Pages

Ads 468x60px

martes, 24 de julio de 2012

Mi primer trabajo de forense I de II

  __________________________________________________________________________
     - Mi primer trabajo de forense I de II                                                   


     - Mi primer trabajo de forense II de II

 __________________________________________________________________________

 

Hola a tod@s.

Hace bastante tiempo que no escribo en el blog, por diversos motivos (falta de tiempo, de motivación, de temática sobre la que escribir....) no he creado entradas. Tenía una a medias, que espero terminar en breve, y esta que estoy escribiendo en este preciso instante.

Bien, resulta que la semana pasada, de casualidad, me enteré de los cursos de informatica64 (http://www.informatica64.com/   @informatica64) y esta vez a tiempo de apuntarme, así que eso hice.
Me apunte a los cursos de toda la semana, del 23 al 27, con distintos contenidos, análisis forense digital, de malware etc. Y hoy como primer día he asistido al de Análisis Forense digital.

No me quiero liar demasiado, así que, resumiendo: Buenos cursos, buen ambiente y gran profesor (gracias a Carlos Alvarez de i64)

Pues nada, resulta que después de tomar unos refrescos con el gran Angelucho and son (@_angelucho_) y de coger el coche a 42º y sin aire acondicionado :$, he recibido una llamada de un compañero de un curso que hice hace 2 años, y con el cual aún mantengo amistad, pidiéndome ayuda porque le habían robado el miércoles pasado en su bar. La cuestión es que no podía acceder a los vídeos de las cámaras de seguridad y resulta que los chorizos habían entrado a cara descubierta el día anteriormente citado y  entre las 14:00 y las 15:00 horas.

Asi que, ni corto ni perezoso le he echado un par de narices al asunto y me he pringado a ayudarle. Le he dicho que cuente conmigo, he ido a comer, me he echado 2 horas de siesta xD (por eso de llevar la mente despejada :D) y me he marchado a Getafe al bar de mi amigo.

Lo primero nada mas llegar, le he pedido que me pusiese en antecedentes contándome todo con pelos y señales y además le he pedido un vaso de agua (esto ultimo para que se me pasase el susto jsjsjs)
Una vez que me ha contado todo, le he pedido que por favor me escribiese una autorización diciendo que me daba permiso para "trastear" el cacharro y para acceder a los datos de la grabación de las cámaras. No se si esto es necesario, pero prefiero ir atando cosas a comerme un marron por un trabajo que ni siquiera voy a cobrar (obviamente porque no soy informático forense).

Total, que la cosa se complicaba. No podía acceder por dyndns con su cuenta y password (cree que el técnico que le monto las cámaras la ha cambiado...) y no tenia un monitor para conectarlo directamente al grabador, que por cierto es un DVR-69Little.
Pues nada, solo se me ocurría desmontar el aparato, sacar el disco e intentar recuperar los vídeos del Miércoles 18 entre las 14:00 y las 15:00.
Le he dicho a mi amigo que me llevaba el disco a casa, puesto que allí no tenia una carcasa USB de 3,5" ni mucho menos una torre para pincharlo como disco secundario.

Una vez en casa, he sacado los guantes, la mascarilla y el plumero, por aquello de las evidencias ;) (tu ya sabes de que hablo) y he conectado el disco a mi carcasa USB externa de 3,5", peeeeeero cual ha sido mi sorpresa al ver que el disco no se calentaba, no sonaba y al poner la mano encima, no notaba ningún tipo de vibración. Estupendo, otro problema añadido! pero esto no iba a minar mi moral. Rápidamente, he dado uso a mis 2 neuronas en activo (las otras 3 estan de vacaciones y otra a media jornada por los recortes xD) y se me ha ocurrido buscar un disco que creía tener en mi cajón y que juraba que era también de 500gb. Efectivamente allí estaba! eureka, por fin algo iba a salir bien.
Ya solo tenia que cambiar la electrónica del disco duro y rezar porque funcionase (la verdad que las 5 veces que he usado esta "técnica" han funcionado todas, tengo 100% de aciertos, así que, mejor lo dejo así por si baja el porcentaje)


Cambio de la electrónica del disco.



