Hola, secuaces:
Este es otro de esos trabajos
atascados en un rincón de los pendientes de publicar… y cuyo inicio se remonta
a los primeros meses del año 2018… De hecho, el nombre original del proyecto
era ‘OP Zanahoria’, en honor a la
familia de ‘Follow the White Rabbit’, una banda
de ‘peligrosos hackers’ a quienes les
debo mucho. ¡Un gran abrazo desde esta
parte de la pantalla, amigos!
Traté de buscar el
momento adecuado para exponerlo, pero unas circunstancias y otras lo alargaron
mucho en el tiempo, hasta que un día decidí presentarlo al primer CFP del
Congreso de C1b3rwall,
junto a Eduardo
Sánchez Toril, en un diseño que presentaba un supuesto de ‘redteam’ combinado con otro de ‘blueteam’, resultando ganadores del
mismo y teniendo la oportunidad de exponer dicho trabajo en el escenario.
Dice un buen amigo que, “si eres capaz de escribir sobre algo, es que lo has entendido. Y, si lo
has entendido, eres capaz de contarlo. Por lo tanto, si eres capaz de contarlo,
puedes hacer que otros lo entiendan. Así se hace la cadena del conocimiento”.
Este trabajo en
cuestión trata sobre el análisis forense
de máquinas virtuales, montadas sobre VirtualBox.
Cada vez más, los
hombres de Ley usamos la virtualización. La
virtualización es una tecnología que presenta muchas ventajas a la hora de llevar
a cabo una investigación. No hay duda de ello. Pero, esas ventajas, pueden llegar a convertirse, del mismo modo, en grandes
inconvenientes, cuando alguien se enfrenta a ellas porque, los ‘chicos
malos’, también, cada vez más, emplean esta tecnología de virtualización para
llevar a cabo sus fechorías.
Antes de nada, prometo no extenderme en esta explicación,
hay que saber qué es la virtualización, para qué sirve, qué hace y todas esas definiciones necesarias de leer y de
entender. Hay mucho material publicado en relación a este concepto. Puedes leer
grandes artículos sobre la virtualización. Pero yo he optado por usar un par de
breves artículos que publicó Microsoft para ello:
¿Qué es la
virtualización?
“La virtualización crea un entorno
informático simulado, o virtual, en lugar de un entorno físico. A menudo,
incluye versiones de hardware, sistemas operativos, dispositivos de
almacenamiento, etc., generadas por un equipo.”
¿Qué es una máquina
virtual?
“Una máquina virtual es un archivo
de PC, que suele denominarse “imagen”, que se comporta igual que un equipo
real. Dicho de otro modo, es crear un equipo dentro de un equipo.”
Volviendo al trabajo
en cuestión… originalmente, trabajé sobre un Sistema Windows 7, sobre el que corría,
con VirtualBox, una serie de máquinas virtuales, también sobre Windows 7.
Cuando lo retomé por segunda vez, trabajé sobre un Sistema Windows 10, sobre el
que corría, con VirtualBox, una serie de máquinas virtuales, sobre Windows 7.
De la realización de las pruebas en un sistema y en otro, se produjeron una
serie de resultados con alguna ligera diferencia. Todo ello, sobre un disco duro
SATA, mecánico, de 80 GB. El objetivo que me propuse cuando comencé este
proyecto era el de extraer, o localizar,
el contenido de las máquinas virtuales utilizando, para ello, una serie de
supuestos, que mencionaré a continuación.
Tengo que aclarar que
la historia que se cuenta a
continuación es, puramente, ficticia. Lo que viene siendo un poco de breve
literatura.
En esa historia, se procede
a la explotación de una operación policial, a la que he denominado ‘OP
Tanjawi’, contra un delito de enaltecimiento del terrorismo salafista
yihadista, de adoctrinamiento y auto adoctrinamiento, produciéndose la
detención de un individuo y la incautación de diverso material digital, entre el
que se encuentran múltiples discos duros con máquinas virtuales y diversos, muy diversos, dispositivos de
almacenamiento USB.
Un
consejo: Nunca, nunca, nunca, descartes ningún
objeto, por ridículo que pueda parecer. (Te
sorprenderías).
Introducción
Estamos procediendo con la explotación de una operación
denominada ‘OP Tanjawi’, en la que tenemos, como principal investigado, a una
persona que está realizando labores de enaltecimiento del terrorismo salafista yihadista y está llevando a cabo el auto
adoctrinando y adoctrinamiento de terceras personas. Sabemos, por colaboradores
externos de confianza, (sí, un chivato), que estas labores las está realizando
por medio de dispositivos USB, que
les facilita a esas terceras personas, insertando los mismos en su equipo,
dentro de máquinas virtuales, para
su posterior visionado, tanto en solitario, como en compañía de otros. Sabemos
que la persona investigada tiene conocimientos
sobre seguridad informática, por lo que se debe actuar con rapidez y
cautela, (como siempre).
