Se recrudece la batalla judicial que mantienen el propietario de un prostíbulo con la Agencia Tributaria. Durante la instrucción del caso, un perito judicial ha ratificado que un PC fue manipulado tras ser requisado por Hacienda
Minudos perlas, y menuda mierda de procedimiento. Si haces una imagen del disco, con sus correspondientes "hashes", no hay contrapericial que te lo tumbe. Copiar ficheros "a mano" en el equipo original, en lugar de "jugar" con la imagin del disco es muy mala praxis
#3 bueno, no sé quién habrá metido la pata, pero al servicio de delitos informáticos de la GC o Nacional se le supone unos mínimos de conocimiento, y están muy acostumbrados a la custodia de pruebas en general. No se, a mi me huele mal
Es como si un taxista decide ir por el camino más largo, puede ser error, pero joder... Es su profesión y es lo básico...
#4 Abundo, sin ser forense ni nada, cuando me dedicaba a esas cosas si me traían un PC o disco con problemas y contenido supuestamente valioso, lo primero era sacar una copia bit a bit SIN arrancar el PC o disco y de punta a cabo. Los experimentos con gaseosa, y mejor con una copia de la copia, especialmente si había que recuperar la tabla de particiones o algo así. Ah y por supuesto nada de Windows.
#9 Lo metes en cualquier máquina que tenga unacontroladora con un puerto libre. El controlador, pues depende de lo que sea, SATA, IDE (antiquísimo) ó SCSI, o lo que sea, en muchos casos te valdrá incluso con uno de esos adaptadores USB-SATA. Después en Linux, por ejemplo, es tan fácil como dd if= of=
La única dificultad que puedes encontrar es que el disco esté cifrado con Bitlocker o similar, tendrás una copia binaria pero seguirás sin poder saber lo que hay sin la clave.
#10 Bueno, en el caso de bitlocker, pues toca preguntar al "cliente". Por otro lado, excelente respuesta.
Añado que en Linux es posible montar una imagen y ver el contenido como si fuera un disco real, sin necesidad de grabarla en un soporte aparte (genial para los ISO/DVD, sin "quemar" discos ni nada)
Ahora bien, para "arrancar" el disco /PC normalmente sí que tendríamos que copiar la imagen a un disco similar y de capacidad igual o superior al original, montarlo en su sitio y escogerlo como unidad de arranque. Pero... ¿quién querría hacer eso?
#10 se perfectamente como sacar una imagen del disco, pero gracias por tu respuesta. Mi pregunta iba por la parte de "[...] SIN arrancar el pc o disco". En tu misma respuesta, indicas que mueves el disco a otra maquina, lo arrancas (el disco, que no el sistema) y haces la copia. Por que sin tener el disco funcionando... No puedes hacer ninguna copia.
#2 Yo tengo mi teoría conspiranoica. Les traen el PC de las putas y lo arrancar para ver qué hay dentro.
Al botarlo, se modifica el disco, el hash cambia y ya no vale como prueba.
#8 Vas bien. ese PC era muy goloso para un salido. En algún momento estuvo a mano de alguien ajeno al equipo (porque dudo que alguien tan imbécil llegue a pisar esa unidad) y se tiró 55 minutos fisgando y sacando copias.
Al tratar información de forma masiva, es probable que pueda haber algún tipo de modificación en el movimiento de ficheros realizada por el propio sistema operativo que pueda provocar que la huella se modifique.
Comentarios
Minudos perlas, y menuda mierda de procedimiento. Si haces una imagen del disco, con sus correspondientes "hashes", no hay contrapericial que te lo tumbe. Copiar ficheros "a mano" en el equipo original, en lugar de "jugar" con la imagin del disco es muy mala praxis
#1 crees que no lo saben? Sospecho que alguno se habrá llevado un sobresueldo en B
#2 No descartes que simplemente sean unos inútiles
#3 bueno, no sé quién habrá metido la pata, pero al servicio de delitos informáticos de la GC o Nacional se le supone unos mínimos de conocimiento, y están muy acostumbrados a la custodia de pruebas en general. No se, a mi me huele mal
Es como si un taxista decide ir por el camino más largo, puede ser error, pero joder... Es su profesión y es lo básico...
#4 Abundo, sin ser forense ni nada, cuando me dedicaba a esas cosas si me traían un PC o disco con problemas y contenido supuestamente valioso, lo primero era sacar una copia bit a bit SIN arrancar el PC o disco y de punta a cabo. Los experimentos con gaseosa, y mejor con una copia de la copia, especialmente si había que recuperar la tabla de particiones o algo así. Ah y por supuesto nada de Windows.
#6 pues... Ya me explicarás cómo sacabas imagenes del disco sin arrancarlo... Igual se te ha ido la mano exagerando?
#9 Lo metes en cualquier máquina que tenga unacontroladora con un puerto libre. El controlador, pues depende de lo que sea, SATA, IDE (antiquísimo) ó SCSI, o lo que sea, en muchos casos te valdrá incluso con uno de esos adaptadores USB-SATA. Después en Linux, por ejemplo, es tan fácil como dd if= of=
La única dificultad que puedes encontrar es que el disco esté cifrado con Bitlocker o similar, tendrás una copia binaria pero seguirás sin poder saber lo que hay sin la clave.
#10 Bueno, en el caso de bitlocker, pues toca preguntar al "cliente". Por otro lado, excelente respuesta.
Añado que en Linux es posible montar una imagen y ver el contenido como si fuera un disco real, sin necesidad de grabarla en un soporte aparte (genial para los ISO/DVD, sin "quemar" discos ni nada)
Ahora bien, para "arrancar" el disco /PC normalmente sí que tendríamos que copiar la imagen a un disco similar y de capacidad igual o superior al original, montarlo en su sitio y escogerlo como unidad de arranque. Pero... ¿quién querría hacer eso?
#10 se perfectamente como sacar una imagen del disco, pero gracias por tu respuesta. Mi pregunta iba por la parte de "[...] SIN arrancar el pc o disco". En tu misma respuesta, indicas que mueves el disco a otra maquina, lo arrancas (el disco, que no el sistema) y haces la copia. Por que sin tener el disco funcionando... No puedes hacer ninguna copia.
#2 Yo tengo mi teoría conspiranoica. Les traen el PC de las putas y lo arrancar para ver qué hay dentro.
Al botarlo, se modifica el disco, el hash cambia y ya no vale como prueba.
#8 Vas bien. ese PC era muy goloso para un salido. En algún momento estuvo a mano de alguien ajeno al equipo (porque dudo que alguien tan imbécil llegue a pisar esa unidad) y se tiró 55 minutos fisgando y sacando copias.
Al tratar información de forma masiva, es probable que pueda haber algún tipo de modificación en el movimiento de ficheros realizada por el propio sistema operativo que pueda provocar que la huella se modifique.
NO.
dinero ganado sin cuotas ni paguitas. Ya viene la agencia tributaria a joderlo todo