Hola,
Hace un tiempo hablamos en el blog sobre cómo trabajar con imágenes forenses fragmentadas. Hoy vamos a hablar de otro aspecto importante: el uso de imágenes comprimidas.
Es curioso como muchas personas siguen trabajando sólo con capturas de medios brutas sin prestar atención a los beneficios de la compresión en el tratamiento de imágenes forenses. A mí me sorprende esto bastante, ya que con los tamaños que manejamos últimamente en los medios, ¿por qué no sacar ventaja de la compresión?
El objetivo de este artículo es exponer, utilizando AFF como ejemplo, cómo se trabaja con imágenes forenses comprimidas. Ejecutaremos varios escenarios prácticos para ver cómo se realizan las capturas, y cómo podemos convertir los formatos entre sí.
Nuestro medio a capturar
Para acelerar el proceso voy a recurrir a mi llave USB 'NUEVO VOL' :)
Resulta inmediato identificar un sistema de ficheros FAT32 con 2071520 sectores de 512 bytes, lo que rápidamente implica un tamaño de aproximadamente 1 giga. Los contenidos son un documento de texto y un PDF con unas tarjetas de embarque:
Ejercicio 1. Generación de una imagen bruta bit a bit
Tal y como se puede comprobar, ejecutamos la imagen sin sorpresas: ahí están nuestros 2071520 sectores.
Ejercicio 2. Generación de una imagen comprimida en formato AFF
El formato Advanced Forensics Format (AFF) es un formato muy recomendable para el análisis forense. Además de permitir la incrustación de metadatos, ofrece dos poderosos medios de compresión y posibilidad de cifrar. Por un lazo, zlib, que es rápido y efectivo (es el que usa EnCase, por cierto). Adicionalmente soporta re-compresión con LZMA, que aunque es lento, produce reducciones de tamaño drásticas.
Además de obtener la imagen comprimida, aimage nos proporciona información útil, como los hashes resultantes. Una vez más, como era de esperar, resultan 1060618240 bytes leídos. El ratio de compresión es pequeño, lo cual era de esperar teniendo en cuenta el pequeño espacio que ocupan los contenidos de la unidad: apenas llega al 2%. A poco que ejecutemos el trabajo en una unidad más poblada, y a mayor tamaño, más notorio y justificado será el efecto de la compresión.
Ejercicio 3: Montaje de la imagen bruta
Ejercicio 4: Montaje de la imagen comprimida
En la secuencia se puede comprobar como el resultado es exactamente el mismo. El montaje de la imagen AFF se realiza con affuse, y posteriormente, la imagen bruta obtenida (cuyo tamaño casa con la imagen bruta original) se monta como una imagen cualquiera.
Ejercicio 5: Conversión de una imagen bruta en una imagen comprimida
Para ello empleamos afconvert, que también es parte de AFFLIB.
Ejercicio 6: Conversión de una imagen comprimida en una imagen bruta
Nuevamente empleamos afconvert
Ejercicio 7: ¿Pasa algo raro?
¿Nos hemos cargado la cadena de custodia? ¿Sí? ¿No? ¿Todo lo contrario? Este ya os lo dejo a vosotros :)
Un saludo,
"
No hay comentarios:
Publicar un comentario