05 julio 2009

Google Desktop, indexación ninja

Google Desktop es una herramienta diseñada para la búsqueda de información en nuestro equipo de forma similar a como se hace en Google.com. Su uso es tan sencillo como instalarla y esperar a que recorra varios tipos de archivo ofimáticas como son por ejemplo documentos word, excel, imágenes, PDFs, archivos ZIP, archivos de texto o historial de navegación. Según son procesados los ficheros se detectan cadenas de texto que almacena en base de datos. Una vez generada esta información, es posible consultarla mediante un pequeño servidor web que es configurado localmente.

Desde la perspectiva forense esta herramienta puede ser evidencia de que archivos han estado en el equipo y que información contenían. Esta tarea está ampliamente documentado en trabajos como: Google Desktop as a Source of Digital Evidence, Extracting Evidence Using Google Desktop Search o Google Desktop Search as an Analysis Tool

Otra aplicación que considero interesante es el uso de esta herramienta como opción de motor de indexación en análisis forenses. Existen bastantes limitaciones, ya que no indexa los datos del disco borrados, puesto que trabaja a nivel de sistema de ficheros, tampoco permite analizar más de 100.000 ficheros ni que estos tengan más de 10.000 palabras, lo que puede ser corto para archivos de correo como son los PST de Outlook.

Entre las ventajas encontramos que tiene un coste realmente bueno (aka gratis) y permite el análisis de otros tipos de fichero mediante el uso de plugins, como pueden ser: CAD, DWG, adjuntos de outlook, metadatos, mindmap, realmedia, etc. Otro aspecto interesante es el uso de la línea de tiempo que podría ser modificada para que utilice la fecha del acceso a fichero y no la fecha de indexación.

Como alternativa existen otros productos de características similares como son el software de Microsoft o Copernic.