Mensajes anteriores sobre el mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
– Belkasoft RamCapturer
La discreción de los peritos: no recuerdo que ningún abogado, secretario judicial, oficial o similar me haya exigido explícitamente discreción. Pero el sentido común me dice que no estaría bien que yo colgara aquí información de terceras personas que además constituyen pruebas de un proceso. Por eso todo lo que cuelgo procede de mis propios equipos, o de ejemplos creados a medida.
El efecto CSI: se define así a las sobre-expectativas que algunos legos y/o profesionales de la carrera judicial depositan en las pruebas forenses. No todos los hechos ciertos pueden respaldarse con pruebas periciales irrefutables, a veces simplemente no se puede demostrar todo lo que sucedió (aunque ocurriera). En este caso pidieron a este perito que extrajera las fotos contenidas en un soporte digital (una tarjeta SD) y documentase la localización y el momento en que esas fotos fueron obtenidas. Por desgracia, el «malo» no sólo no tenía activada la localización en su móvil, sino que además muchas fotos procedían de una cámara tan obsoleta que no tenía GPS (y cuyo reloj estaba retrasado varios años).
1. Cargar la evidencia en la herramienta
2. Resultado del análisis
3. ¿caras? ¿texto? ¿porno?
Una funcionalidad un poco sorprendente, excepto si tienes que revisar miles de fotos, es la detección automática de caras, imágenes pornográficas o textos (páginas escaneadas y cosas así). Esto funciona tanto con imágenes como con vídeos. Para los vídeos el sistema identifica, primero, los key frames de las secuencias de vídeo y, luego, aplica el filtro de las imágenes.
4. Conclusiones
En resumen, el trabajo con Forensic Studio para analizar un sistema de archivo en busca de imágenes y sus metadatos es muy sencillo y rápido. Todo el proceso es muy simple pero, realmente, no sabría valorar el ahorro que supone respecto de un análisis manual. Desde luego, la clave está en el volumen de archivos a analizar y el esfuerzo que suponga hacer el análisis manualmente.
En próximos días escribiré sobre el análisis de un sistema Windows 7 completo y otras «features» curiosas de este producto.
Referencias a otros posts sobre este mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft RamCapturer
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
</ Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone>