Uno de los últimos casos en los cuales el laboratorio estuvo trabajando en estas semanas, un caso de un disco duro Hitachi de laptop encriptado con encriptación de Symantec PGP
En un inicio cuando nos llegó la unidad no se nos informó de la encriptación a nivel sector, esto lo descubrimos al realizar los análisis y no encontrar daño físico en la unidad ; sin embargo al buscar información no encontraba ningun software nada de información , al realizar un análisis de patrón detectamos el patrón AES lo que nos argumentaba una encriptación a nivel sector.
Se realizó un proceso de extracción de sectores completo en el disco y se trató de montar el clon, sin embargo la utilería de Symantec no detectaba la unidad, descubrimos que el sector de booteo se había sobreescrito, por lo cual tuvimos que obtener otra región de sectores de otro disco encriptado de la misma versión y reconstruir los sectores de booteo, pues son únicos para cada unidad al momento de hacer la encriptación
Imagen del sector o LBA 0 donde se aprecia la sobreescritura de un sector de volumen NTFS en lugar del sector de encriptación propio de la utilería
Tras este proceso la unidad pudo ser detectada por el sistema de Symantec y se comenzó el proceso de desencriptación que tardó varios días
