• Inicio
  • BLOG
  • Contenido
  • Descargas
  • Enlaces
  • Contacto

Javier Tobal

Javier Tobal

  • twitter
  • linkedin
  • mail
  • medium
  • Welcome
  • Sobre mí
  • BLOG
  • Especialidades
    • Tecnología
    • Telecomunicaciones
    • Peritajes informáticos
    • Consultoria
  • Organizaciones
  • Servicios
  • Cara B
    • Tercer sector
    • Aficiones
    • Gratuita publicidad

Belkasoft Forensic Studio Ultimate. Análisis completo de un sistema Win7

14/07/2013 by Javier Tobal

Mensajes anteriores sobre el mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
– Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
– Belkasoft RamCapturer

Otro caso para Belkasoft Forensic Studio Ultimate / Evidence Center. Hoy toca un caso voluminoso que suele dar pereza nada más leer la citación: analizar el contenido completo del disco duro de un ordenador. Como este es un ejemplo voy a contar el caso real y el caso de prueba que preparé para este artículo.

El caso real: lo dicho, (1) llega una citación al domicilio del perito (telegrama, correo certíficado, llamada de teléfono). (2) El perito se acerca por el juzgado, pregunta por el caso, lee en diagonal 20 páginas de un expediente de 2.000 folios, acepta el cargo y solicita una provisión de fondos. (3) Otro día con más calma vuelve el perito al juzgado, fotocopia la descripción de la prueba, algún otro dato interesante y hace un duplicado de la «evidencia digital». La «evidencia digital» es, en este caso, un disco duro lleno de polvo, «custodiado» dentro de una caja de folios, esas cajas «DIN A4, 80 g/m2». (4) El perito duplica la evidencia en otro soporte y se lleva su archivo de imagen a casa.

El caso de prueba: para esta prueba busqué imágenes que tuviera guardadas (ficheros .dd de otros casos) pero como no me parecía muy ético enseñar las vergüenzas de algún desconocido le pedí el portátil a mi sobrino (18 años, mayor de edad) y le cloné el disco duro del sistema, los otros volúmenes estaban llenos de porno, películas y juegos. Por suerte el sobrino no se negó, algo previsible porque el portátil es un regalo mío (casualmente).

Resultado: tengo en mi poder una imagen de un disco de 100 GB que contiene todo el sistema de un portátil que utiliza Windows 7. Dentro de un disco externo USB 2.0 (error). La velocidad de transferencia es clave para que las tareas de análisis no se alarguen insoportablemente.

1. Cargar la evidencia en la herramienta

Igual que en las otras pruebas comentadas en otros artículos, esta operación es inmediata:

En esta pantalla se puede seleccionar la opción calcular Hash. Utiliza el algoritmo MD5 (no es el más recomendable) y, además, lo usa de una forma un poco extraña: al realizar la extracción calcula el Hash y luego, en cualquier momento, te permite recalcularlo para comprobar que no se ha cambiado nada. Este funcionamiento podría mejorarse bastante: se podría usar un algoritmo SHA-2 y recalcular el Hash no tiene sentido si la propia herramienta no puede modificar el fichero original.

2. Resultado del análisis
Esta vez la carga de la evidencia no fue tan rápida. Teniendo en cuenta que se trataba de 100 GB, que la imagen estaba en un disco externo con un «lento» USB 2.0, que se realizó una búsqueda exhaustiva de todos los tipos de archivos y que, además, se analizó el espacio libro del disco en busca de archivos borrados… en resumen, el proceso de análisis tardó más de 4 horas. 
Este es el resultado:

Se extrajeron:

  • 302 vídeos
  • 1.003 imágenes
  • 106 documentos (Microsoft Office, OpenOffice, PDF)
  • 284.749 elementos en «Datos recuperados» (carved data), entre otros:
    • Sesiones de navegadores (Chrome, Firefox, IE)
    • Sesiones de IM (Skype, Google talk)
    • Correos electrónicos (GMail)
    • Torrents

Por supuesto, el programa extrae toda la información relevante de los datos encontrados:

  • Metadatos de fotografías y documentos
  • Fechas de modificación y acceso a los archivos
  • Contenido en hexadecimal
  • etc.
3. Algunos ejemplos
Lógicamente, no se trata de analizar todo el material obtenido, precisamente una herramienta como esta permite centrarse en la información relevante. Aquí van algunos ejemplos de contenidos encontrados.
Archivos torrent borrados. Esto es muy práctico porque lo habitual es que el fichero torrent se borre una vez descargado el contenido. 

