del cinturón es $98.5. La información se obtuvo del directorio /takeout/Takeout/Chrome/ del archivo BrowserHistory.json.

Al visitar la url de la página web no se muestra el precio del cinturón.

Para poder saber el precio del cinturón utilice la herramienta Internet Archive.

https://web.archive.org/web/20210122000112/https://www.vineyardvines.com/mens-belts/pebbled-leather-belt/1B001191.html?dwvar_1B001191_color=202&cgid=mens-accessories

 Happy Hack!!!