En este post la solución a uno de los retos de análisis forense de Cybercamp 2018 Online . Este reto tiene el título "Vacaciones" y mi valoración sobre su dificultad es ★ ★ ★ ★ ☆ . Su enunciado dice lo siguiente: Por orden de un juez, se ha intervenido un equipo en casa de un sospechoso ciberdelincuente, por suerte su portátil aún se encontraba encendido cuando se produjo la detención. Se sabe que ha intentado eliminar pruebas, pero creemos que aún es posible obtener alguna. ¿Cuál era su nick en la red? (Respuesta: flag{NICK}). Como recursos asociados al reto se proporcionan dos archivos: volume.bin y dump.elf Solución: Comienzo por el primero de los archivos, que parece ser una imagen o volcado de un disco, y lo monto con la herramienta ‘FTK Imager’: Y pide que se formatee el disco para poder usarlo, por lo que no reconoce su contenido. Añado la imagen (volume.bin) como evidencia en la herramienta ‘FTK Imager’: Y veo que el volumen está cifra...