"Security & Pure Forensics"

.

miércoles, 5 de mayo de 2010

2 PARTE de: Te puede pasar a ti...(Forensics iPhone)

Hola lectores,

Vamos a continuar con la búsqueda del vídeo en el ordenador del menor,  dado que el móvil iPhone ha desaparecido y por lo tanto no se puede analizar.


Los  iPhone, disponen de una cámara compatible con los formatos de vídeo  estándar  y que graba unos 30 fotogramas por segundo en estéreo en los formatos de archivo M4a, M4v, MP4 y MOV. También cuando se graba un vídeo se almacena por defecto en una unidad flash (de 8, 16 o 32 GB). Como es de esperar en alguna sincronización entre el iphone e iTunes se habrá  copiado las fotos y vídeos al disco duro del ordenador.

Lo primero y lo más sencillo es buscar ficheros  con extensión M4a, M4v, MP4 y MOV. Tras un buen rato de búsqueda ha encontrado unos 30 ficheros con extensión MOV (En resumen os diré que ninguno de ellos pertenecía al vídeo que buscamos) por lo tanto nos tenemos que aplicar y estudiar más a fondo.


¿QUE HAY QUE  SABER?

Para la búsqueda de imágenes y después de documentarme en la web de Apple, veo que los formatos de imágenes se componen (entre otros) de una serie de ficheros con la siguiente extensión:

Ficheros ITHMB: Contiene la galería (carrete) de imágenes
Ficheros BTH:   Son archivos de datos BATHY Recorder.
Ficheros THM: Es utilizado por muchas aplicaciones diferentes para almacenar miniaturas.
Ficheros THL Es utilizado para las imágenes de los iconos
Ficheros THP: Son ficheros de vídeo muy utilizados en la Gamecube de Nintendo

Por lo tanto voy a la búsqueda de estos ficheros con el consiguiente resultado:


Solo dos ventanas me ofrecen resultado, la superior derecha con los resultados de ficheros HTM y la inferior derecha con un temporal del fichero ihtmb. ¡¡Vamos a ello!!

Tras un tiempo descarto los ficheros HTM , nada que ver con lo que busco, pero sin embargo el fichero ithmb me va a dar mucho juego

¡¡VEAMOS!!

Como decíamos estos ficheros contienen la galería (carrete) de imágenes, tras abrirlo con el editor hexadecimal sale en exceso mucha basura y por lo tanto no veo nada importante.

Googleando me encuentro una utilidad  'iThmbConv.exe' que extrae el contenido de estos ficheros sacando las miniaturas, quizás esta utilidad me ayude:



Y que es lo que ven mis ojosssssss; Eh Voilà!! Una miniatura. Esta me está dando en el nombre del archivo un dato muy revelador





Ya tengo una evidencia (que no la prueba). El fichero se llama IMG_0221.HTM, eso significa que el vídeo está asociado a ese fichero, por lo tanto sé que el vídeo tendrá  en su nombre final del fichero el número 0221 y la extensión .MOV (*0221.MOV)  por lo tanto si existe el fichero HTM, es posible que existiera en algún momento el vídeo, por lo tanto ¿Y si a este chico le dio por borrar el fichero?

Voy a proceder a intentar recuperar el fichero borrado, para ello me baso en mi  kit de herramientas y que mejor...que mi famoso 'Recuva'. Tras una hora más o menos, consigo ver el resultado





 ¡¡ Aquí esta!!. Una vez recuperado procedemos a ver si se visualiza.




Perfecto se visualiza. Ya tenemos la prueba.

Es hora de recopilar información y hacer el pertinente informe. Nos vamos a otro caso.

6 comentarios:

Me dejas impresionada.

Besito
PD. Me alegro mucho de que lo hayas conseguido :).

Como se suele decir: "el que vale vale, y el que no pa cabo" :)

Enhorabuena!!

hola:

Me ha encantado esta descripción que has hecho del caso¡¡

Super bueno¡¡¡

salu2.

Genial post!!

hace poco que leo tu blog, pero me estoy aficionando a él.

Una cosa, ¿habría alguna posibilidad de ver cómo queda el informe cuando está terminado?
Siento mucha curiosidad por saber exactamente que habría que poner en un informe de este tipo.

Muchas gracias por el blog!

Hola Pedro,

gracias por este nuevo artículo.

No sería bueno que también taparas algo la cara de la chica/niña en este artículo. Más que nada por si acaso tienes tú problemas y te quitas de líos.

NaCl u2

No creo que las imágenes sean reales, simplemente son unas sacadas de internet para documentar.