• Notebook Toshiba Satellite Pro T110-11M
• HDD: Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB
CLONADO:
• El disco es inaccesible a través de la herramienta para la copia y adquisición de imágenes "Image Masster Solo III Forensic"
• El intento de realizar la clonación a través de distintas herramientas de adquisición lógica forensics dan el mismo resultado de imposibilidad de acceder al sistema de particiones del disco y ni siquiera al disco físicamente.
• La tecnología del equipo como la del disco duro así como el resultado de las pruebas de adquisición es compatible con protección de Password de HDD.
PRUEBAS NEGATIVAS ANULACIÓN DE LA SEGURIDAD:
• El intento de acceder a la BIOS Phoenix SecureCore del equipo para ver las opciones de seguridad es infructuoso por tener el equipo activado protección de acceso a la BIOS por password tanto como usuario como administrador.
• La prueba de las distintas contraseñas por defecto de la marca Toshiba así como las de la BIOS Phoenix es infructuosa.
• Se adquiere un disco similar a la evidencia Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB si bien aunque el PBC es a simple vista idéntico presenta en la placa base alguna diferencias de referencias impresas:
- en la evidencia
(G002439-0A) (FKN79A A002439-0 A) (MDK339V-0W)
- en el adquirido
(G002439-0A) (FKN79A A002439-0 A) (HannStar JMV-6 96V-0)
• El intercambio de PBC entre los dos HDD hacen ambos inaccesibles al intentar el montaje con sonidos propios de no acceso correctamente a los platos del disco.
HACKING:
• Se resetea el password de la BIOS del equipo a través de cortocircuitear el jumper G1 20 segundos (accesible al despegar la pegatina detrás de la RAM) con el equipo conectado a corriente y el otro extremo del cable al punto de soldadura lateral.
• Una vez eliminado el password de administración de la BIOS del equipo se debe proceder a eliminar la contraseña del disco duro.
• Se examina el disco a analizar el cual tiene activada la protección HDD/SSD Password Select: "User Only" no siendo posible acceder a la opción HDD/SSD Password Select.
• Se cambia el disco analizar por el adquirido, el cual evidentemente no está protegido, y ahora ya es posible acceder a esa opción activando en HDD/SSD Password Select: "User+Master".
• Después se accede a Master Password y en este status que nos pide que entremos la contraseña, desconectamos el HDD en caliente del equipo y conectamos el disco evidencia.
• Activamos un Master Password cualquiera contestándonos que los cambios han sido guardados.
• Accedemos de nuevo Master Password y cambiamos la contraseña dando a ENTER sin introducir ningún valor en los tres campos contestándonos que los cambios han sido guardados.
• Ahora se accede a HDD/SSD Password Select seleccionando: "User Only".
• Y ahora en User Password nos presentará la posibilidad de entrar el password que queramos, damos al ENTER sin introducir ningún valor y nos dará cambio realizado y ya tenemos el disco duro sin protección.
• En este punto desconectamos el disco y ya lo tenemos preparado para poder realizar con el clonado con la herramienta que queramos, dado que las particiones del mismo ya serán visibles y accesibles.
