Mensajes anteriores sobre el mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
– Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
– Belkasoft RamCapturer
El caso real: lo dicho, (1) llega una citación al domicilio del perito (telegrama, correo certíficado, llamada de teléfono). (2) El perito se acerca por el juzgado, pregunta por el caso, lee en diagonal 20 páginas de un expediente de 2.000 folios, acepta el cargo y solicita una provisión de fondos. (3) Otro día con más calma vuelve el perito al juzgado, fotocopia la descripción de la prueba, algún otro dato interesante y hace un duplicado de la «evidencia digital». La «evidencia digital» es, en este caso, un disco duro lleno de polvo, «custodiado» dentro de una caja de folios, esas cajas «DIN A4, 80 g/m2». (4) El perito duplica la evidencia en otro soporte y se lleva su archivo de imagen a casa.
El caso de prueba: para esta prueba busqué imágenes que tuviera guardadas (ficheros .dd de otros casos) pero como no me parecía muy ético enseñar las vergüenzas de algún desconocido le pedí el portátil a mi sobrino (18 años, mayor de edad) y le cloné el disco duro del sistema, los otros volúmenes estaban llenos de porno, películas y juegos. Por suerte el sobrino no se negó, algo previsible porque el portátil es un regalo mío (casualmente).
1. Cargar la evidencia en la herramienta
En esta pantalla se puede seleccionar la opción calcular Hash. Utiliza el algoritmo MD5 (no es el más recomendable) y, además, lo usa de una forma un poco extraña: al realizar la extracción calcula el Hash y luego, en cualquier momento, te permite recalcularlo para comprobar que no se ha cambiado nada. Este funcionamiento podría mejorarse bastante: se podría usar un algoritmo SHA-2 y recalcular el Hash no tiene sentido si la propia herramienta no puede modificar el fichero original.
2. Resultado del análisis
Esta vez la carga de la evidencia no fue tan rápida. Teniendo en cuenta que se trataba de 100 GB, que la imagen estaba en un disco externo con un «lento» USB 2.0, que se realizó una búsqueda exhaustiva de todos los tipos de archivos y que, además, se analizó el espacio libro del disco en busca de archivos borrados… en resumen, el proceso de análisis tardó más de 4 horas.
Este es el resultado:
Se extrajeron:
- 302 vídeos
- 1.003 imágenes
- 106 documentos (Microsoft Office, OpenOffice, PDF)
- 284.749 elementos en «Datos recuperados» (carved data), entre otros:
- Sesiones de navegadores (Chrome, Firefox, IE)
- Sesiones de IM (Skype, Google talk)
- Correos electrónicos (GMail)
- Torrents
Por supuesto, el programa extrae toda la información relevante de los datos encontrados:
- Metadatos de fotografías y documentos
- Fechas de modificación y acceso a los archivos
- Contenido en hexadecimal
- etc.
4. Conclusiones
Referencias a otros posts sobre el mismo tema:
– Belkasoft Forensic Studio Ultimate. Introducción
– Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
– Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
– Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone
– Belkasoft RamCapturer