Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone

Mensajes anteriores sobre el mismo tema:
Belkasoft Forensic Studio Ultimate. Introducción
Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria
Belkasoft RamCapturer


Sigo documentando las pruebas que he podido realizar con este producto (Belkasoft Forensic Studio Ultimate / Evidence Center). Hoy toca una prueba muy sencilla: análisis de una tarjeta de memoría de un Smartphone. Obviamente existen productos específicos para analizar dispositivos móviles como el estupendo (y caro) Oxygen Forensic Suite. Sin embargo, para algunas tareas básicas con móviles, Forensic Studio es más que suficiente.

En este ejemplo el objetivo era extraer las fotos contenidas en un móvil y cualquier información asociada a las mismas (localización, fecha de la captura, etc). Aquí me gustaría hacer un inciso para contar dos cosas:
La discreción de los peritos: no recuerdo que ningún abogado, secretario judicial, oficial o similar me haya exigido explícitamente discreción. Pero el sentido común me dice que no estaría bien que yo colgara aquí información de terceras personas que además constituyen pruebas de un proceso. Por eso todo lo que cuelgo procede de mis propios equipos, o de ejemplos creados a medida. 
El efecto CSI: se define así a las sobre-expectativas que algunos legos y/o profesionales de la carrera judicial depositan en las pruebas forenses. No todos los hechos ciertos pueden respaldarse con pruebas periciales irrefutables, a veces simplemente no se puede demostrar todo lo que sucedió (aunque ocurriera). En este caso pidieron a este perito que extrajera las fotos contenidas en un soporte digital (una tarjeta SD) y documentase la localización y el momento en que esas fotos fueron obtenidas. Por desgracia, el "malo" no sólo no tenía activada la localización en su móvil, sino que además muchas fotos procedían de una cámara tan obsoleta que no tenía GPS (y cuyo reloj estaba retrasado varios años).    
1. Cargar la evidencia en la herramienta
Como se trata de una tarjeta de memoria (una tarjeta clonada de la evidencia original depositada en el juzgado) simplemente la conecté a mi equipo después de poner la pestaña en posición "read only". Abrí la herramienta, creé un nuevo caso y elegí el origen.
Para el Evidence Center, los discos externos (USB, FireWire, tarjetas de memoria, etc.) son discos lógicos. Los discos físicos son los que tienen interfaz SATA/eSATA. 


Luego se selecciona dentro del perfil los elementos que queremos recuperar. Como siempre es mejor seleccionar de más que de menos.

Una vez seleccionado el contenido a extraer, el análisis comienza automáticamente. Por defecto, la herramienta extrae los ficheros visibles (accesibles desde el sistema de archivos) pero se pueden recuperar archivos que han sido borrados. Utiliza el sistema de "carving" basado en firmas de formatos conocidos (proceso similar al que usan conocidas herramientas como scalpel y foremost, por ejemplo). Belkasoft ha dejado la opción sin traducir ("carve device") pero el resultado lo ha traducido como "archivos recuperados" (hay traducciones que ayudan menos que el original, en ruso).




2. Resultado del análisis
Como se ve en la imagen siguiente, se recuperaron 2.241 imágenes en ficheros normales y 22.121 en ficheros borrados (localizados mediante carving). Además, automáticamente clasifica las imágenes en varias categorías: "imágenes con datos GPS (0)", "imágenes con metadatos (566)" e "imágenes de gran tamaño (420)". 


Como se puede ver, esto ahorra mucho tiempo al perito porque se puede centrar en las imágenes con metadatos y/o datos de GPS. Por supuesto, una vez localizadas las imágenes "interesantes" se pueden exportar todos los datos a un archivo y guardar la imagen original para insertarla en el informe pericial.

3. ¿caras? ¿texto? ¿porno?
Una funcionalidad un poco sorprendente, excepto si tienes que revisar miles de fotos, es la detección automática de caras, imágenes pornográficas o textos (páginas escaneadas y cosas así). Esto funciona tanto con imágenes como con vídeos. Para los vídeos el sistema identifica, primero, los key frames de las secuencias de vídeo y, luego, aplica el filtro de las imágenes.


Estos filtros funcionan bastante bien (aunque generan bastantes "falsos positivos"). Parece lógico pensar que se trata un requerimiento de una fuerza de seguridad de algún estado que no quiere que sus expertos pierdan el tiempo viendo fotos. 

4. Conclusiones
En resumen, el trabajo con Forensic Studio para analizar un sistema de archivo en busca de imágenes y sus metadatos es muy sencillo y rápido. Todo el proceso es muy simple pero, realmente, no sabría valorar el ahorro que supone respecto de un análisis manual. Desde luego, la clave está en el volumen de archivos a analizar y el esfuerzo que suponga hacer el análisis manualmente.

En próximos días escribiré sobre el análisis de un sistema Windows 7 completo y otras "features" curiosas de este producto.

Referencias a otros posts sobre este mismo tema:
Belkasoft Forensic Studio Ultimate. Introducción
Belkasoft RamCapturer
Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys)
Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria

</ Belkasoft Forensic Studio Ultimate. Análisis de tarjeta de memoria de un Smartphone>

No hay comentarios:

Publicar un comentario