Una vez realizado esto, el siguiente paso era ver que el disco era accesible, vamos, que arrancaba xD.
Y efectivamente al ponerle la corriente el disco se "movía". Bien, tema resuelto.

Como nos han indicado en el curso, lo siguiente era clonar el disco (al menos tener 2 copias) para poder revisar todo sin preocupaciones. Pero claro, solo tenia a mano un disco de 2,5" ya que el otro que era igual que el de mi amigo estaba con la electrónica muerta y no me servía para nada.

Ya tenia el disco clonado, pero como dice madrikeka "oh my cat"! el disco no tenia nada mas que particiones y ninguna era accesible desde windows, ni siquiera desde el administrador de discos. Pues nada, vuelta a empezar, a poner a currar a las neuronas (veras como me piden un aumento por echar horas...). Se me había ocurrido que quizá las particiones habían sido creadas desde Linux en algún formato que windows no podía acceder... así que a arrancar mi ubuntu virtual y probar.
Al arrancar ubuntu, ahí estaban las particiones, ya solo tenia que montarlas y podía comenzar la ardua tarea de la busqueda de datos.

Continuara....

8 comentarios:

  1. Noooo pero pongámonos serios como me va a dejar en continuara!!.
    que pasara con los datos? las neuronas de akil3s si trabajaran a jornada completa aun estando en verano? lograran capturar los ladrones del bar getafe?; espera el próximo episodio por este mismo canal a esta misma hora!...
    #PLOP como es que me deja así llevo mas de 8 días esperando este día y me he quedado medio.

    ResponderEliminar
    Respuestas
    1. jajajajaja no te preocupes, mañana intento sacar un rato y escribir lo que falta....no lo he hecho porque aun sigo currando jsjsjsjs

      Un abrazo y gracias!!

      Eliminar
  2. oooOOOOOO!!!! MY CAT!!!!! Me encanta tu post!!

    Yo hubiera usado Knoppix.....(me caen mejor que los de ubuntu) o Mandriva (con estos es mas díficil pero ya recuperé datos con esta distro) :D

    Pero eso ya...preferencias!!

    Si necesitas help!! avisa, que lo mismo tengo una herramienta que te pueda servir!!

    y nada!! quedo "toa" ansiosa para leer el final...aunque lo mismo mañana...me adelantas cosas XD

    ResponderEliminar
    Respuestas
    1. jajajaja gracias madrikeka!! ya pense lo de Knoppix, pero no me apetecia montar una maquina para andar trasteando...ubuntu ya estaba lista jsjsjs

      En breve estara la 2ª entrega!!!

      Eliminar
  3. Jjajaja para que luego digan que la informatica es aburrida, excelente post, mañana esperemos que con todo detalle nos expliques, un saludo ..... Muy bueno el artículo, muy bueno XD

    ResponderEliminar
    Respuestas
    1. Muchas gracias Villaveiran!!
      ya estoy terminando la entrada, en breve la subo jsjsjs

      Eliminar
  4. Solo se me ocurre una palabra,ORGULLOSO!!!!
    y estoy seguro que alguien mas lo estara tambien, y no tardando, si sigues esforzandote.

    La GRANDEZA solo tiene un camino, y tu ya estas caminando hacia un destino GRANDE.

    Me ha gustado mucho tu post, siempre hay que limar y depurar, pero tu tienes las mejores herramientas.

    Como te dice alguien por aqui, si necesitas help....

    Un abrazo GRANDE y nos vemos en la red

    ResponderEliminar
    Respuestas
    1. Gracias Angelucho!!! por todo, por tus animos, tu ayuda y por ser como eres!!!

      En 30 segundos teneis la "resolucion" del caso jsjsjsjs

      Eliminar

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates