Análise forense en Windows

Parte 1

O ex-piloto de carreiras John Tanner é agora un policía infiltrado na Mafia de Nova York. O seu capo, o señor Castaldi, planea un golpe de forma inminente. Supoñemos que o elixido para levalo a cabo é o implacable asasino a soldo Jean Paul, alias “O Francés”, e que, como de costume, Tanner conducirá o coche da fuxida. Con todo, aínda non sabemos cal é o obxectivo.

O que si sabemos é que Tanner estivo a manter conversacións co Sr. Castaldi a través dunha aplicación de chat. Por desgraza, dita aplicación está cifrada cun mecanismo coñecido como Double Ratchet, similar ao que usan WhatsApp e os seus competidores e, por tanto, non puidemos intervir ditas comunicacións.

Agora, Tanner está desaparecido e o seu computador está frito, o cal non é de estrañar, pois medio FBI e parte da policía metropolitana están subornados. Por sorte, pouco antes do golpe, un dos nosos técnicos pasou a Tanner un USB cun programa para executar. Devandito programa, chamado DumpIt, serve para recoller unha imaxe de memoria do equipo. Cando os nosos homes chegaron, o USB estaba no agocho acordado, así que quizais os axentes corruptos do FBI non o tocaran. Como era de esperar, alí había unha imaxe de memoria co último que Tanner executou no computador antes de saír. Ademais, como quedaramos, na recepción do hotel de en fronte do seu apartamento deixounos unha nota na cal estaba escrito o código hash da imaxe creada: a518111a8f288d94fb4fb0069e36a884e1483f72b51b876303b6c7cfcb945715

Parte 2

Finalmente uns expertos en hardware lograron rescatar unha imaxe do disco de Tanner. Coa nova información adquirida, podemos sacar algúns datos mais da sua actividade nos últimos días. Os hashes do arquivo son os seguintes:

Evidencias aportadas:

El ex-piloto de carreras John Tanner es ahora un policía infiltrado en la Mafia de Nueva York. Su capo, el señor Castaldi, planea un golpe de forma inminente. Suponemos que el elegido para llevarlo a cabo es el implacable asesino a sueldo Jean Paul, alias “El Francés”, y que, como de costumbre, Tanner conducirá el coche de la huida. Sin embargo, aún no sabemos cuál es el objetivo.

Lo que sí sabemos es que Tanner estuvo manteniendo conversaciones con el Sr. Castaldi a través de una aplicación de chat. Por desgracia, dicha aplicación está cifrada con un mecanismo conocido como Double Ratchet, similar al que usan WhatsApp y sus competidores y, por tanto, no hemos podido intervenir dichas comunicaciones.

Ahora, Tanner está desaparecido y su ordenador está frito, lo cual no es de extrañar, pues medio FBI y parte de la policía metropolitana están sobornados. Por suerte, poco antes del golpe, uno de nuestros técnicos pasó a Tanner un USB con un programa para ejecutar. Dicho programa, llamado DumpIt, sirve para recoger una imagen de memoria del equipo. Cuando nuestros hombres llegaron, el USB estaba en el escondrijo acordado, así que quizás los agentes corruptos del FBI no lo hayan tocado. Como era de esperar, allí había una imagen de memoria con lo último que Tanner ejecutó en el ordenador antes de salir. Además, como habíamos quedado, en la recepción del hotel de enfrente de su apartamento nos dejó una nota en la cual estaba escrito el código hash de la imagen creada: a518111a8f288d94fb4fb0069e36a884e1483f72b51b876303b6c7cfcb945715

Parte 2

Finalmente unos expertos en hardware han logrado rescatar una imagen del disco de Tanner. Con la nueva información adquirida, podemos sacar algunos datos más de su actividad en los últimos días. Los hashes del archivo son los siguientes:

Evidencias aportadas:


IES San Clemente - CIFP Rodolfo Ucha Piñeiro


Actividade desenvolvida dentro do proxecto "Plataforma de retos de ciberseguridade. A gamificación no proceso de adquisición de competencias no ámbito da ciberseguridade", financiado na convocatoria de premios para o desenvolvemento de proxectos de innovación na FP do ano 2022.