perito-informatico-quijote-pedofilia

Emule Quijote es el sistema que usan las fuerzas de seguridad para la prevención del tráfico de material pedófilo a través de Internet en España. Se basa en la identificación de los hashes previamente tutorizados y la localización de los orígenes y destinos a través de conexiones P2P. Este sistema evita que puedan cambiar de nombre el fichero y perderse, ya que al existir el medio criptográfico, se hace perfectamente viable la trazabilidad.

Cuando ocurre una entrada y registro para precintar los equipos y discos de un posible pedófilo, se abre un sistema de investigación por tenencia y compartición de pornografía infantil. La peritación informática se hace necesaria cuando existen casos en los que si existe tenencia, pero no compartición de pornografía infantil.

Una vez que se ha realizado la extracción forense del disco duro, con su copia y su hash, en modo sólo lectura hay que centrarse en una serie de parámetros:

Dentro del directorio [root]\Users\[usuario]\AppData\Local\eMule\config\ veremos que existen una serie de ficheros que son interesantes y que guardan información relativa a la actividad y comportamiento del citado programa, los cuales son:

PREFERENCES.INI

Almacena los parámetros de funcionamiento y configuración, introducidos previamente en las opciones de configuración del programa eMule, así como cierta información acerca de los detalles visuales, etc., que pueden ser modificadas por el Usuario. En este fichero se  puede comprobar si existe un mod de Emule.

El perito informático comprobará el mod. Un mod es una modificación del programa original y puede valer para, cuando se hace la peritación informática de emule, comprobar si el usuario ha bloqueado la subida de datos y, por tanto, podría ser una prueba de que se ha intentado evitar la subida de contenido.

Se indica también la Carpeta donde se almacena los archivos descargados completamente y la Carpeta donde se almacenan los archivos en proceso de descarga.

AC SEARCHSTRINGS

Almacena todas las cadenas de búsqueda utilizadas, con el fin de ofrecer la opción de autocompletar, si una nueva búsqueda coincide con otras anteriores, salvo que se desmarque la opción de recordar en la configuración del eMule, o se elimine este archivo, que se vuelva a crear automáticamente, cuando se ejecuta nuevamente el software eMule.

Se pueden revisar las búsquedas que se han realizado y, de aquí extraer si ha existido una continuidad. Es básico para cualquier caso de pornografía infantil. El contenido de este archivo puede ser modificado tantas veces como se desee, por parte del usuario del programa, usando la opcion “limpiar historial”, o dentro de la opción preferencias desmarcando la opción “recordar historial”.

KNOWN.NET

Este archivo, guarda todos aquellos archivos que el eMule instalado ha descargado completamente, siempre y cuando no se haya producido una interrupción voluntaria o accidental de la descarga, además de guardar más información sobre esos archivos, tales como su tamaño y nombre, valores de hashes, estadísticas, peticiones, bytes compartidos, etc…, aunque los mismos hayan sido borrados del disco duro.

En los casos de pedofilia, hay que comprobar que los archivos descargados coinciden con las búsquedas almacenadas en AC SEARCHSTRINGS.

STATISTICS.INI

Este fichero se encuentra en la misma ruta, hay que centrarse en las columnas Request Total (total de peticiones), Request Accepted (peticiones aceptadas) y TotalUploadedBytes (bytes compartidos).

Imaginemos esta tabla

Requests Total Requests Accepted TotalUploadedBytes TotalDownloadedBytes
86603969 544283691074597841221

 

Esta tabla indica que se puede afirmar, que estos archivos han sido peticionados 8660 ocasiones, de las que el eMule ha aceptado 3969 conexiones, habiendo compartido un total de 5.442.836.910 bytes (5,07 Gb), y se ha descargado un total de 74.597.841.221 de bytes (69,47Gb).

DOWNLOADS.TXT

Este archivo alberga un listado de los archivos x.part y enlaces eD2K correspondientes a cada una de las descargas actuales del eMule. Se actualiza cada vez que se inicia el eMule. Son los archivos que están en proceso de descarga, dentro del directorio ejegido.

FICHEROS BORRADOS

 Han podido ser descargados y borrados ciertos ficheros que puedan resultar interesantes para la peritación informática. Se hace necesario realizar una recuperación de datos.

La búsqueda de ficheros .part y .part.met son necesarias ya que son los temporales que crea emule cuando descarga un fichero antes de que se complete.

El perito informático también tendrá que realizar la búsqueda en el directorio destino de las descargas.

Así mismo, hay que mirar el directorio \Users\[usuario]\AppData\Roaming\Microsoft\Windows\Recent\  que es donde se almacenan las entradas de los archivos abiertos recientemente.