Hemos conseguido acceder a la vivienda derribando la puerta
con el equipo operativo correspondiente… y observamos que la persona investigada está haciendo uso de su sistema...
-“Jefe, el equipo está encendido, ¿Qué hacemos?”.-
-“¡¡Valora!!”.-
Escenarios
recreados
Se han recreado varios posibles escenarios usando, para
ello, un sistema Windows 7 virtualizado bajo VirtualBox, sobre un equipo anfitrión con un sistema Windows 10.
Todos los casos han sido recreados con el sistema anfitrión encendido. Como
mencionaba anteriormente, el equipo informático tiene un disco duro SATA, mecánico,
de 80 GB.
- Máquina virtual iniciada
- Sin
cifrar
- Cifrada
- Máquina virtual parada
- Sin
cifrar
- Cifrada
- Máquina virtual eliminada
- Sin
cifrar
- Cifrada
- Máquina virtual eliminada y
fragmentada
- Sin
cifrar
- Cifrada
Si ello fuera poco,
dentro de estos escenarios, planteé otros relacionados a la forma de proceder
con el equipo:
1. Proceder
a la recolección de las evidencias
volátiles, con el equipo físico encendido.
2. Llevar
a cabo el apagado normal del equipo
físico.
3. Desconectar
el equipo físico de la red eléctrica.
(Para cada escenario, sin contar el original, se creó la
correspondiente imagen forense del disco duro. Por lo que puedes imaginar, si
realizas las cuentas oportunas, la cantidad de horas que tuvo que sufrir ese
disco duro… y yo mismo).
En lo referente a las acciones efectuadas en el sistema, se
ha procedido a:
- La inserción de un dispositivo USB
en la máquina virtual
- El
copiado de dos ficheros, desde
el dispositivo USB a una carpeta del sistema virtualizado
- La
extracción del dispositivo USB
del sistema
- La
visualización de un fichero de
imagen, con nombre ‘Aplastando al
enemigo.jpg’
- La
visualización de un archivo de
vídeo, con nombre ‘Dentro del
Khilfah.mp4’
- Otro contenido disponible dentro
del dispositivo USB, que no ha sido explorado.
Dado el volumen de
datos con el que he trabajado, no voy a
exponer todos los resultados obtenidos. Tan solo expondré aquellos que creo
que son de interés. De lo contrario podría resultar un artículo mucho más
extenso de lo que suele ser habitual.
A
saber…
Windows tiene lados anti forenses.
Windows escribe archivos,
constantemente, en el disco duro. En los sistemas con Windows 7 esto ocurre
en menor medida que en los sistemas con Windows 10 porque Windows 10 trabaja con más del doble de procesos que Windows 7.
Windows tiene programadas,
por defecto, una serie de tareas de
mantenimiento automático. Son muy peligrosas las tareas de ‘ScheduledDefrag’, que se encarga de la
desfragmentación del disco duro, (sólo en
los discos mecánicos), y ‘SilentCleanup’,
que se encarga de la limpieza silenciosa del disco, cuando el espacio en disco
es escaso. El mantenimiento automático
se puede evitar desconectando la alimentación eléctrica del equipo, en el
caso de que el mismo disponga de una batería.
Si el equipo se encuentra apagado, no hay que encenderlo. No
debe caber duda alguna en ese caso. Si
el equipo se encuentra encendido, hay que proceder a la captura de la memoria
RAM, a las búsquedaa de unidades cifradas, ... ¿Siempre? La memoria
es una mina de información, muy volátil, pero, ¿Siempre?
De momento, dejo esa
pregunta en el aire.
En este caso, vamos a
utilizar la herramienta Volatility para efectuar el análisis
de la memoria RAM. Como siempre, cada caso necesitará del uso de una serie de
plugins, o de otros. Vamos a utilizar los siguientes:
●
mftparser
●
dumpfiles
●
vaddump
También vamos a
llevar a cabo una recuperación de
ficheros sobre la memoria RAM, usando la herramienta Foremost.
Una vez efectuado el
volcado de la memoria RAM, hay que proceder a la creación de imágenes, (imágenes
no es sólo una imagen), forenses del
disco duro.
