Javier Tobal

Javier Tobal

Belkasoft Forensic Studio Ultimate. Análisis completo de un sistema Win7

by

Mensajes anteriores sobre el mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
– Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
– Belkasoft RamCapturer

Otro caso para Belkasoft Forensic Studio Ultimate / Evidence Center. Hoy toca un caso voluminoso que suele dar pereza nada más leer la citación: analizar el contenido completo del disco duro de un ordenador. Como este es un ejemplo voy a contar el caso real y el caso de prueba que preparé para este artículo.

El caso real: lo dicho, (1) llega una citación al domicilio del perito (telegrama, correo certíficado, llamada de teléfono). (2) El perito se acerca por el juzgado, pregunta por el caso, lee en diagonal 20 páginas de un expediente de 2.000 folios, acepta el cargo y solicita una provisión de fondos. (3) Otro día con más calma vuelve el perito al juzgado, fotocopia la descripción de la prueba, algún otro dato interesante y hace un duplicado de la «evidencia digital». La «evidencia digital» es, en este caso, un disco duro lleno de polvo, «custodiado» dentro de una caja de folios, esas cajas «DIN A4, 80 g/m2». (4) El perito duplica la evidencia en otro soporte y se lleva su archivo de imagen a casa.

El caso de prueba: para esta prueba busqué imágenes que tuviera guardadas (ficheros .dd de otros casos) pero como no me parecía muy ético enseñar las vergüenzas de algún desconocido le pedí el portátil a mi sobrino (18 años, mayor de edad) y le cloné el disco duro del sistema, los otros volúmenes estaban llenos de porno, películas y juegos. Por suerte el sobrino no se negó, algo previsible porque el portátil es un regalo mío (casualmente).

Resultado: tengo en mi poder una imagen de un disco de 100 GB que contiene todo el sistema de un portátil que utiliza Windows 7. Dentro de un disco externo USB 2.0 (error). La velocidad de transferencia es clave para que las tareas de análisis no se alarguen insoportablemente.

1. Cargar la evidencia en la herramienta

Igual que en las otras pruebas comentadas en otros artículos, esta operación es inmediata:

En esta pantalla se puede seleccionar la opción calcular Hash. Utiliza el algoritmo MD5 (no es el más recomendable) y, además, lo usa de una forma un poco extraña: al realizar la extracción calcula el Hash y luego, en cualquier momento, te permite recalcularlo para comprobar que no se ha cambiado nada. Este funcionamiento podría mejorarse bastante: se podría usar un algoritmo SHA-2 y recalcular el Hash no tiene sentido si la propia herramienta no puede modificar el fichero original.

2. Resultado del análisis
Esta vez la carga de la evidencia no fue tan rápida. Teniendo en cuenta que se trataba de 100 GB, que la imagen estaba en un disco externo con un «lento» USB 2.0, que se realizó una búsqueda exhaustiva de todos los tipos de archivos y que, además, se analizó el espacio libro del disco en busca de archivos borrados… en resumen, el proceso de análisis tardó más de 4 horas. 
Este es el resultado:

Se extrajeron:

  • 302 vídeos
  • 1.003 imágenes
  • 106 documentos (Microsoft Office, OpenOffice, PDF)
  • 284.749 elementos en «Datos recuperados» (carved data), entre otros:
    • Sesiones de navegadores (Chrome, Firefox, IE)
    • Sesiones de IM (Skype, Google talk)
    • Correos electrónicos (GMail)
    • Torrents

Por supuesto, el programa extrae toda la información relevante de los datos encontrados:

  • Metadatos de fotografías y documentos
  • Fechas de modificación y acceso a los archivos
  • Contenido en hexadecimal
  • etc.
3. Algunos ejemplos
Lógicamente, no se trata de analizar todo el material obtenido, precisamente una herramienta como esta permite centrarse en la información relevante. Aquí van algunos ejemplos de contenidos encontrados.
Archivos torrent borrados. Esto es muy práctico porque lo habitual es que el fichero torrent se borre una vez descargado el contenido. 

Documentos con sus metadatos. Soporta los formatos más comunes: Microsoft Office, OpenOffice, PDF. Por supuesto se pueden extraer los archivos localizados para analizarlos manualmente, por ejemplo para abrirlos y ver su contenido. 
Aunque no lo he probado, la herramienta puede extraer documentos cifrados integrándose con Passware Kit Forensic (otros 1.000$). 

Como ya se comentó, el programa puede analizar las imágenes encontradas y localizar rostros en las imágenes, imágenes pornográficas e imágenes con texto (documentos escaneados). Esto también se puede hacer con los vídeos.

4. Conclusiones

Este caso es un ejemplo claro que justifica la inversión de 1.000$ (aprox) en la licencia de Belkasoft Forensic Studio. Analizar 100 GB a mano buscando todo lo que puedas encontrar, extrayendo información de ficheros borrados y documentar todo es un trabajo muy laborioso. Con esta herramienta ahorras bastante tiempo: consigues el mismo resultado (o mejor) y, además, te queda más tiempo para dormir o para trabajar en otros casos.

Un uso profesional de esta herramienta requiere un equipo preparado para ello. Lo más importante es, sin duda, disponer de discos rápidos (y voluminosos) tanto para las evidencias como para el propio programa. Para cargar las evidencias yo compraría una unidad RAID externa con 4 bahías «hot-swappeables» y conectores eSATA / USB 3.0 donde poder «enchufar» los discos que se traigan del «campo de batalla».
También es importante la velocidad y el volumen de los discos del sistema donde esté instalado. El uso de SQLite parece, a ojo, menos ágil que una base de datos MS SQL Server. Por supuesto, el SQL Server es obligatorio para instalaciones multi-usuario.
También el volumen de almacenamiento disponible es importante, el análisis del disco de 100 GB ocupó 28 GB en disco.
Utilizar MD5 para los «hashes» de las evidencias es un poco obsoleto. Aunque sólo sea para que el perito no tenga que poner en su informe que usó «una función criptográfica segura para verificar la autenticidad de la evidencia: MD5».
En este caso, el software ha dado muestras varias veces de estar a punto de quedarse colgado aunque, finalmente, sólo una vez se bloqueó totalmente. Las demás ocasiones, simplemente se queda bloqueado varios minutos hasta que termina la tarea en curso (esto también se podría mejorar).
En próximos días escribiré sobre otras «features» curiosas de este producto y colgaré un análisis personal resumiendo lo que más me ha gustado y lo que menos de esta solución.

Referencias a otros posts sobre el mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
– Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
– Belkasoft RamCapturer

</ Belkasoft Forensic Studio Ultimate. Análisis completo de un sistema Win7>