Archivo de Índices $I30

Pueden existir entradas almacenadas en el fichero de índices $I30 del MFT del sistema de ficheros del sistema operativo.

RESUMEN DE EMULE

o
Known.met
The Known.met saves all files eMule knows of whether they are shared files, files currently in the download list or downloaded in the past. For every file information like file size, filename, hash sets, hash values and some statistics are saved. If you delete this file, eMule will have to rehash all files on the next restart. If you don’t want eMule to remember downloaded files, disable the “Remember downloaded files” option in the preferences.
o
Known2_64.met
Stores AICH hashes of all downloaded and / or shared files. If you delete this file, eMule will have to rehash all files on the next restart. If you don’t want eMule to remember downloaded files, disable the “Remember downloaded files” option in the preferences.
o
Known2.met
This file is not used by eMule anymore. If you do not plan to downgrade to an earlier version, you can delete this file.
o
Cancelled.met
All files which you started to download but then cancelled before completing are noted here, so eMule can mark those files to avoid redownloading them again. If you don’t want eMule to remembercancelled files, disable the “Remember cancelled files” option in the preferences.
o
Clients.met
This file stores all users who have credits with your eMule
o
Server.met
Contains all known servers.
o
Emfriends.met
If users are added to the friends list they are stored in this file.
o
Preferences.ini
Saves all options set in the Options dialog and information about visual details like column size etc. Some development related and advanced options can only be enabled by editing this file, see this topic for details.
o
Fileinfo.ini
Comments or Ratings for your own shared files.
o
Category.ini
Stores the settings of your categories like name, comment and colour coding.
o
Ipfilter.dat
This file contains the IP ranges and access levels to be filtered by the IP Filter. Also see Options -> Security
o
Onlinesig.dat
The Online Signature is a small file which contains the server eMule is connected to and up- and download statistics. Can be used by IRC scripts or signature images.
o
Preferences.dat
Saves the user hash. This is a value calculated at eMule’s first start and is used to identify this client in the network. Used for credit system and friends.
o
Sharedir.dat
Holds the paths to all shared directories.
o
Staticservers.dat
Static servers never change their IP and are theoretically always online in the network. These servers can be added to staticservers.dat by the context menu (right mouse button) of the server list. See also Options -> Server
o
Addresses.dat
eMule updates its server list at startup if valid addresses to server.mets are provided in this file. Options -> Server offers a button to edit this list and the option for updating at start up. The file may contain multiply entries (one on each line) but only the first address to deliver a valid server.met is used.
o
AC_SearchStrings.dat
Each search string that has been used is recorded and an auto-completing is offered if a new search matches previous ones.
o
AC_ServerMetURLs.dat
Same file as the the one above. The only difference is that this one is used to store entered URL to server.met files. Mind that many sites regularly change the addresses to their server.mets.
o
Cryptkey.dat
Contains the unique 384 bit private RSA key of your client to verify your userhash. If you delete this file, make sure to also delete preferences.dat which stores your userhash.
o
Collectioncryptkey.dat
This file only exists if you have created and signed at least one collection in eMule. It contains a unique 1024 bit RSA key, which will be used for all collections you are signing to verify that they are from the same author.
o
eMule.tmpl
The *.tmpl files are required for the Webinterface. They define layout and options of the displayed pages.
o
xx.part
Part files are unfinished downloads. eMule is able to download from more than one user at the same time, so the *.part files always have the size of finished download. Missing parts are simply filled with zero. In recent versions, and when using the NTFS filesystem, you can enable to option to share incompleted files as ‘sparse’, which prevents this behaviour and in doing so saves filespace.
o
xx.part.met
Every *.part file has a corresponding *.part.met file. To identify a download in the network and to check for errors each download is divided in about 9 MB parts. For each part a so called hash value is calculated. Then a new hash value is created of the complete set of these part hashes. This information together with the file name and the status of the hashes are stored in the *.part.met files.
o
xx.part.met.BAK
A backup of the *.part.met files is created as it is very bad if such a file gets corrupted by a crash. See Troubleshooting for help, if your downloads vanish due to corrupted *.part.met files.
o
eMule.log
Saves the output of the Log window in the Server pane if the appropriate option in Options -> Extended is turned on
o
eMule_Debug.log
Saves the output of the Debug window in the Server pane if the appropriate option in Options -> Extended is turned on
o
src_index.dat, preferencesKad.dat, nodes.dat, key_index.dat, load_index.dat
Those files are used by Kad and contain infromations about known nodes, keywords, preferences etc.