Con dichas imágenes
forenses del disco duro vamos a realizar una extracción de ficheros de interés con la herramienta SleuthKit,
que es un marco de trabajo con un conjunto de pequeñas utilidades que pueden
procesar imágenes de disco. SleuthKit
puede extraer tanto ficheros no eliminados como ficheros eliminados.
Dado que nos vamos a
encontrar con máquinas virtuales
cifradas, vamos a efectuar una fuerza
bruta sobre dicha máquina, gracias a la inestimable ayuda de Guillermo Román
Ferrero, al objeto de extraer su clave de cifrado.
Vamos a buscar discos duros virtuales alojados
dentro del propio disco duro, dentro de la propia imagen forense.
Vamos a buscar un contenido específico, en bruto,
llevando a cabo dicha búsqueda en toda la imagen forense del disco en busca de
una cadena de texto que vamos a especificar.
Y la finalidad de
todo este procedimiento es la detección
de contenido ilícito, de indicios del mismo, o de posibles pruebas de
eliminación de evidencias.
Análisis
de memoria con Volatility, (mftparser)
Antes de comenzar con
el análisis, propiamente dicho, del volcado de memoria RAM, éste debe ser identificado correctamente. Este proceso
se realiza mediante el plugin kdbgscan, prestando atención
a los valores que devuelven los campos ‘Build
string (NtBuildLab)’ y ‘KdCopyDataBlock’,
debiendo contener el campo ‘PsActiveProcessHead’,
un valor distinto a cero.
Podríamos utilizar el
plugin timeliner para efectuar una línea de tiempo, donde
podríamos ver la ejecución de aplicaciones, las horas de conexiones de
dispositivos al sistema y algunos otros datos. Pero timeliner sólo muestra información relativa al equipo anfitrión.
Si tenemos en cuenta
que todo, en el sistema de archivos
NTFS, es un fichero. Y si tenemos en cuenta que todo fichero, en el sistema de archivos NTFS, se graba en la MFT.
Si a este hecho le añadimos que en la
memoria se cargan todas las MFT de cualquier volumen montado en el sistema,
nos encontramos con que podemos extraer
contenido de cualquier dispositivo conectado, aunque no se haya explorado.
En la siguiente
imagen podemos observar 3 MFT distintas. Nos encontramos con las MFT
correspondientes al volumen 1 y al volumen 2. Y podemos apreciar la existencia
de una MFT que se corresponde al ‘HarddiskVolume209’
y que pertenece a una máquina virtual.
Por ello vamos realizar una línea de tiempo sobre la(s) MFT.
¿Qué es la MFT? La MFT es la Tabla Maestra de Ficheros.
Se podría decir, de un modo muy resumido, que es un índice que nos va a indicar en qué parte, o partes, del disco se
encuentra alojado un determinado fichero y nos va a mostrar, además de otros
muchos datos, todos los metadatos de
ese fichero. Toda esta información se almacena en los registros de la MFT. Un registro para cada fichero.
Si ejecutamos:
●
mftparser --output=body --output-file MFTParser.txt -D
MFT
●
mactime -b MFTParser.txt >> MFTParser.csv
Vamos a obtener una
línea de tiempo de la(s) MFT, con un fichero ‘.csv’ tabulado y, además, vamos a
descargar todo el contenido residente en ellas. Porque es posible encontrar datos residentes en la MFT. Ficheros que no ocupan espacio en disco.
Si ejecutamos:
●
mftparser --output-file=/mnt/c/Results/mftparser.txt
Vamos a obtener una vista detallada de todo el contenido en
toda(s) las MFT, ejecución de aplicaciones, nombres de usuario, rutas de
las distintas máquinas virtuales, el nombre de las propias máquinas virtuales,
las marcas de tiempo de las máquinas virtuales, contenido almacenado en las
máquinas virtuales, …
De este modo, y a
modo de ejemplo, podemos ver que el usuario ‘MC’ ha abierto un fichero de imagen, porque podemos obtener los
documentos recientes.
O podemos ver que se
encuentra alojado, dentro de la carpeta ‘Descargas’
del usuario ‘MC’, un vídeo con el
nombre ‘Dentro del Khilfah.mp4’.
Incluso podemos
obtener el contenido no explorado del propio dispositivo USB que hemos usado
para recrear los escenarios, obteniendo nombres de carpetas y nombres de
ficheros, con sus marcas de tiempo correspondientes.
Todo este contenido
es el perteneciente a una máquina virtual. En resumen, podemos ver cualquier contenido de cualquier
dispositivo, de cualquier volumen,
que se encuentre o se haya encontrado en el sistema, se haya abierto y
explorado, o no.
