651 52 48 45

info@ciberforensic.com

Sevilla

c/ Manuel Arellano nº1

Lunes - Viernes

08:30 - 20:30

Áreas ocultas – HPA/DCO con OSForensic

 

A lo largo de este artículo, nuestro equipo de peritos informáticos en Sevilla nos trae una pequeña demostración de  cómo investigar y obtener información oculta en los sectores de un disco duro. Para desarrollar este tutorial se ha utilizado el software forense OSForensic.

En primer lugar debemos tener claros los siguientes términos:

HPA

El “Host Protected Area” (HPA) es un espacio del disco duro que puede ser usado para almacenar datos y que tiene la particularidad de que los datos contenidos en dicha área no pueden ser vistos por el Sistema operativo y se sitúan en la parte final del mismo. Hay que tener que cuenta que los cambios en el HPA son volátiles, se pierden al reiniciar.

Visto desde otro punto de vista podemos decir que es una característica para ocultar los sectores de un disco duro de ser accesible para el usuario final. Por lo que HPA también se puede utilizar para ocultar datos ilegales, que en nuestra investigación forense pueden ser de interés.

En la práctica es muy sencillo detectar cuando un disco duro tiene habilitado HPA, simplemente ver si coinciden la dirección máxima del disco (Max Native LBA) y la dirección máxima de acceso del usuario (Max User LBA).

 

DCO

“Device Configuration Overlay” (DCO) incorpora nuevas características que un disco puede o no implementar. Ocupa el espacio en disco inmediatamente posterior al HPA. Hay que tener el cuenta que los cambios en DCO son permanentes, se mantienen tras un reinicio del sistema.

 

Max User LBA: El sector direccionable máximo por el usuario. Esto determina la capacidad que indique el disco al sistema.

Max Native LBA: El sector direccionable máximo permitido por el disco.

Max Disk LBA: El sector direccionable máxima del disco físico.

Detect HPA/DCO: Comienza a analizar el disco.

HPA Size: El tamaño de la zona entre el Max User LBA y Max Native LBA.

Remove HPA: Si está presente, se retira el HPA en el disco especificado. Los sectores que antes estaban ocultas en el HPA son ahora accesibles.

Image HPA: Si está presente, se crea una imagen de la HPA y se guarda en el disco. La HPA se restaura a su estado original después de imagen.

 

DCO Size: El tamaño de la zona entre el Max  Native LBA y Max Disk LBA

Remove DCO: Si está presente, el DCO en el disco especificado se elimina. Los sectores que antes estaban ocultas en el DCO ahora son accesibles.

Image DCO: Si está presente, se crea una imagen de la DCO y se guarda en el disco. El DCO se restaura a su estado original después de imagen.

 

CÓMO FUNCIONA

  • Botón Detect HPA/DCO: OSForensics primero intentará detectar y mostrar el tamaño de las áreas HPA / DCO ocultos.Si se encuentra con éxito, pueden ser removidos o fotografiado, exponiendo los datos ocultos.

 

  • Botones Remove HPA/DCO… : Una vez que el HPA y / o zonas ocultas DCO se han detectado con éxito, el disco que estamos analizando puede ser retirado para que los datos ocultos en los sectores puedan ser accedidos y analizados por el Visor de disco (Raw Disk Viewer) y otros módulos de OSForensics.

 

  • Botones Image HPA/DCO… : Alternativamente, las zonas ocultas HPA / DCO pueden conservarse mediante la creación de una imagen de los sectores ocultos y guardarlo en un archivo.Este archivo puede ser analizado por otros módulos de OSForensics como el Visor de archivos.

 

 

Ya tenemos la imagen de la HPA creada,  podemos ver su contenido usando File System Browser y su visor interno.

Usando la herramienta File System Browser navegamos hasta la ubicación donde se guardó la imagen, hacemos clic derecho sobre el archivo de imagen y elegir la opción «Ver con visor interno”, «View with Internal Viewer”.

Ahora podemos ver el contenido hexadecimal de la zona y utilizar las otras funciones de visualización interna como «String Extract», como se muestra en el siguiente ejemplo.

 

Como ha quedado demostrado a lo largo de este tutorial, a la hora de realizar un peritaje informático, es muy importante contar con herramientas especializadas.

En esta ocasión, ha sido nuestro perito informático en Sevilla el encargado de llevar a cabo un complejo trabajo de investigación para descubrir información oculta al usuario final.

En nuestro laboratorio forense contamos entre otras, con OSForensic, una de las herramientas más potentes del mercado. Seguimos trabajando para esclarecer la verdad ante delitos de carácter tecnológico.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.