Pages

Ads 468x60px

martes, 24 de julio de 2012

Mi primer trabajo de forense I de II

  __________________________________________________________________________
     - Mi primer trabajo de forense I de II                                                   


     - Mi primer trabajo de forense II de II

 __________________________________________________________________________

 

Hola a tod@s.

Hace bastante tiempo que no escribo en el blog, por diversos motivos (falta de tiempo, de motivación, de temática sobre la que escribir....) no he creado entradas. Tenía una a medias, que espero terminar en breve, y esta que estoy escribiendo en este preciso instante.

Bien, resulta que la semana pasada, de casualidad, me enteré de los cursos de informatica64 (http://www.informatica64.com/   @informatica64) y esta vez a tiempo de apuntarme, así que eso hice.
Me apunte a los cursos de toda la semana, del 23 al 27, con distintos contenidos, análisis forense digital, de malware etc. Y hoy como primer día he asistido al de Análisis Forense digital.

No me quiero liar demasiado, así que, resumiendo: Buenos cursos, buen ambiente y gran profesor (gracias a Carlos Alvarez de i64)

Pues nada, resulta que después de tomar unos refrescos con el gran Angelucho and son (@_angelucho_) y de coger el coche a 42º y sin aire acondicionado :$, he recibido una llamada de un compañero de un curso que hice hace 2 años, y con el cual aún mantengo amistad, pidiéndome ayuda porque le habían robado el miércoles pasado en su bar. La cuestión es que no podía acceder a los vídeos de las cámaras de seguridad y resulta que los chorizos habían entrado a cara descubierta el día anteriormente citado y  entre las 14:00 y las 15:00 horas.

Asi que, ni corto ni perezoso le he echado un par de narices al asunto y me he pringado a ayudarle. Le he dicho que cuente conmigo, he ido a comer, me he echado 2 horas de siesta xD (por eso de llevar la mente despejada :D) y me he marchado a Getafe al bar de mi amigo.

Lo primero nada mas llegar, le he pedido que me pusiese en antecedentes contándome todo con pelos y señales y además le he pedido un vaso de agua (esto ultimo para que se me pasase el susto jsjsjs)
Una vez que me ha contado todo, le he pedido que por favor me escribiese una autorización diciendo que me daba permiso para "trastear" el cacharro y para acceder a los datos de la grabación de las cámaras. No se si esto es necesario, pero prefiero ir atando cosas a comerme un marron por un trabajo que ni siquiera voy a cobrar (obviamente porque no soy informático forense).

Total, que la cosa se complicaba. No podía acceder por dyndns con su cuenta y password (cree que el técnico que le monto las cámaras la ha cambiado...) y no tenia un monitor para conectarlo directamente al grabador, que por cierto es un DVR-69Little.
Pues nada, solo se me ocurría desmontar el aparato, sacar el disco e intentar recuperar los vídeos del Miércoles 18 entre las 14:00 y las 15:00.
Le he dicho a mi amigo que me llevaba el disco a casa, puesto que allí no tenia una carcasa USB de 3,5" ni mucho menos una torre para pincharlo como disco secundario.

Una vez en casa, he sacado los guantes, la mascarilla y el plumero, por aquello de las evidencias ;) (tu ya sabes de que hablo) y he conectado el disco a mi carcasa USB externa de 3,5", peeeeeero cual ha sido mi sorpresa al ver que el disco no se calentaba, no sonaba y al poner la mano encima, no notaba ningún tipo de vibración. Estupendo, otro problema añadido! pero esto no iba a minar mi moral. Rápidamente, he dado uso a mis 2 neuronas en activo (las otras 3 estan de vacaciones y otra a media jornada por los recortes xD) y se me ha ocurrido buscar un disco que creía tener en mi cajón y que juraba que era también de 500gb. Efectivamente allí estaba! eureka, por fin algo iba a salir bien.
Ya solo tenia que cambiar la electrónica del disco duro y rezar porque funcionase (la verdad que las 5 veces que he usado esta "técnica" han funcionado todas, tengo 100% de aciertos, así que, mejor lo dejo así por si baja el porcentaje)


Cambio de la electrónica del disco.



Una vez realizado esto, el siguiente paso era ver que el disco era accesible, vamos, que arrancaba xD.
Y efectivamente al ponerle la corriente el disco se "movía". Bien, tema resuelto.

Como nos han indicado en el curso, lo siguiente era clonar el disco (al menos tener 2 copias) para poder revisar todo sin preocupaciones. Pero claro, solo tenia a mano un disco de 2,5" ya que el otro que era igual que el de mi amigo estaba con la electrónica muerta y no me servía para nada.

Ya tenia el disco clonado, pero como dice madrikeka "oh my cat"! el disco no tenia nada mas que particiones y ninguna era accesible desde windows, ni siquiera desde el administrador de discos. Pues nada, vuelta a empezar, a poner a currar a las neuronas (veras como me piden un aumento por echar horas...). Se me había ocurrido que quizá las particiones habían sido creadas desde Linux en algún formato que windows no podía acceder... así que a arrancar mi ubuntu virtual y probar.
Al arrancar ubuntu, ahí estaban las particiones, ya solo tenia que montarlas y podía comenzar la ardua tarea de la busqueda de datos.

Continuara....
Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates