La Flagoneta

Concurso de analisis Forense

Julio 25, 2006 on 9:15 pm | In General | 3 Reflexiones

Resolución del Caso por Sicotico (Luis puente) e Hisie (Diego Cebrián) En el proceso seguido para la resolución del caso se ha hecho una copia de seguridad sobre la imagen descargada, para evitar las posibles modificaciones sobre la misma. Esto atiende a la razón de que la descarga de la imagen original tardó 4 horas y 10 minutos, no podíamos arriesgarnos a perderla. Examinando esta copia de seguridad sonbre dos ordenadores distintos procedimos a intentar descifrar que contenía. Sobre el SO Mac se utilizó una herramienta de texto, vi, en busca de alguna pista que nos dijera que tipo de fichero era, pues imágenes hay de muchos tipos, desde cue hasta iso, pasando por las propietarias nrg y los raw de cada una de las máquinas de fotos. Sobre un linux con etorno kde se intentó abrir directamente la imagen, pues este entorno de escritorio soporta la lectura de tipos mime de ficheros. Este método tampoco funcionó, pues el sistema no era capaz de reconocer el fichero como un sistema de ficheros valido para montar. tras buscar documentación en internet sobra tipos de ficheros en SO unix descubrimos el comando “file”. este comando devuelve información del tipo de fichero según los magic numbers, en base hexadecimal, que se encuentran en la cabecera que define el fichero. La aplicación desta técnica sobre el fichero en cuestión resultó fructifera pues descubrimos que se trataba de una imagen de un dispositivo completo, y no de tan solo una de sus particiones. Tenía tabla de particiones extendida dentro de la misma imagen. El hecho de no poder montar este tipo de ficheros con un loopback sobre linux, ya que este solo reconoce particiones concretas con sistemas de ficheros concretos, nos llevó a utilizar la “Utilidad de discos” de mac os. Habíamos comprobado previamente que usaba los dispositivos como ficheros y era capaz de reconocer las particiones internas de los mismos. Al montar la imagen con esta utilidad, resultó que la imagen tenía una sola partición, con un sistema de ficheros FAT12. Este sistema de ficheros es perfectamente reconocido por el SO en cuestión. Luego tenemos acceso a todos los ficheros de la imagen. esplorando las carpetas encontramos una serie de fotografías, aparte de otros ficheros que no importan en este caso. Una de las fotografias mostraba el rostro de un ser conocido por estos lugares como supuesto analista forense informático, pero que en realidad y según la miniatura de la foto debió ser falsificador de billetes, pues lo puso en uno de ellos. El hecho de que el país del billete falsificado no existiera, nos hace pensar razonablemente que los destinatarios de tal timo, eran los vendedores de cupones de la ONCE. Esperando que la solución sea satisfactoria, nos despedimos. Si no nos encuentra en nuestro sitio esta noche, estaremos cenando, o tomando unas cervecitas en la playa. Buenas Noches.