Documentos con sus metadatos. Soporta los formatos más comunes: Microsoft Office, OpenOffice, PDF. Por supuesto se pueden extraer los archivos localizados para analizarlos manualmente, por ejemplo para abrirlos y ver su contenido. 
Aunque no lo he probado, la herramienta puede extraer documentos cifrados integrándose con Passware Kit Forensic (otros 1.000$). 

Como ya se comentó, el programa puede analizar las imágenes encontradas y localizar rostros en las imágenes, imágenes pornográficas e imágenes con texto (documentos escaneados). Esto también se puede hacer con los vídeos.

4. Conclusiones

Este caso es un ejemplo claro que justifica la inversión de 1.000$ (aprox) en la licencia de Belkasoft Forensic Studio. Analizar 100 GB a mano buscando todo lo que puedas encontrar, extrayendo información de ficheros borrados y documentar todo es un trabajo muy laborioso. Con esta herramienta ahorras bastante tiempo: consigues el mismo resultado (o mejor) y, además, te queda más tiempo para dormir o para trabajar en otros casos.

Un uso profesional de esta herramienta requiere un equipo preparado para ello. Lo más importante es, sin duda, disponer de discos rápidos (y voluminosos) tanto para las evidencias como para el propio programa. Para cargar las evidencias yo compraría una unidad RAID externa con 4 bahías «hot-swappeables» y conectores eSATA / USB 3.0 donde poder «enchufar» los discos que se traigan del «campo de batalla».
También es importante la velocidad y el volumen de los discos del sistema donde esté instalado. El uso de SQLite parece, a ojo, menos ágil que una base de datos MS SQL Server. Por supuesto, el SQL Server es obligatorio para instalaciones multi-usuario.
También el volumen de almacenamiento disponible es importante, el análisis del disco de 100 GB ocupó 28 GB en disco.
Utilizar MD5 para los «hashes» de las evidencias es un poco obsoleto. Aunque sólo sea para que el perito no tenga que poner en su informe que usó «una función criptográfica segura para verificar la autenticidad de la evidencia: MD5».
En este caso, el software ha dado muestras varias veces de estar a punto de quedarse colgado aunque, finalmente, sólo una vez se bloqueó totalmente. Las demás ocasiones, simplemente se queda bloqueado varios minutos hasta que termina la tarea en curso (esto también se podría mejorar).
En próximos días escribiré sobre otras «features» curiosas de este producto y colgaré un análisis personal resumiendo lo que más me ha gustado y lo que menos de esta solución.

Referencias a otros posts sobre el mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
– Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
– Belkasoft RamCapturer

</ Belkasoft Forensic Studio Ultimate. Análisis completo de un sistema Win7>

Filed Under: BLOG, Peritajes, Uncategorized Tagged With: belkasoft, forense, herramientas, peritaje, perito informático, seguridad

Javier Tobal

Informático. Perito judicial. Experto en ciberseguridad.
CISO
Expert in cybersecurity, ICT, innovation. Computer forensics. CISO

Linkedin

Twitter

Sobre mí

cyberwiser.eu

CYBERWISER.EU es una iniciativa europea orientada a construir un entorno para profesionales de la ciberseguridad y usuarios donde realizar ejercicios de ciberseguridad. Soy miembro del Stakeholders Expert Board

cyberwatching.eu

CYBERWATCHING.EU es el Observatorio Europeo de Ciberseguridad y Privacidad. Colaboré en la puesta en marcha de este proyecto como representante de la Agrupación Empresarial Innovadora (AEI) en Ciberseguridad y Tecnologías Avanzadas.
Tweets by @JaviTobal

Mi canal en Youtube

Etiquetas

BCM BCP belkasoft BIA big data BYOD casos reales ciberseguridad consultoría continuidad continuidad de negocio correo electrónico crisis management devices dispositivos email evidencia digital forense forensics hacking herramienta forense herramientas HIKVISION IMAGEMAGICK imagenes digitales interceptación legal LINUX movilidad MTPOD peritaje peritaje informático perito perito informático redes sociales review RPO RTO SCRIPTS security seguridad social media software super-cookies videovigilancia windows

Copyright © 2023 · Metro Pro Theme JTOBAL on Genesis Framework · WordPress · Log in