Análisis
de memoria con Volatility, (dumpfiles)
La memoria RAM cachea, almacena, todos los ficheros que el
usuario abre, pero también cachea ficheros que no han sido abiertos por el
usuario. Este contenido se almacena de forma temporal. Así que podemos buscar
qué ficheros están cargados en memoria, haciendo uso de ‘filescan’.
Que un fichero esté cargado en memoria no significa que
pueda ser extraído. Recordemos que la memoria es muy volátil y está en constante cambio.
Podemos hacer uso de
‘dumpfiles’
para descargar los ficheros que
estén cacheados en la memoria para extraer, por ejemplo, los logs de las
máquinas virtuales y los ficheros de configuración de esas máquinas virtuales.
Si ejecutamos:
●
dumpfiles -n -S Summary.txt -D Dumpfiles
Vamos a descargar
todos los ficheros que se encuentren cacheados, almacenados, en memoria. En
este caso, podemos encontrar, por ejemplo, el fichero de configuración del
disco duro de la máquina virtual, ‘Win7x64.vmdk’.
Análisis
de memoria con Volatility, (vaddump)
Podemos listar los procesos del sistema
haciendo uso de ‘pslist’ para ver una lista de aplicaciones en ejecución,
con su posición en memoria, su nombre, su ID, su proceso padre, …
Y con esa lista de
procesos también obtenemos la fecha y
hora de inicio y de salida de cada proceso, en caso de que no se encuentren
activos en el momento de la adquisición.
Si se están
ejecutando los procesos relacionados con VirtualBox, descargamos las páginas de memoria de esos procesos,
haciendo uso de ‘vaddump’:
●
vaddump -p (ID Process) -D Vaddump/
Y si los procesos
relacionados con VirtualBox no se están ejecutando, vamos a descargar, de igual
manera, las páginas de memoria del resto
de procesos. ¿Por qué?
Porque los procesos tienen asignado un espacio privado de memoria, pero
también tienen asignado un espacio en
memoria que es compartido con otros procesos, y de ese modo se puede
encontrar el mismo contenido en
cualquiera de esos dos espacios de trabajo de memoria.
En el caso que nos
ocupa vamos a extraer, a través de las páginas de memoria, contenido de la
máquina virtual, con indicación de su posición en memoria y el proceso al que
se corresponde.
De este modo, por
ejemplo, podemos ver en varias ocasiones los dos ficheros alojados en la
máquina virtual y podemos ver que han sido abiertos, incluso con su fecha de
visualización.
Podemos ver el
contenido de una carpeta del dispositivo USB.
Podemos ver que se ha
reproducido un vídeo, pudiendo determinar el nombre del sistema de la máquina
virtual y el usuario que lo ha reproducido.
Incluso podemos ver y
extraer el fichero de configuración ‘.vbox’ de una máquina virtual, con
su correspondiente clave de cifrado.
Este fichero se puede reconstruir y puede ser descifrado.
Recuperación
de ficheros en memoria, (Foremost)
La recuperación de ficheros es algo “fácil” de hacer y no requiere “demasiado
tiempo”. Con el carving recuperamos ficheros a través de sus cabeceras, pies y estructuras de datos.
Pueden ser
recuperados y extraídos, tanto ficheros
completos como fragmentos de archivos. Podemos obtener vídeos, o fotogramas
de vídeos, imágenes, documentos, … cualquier extensión que le indiquemos.
Como norma general,
el carving se suele efectuar sobre las propias imágenes forenses creadas, sean
de memoria o sean de disco. Pero en esta ocasión lo vamos a efectuar sobre el directorio de las páginas
de memoria que hemos descargado antes. ¿Por qué? Por dos razones.
Primeramente, porque
si efectuamos el carving sobre la imagen
del volcado de memoria podemos obtener resultados
que nos desconcierten, por decirlo de algún modo. Por ejemplo, si hemos
insertado un dispositivo USB en el equipo para proceder con la correspondiente
captura de la memoria RAM, y tenemos, además de la propia herramienta de
captura de memoria, otras herramientas, vamos a obtener, por ejemplo, imágenes
o fragmentos de esas otras herramientas. Es decir, que estamos contaminando la evidencia.
Si somos ‘retorcidos’, podríamos tener alojado en
nuestro dispositivo USB, dispositivo con el que realizamos la captura de
memoria, otro tipo de contenido ilícito para que, cuando se efectúe el carving
sobre el volcado de memoria, aparezca ese contenido en los resultados
obtenidos. Es decir, que podríamos
involucrar a una persona, sin ser conscientes de ello. Y no somos retorcidos. Buscamos la verdad.
En segundo lugar,
vamos a realizar el carving sobre las páginas de memoria porque, si lo
realizamos sobre el volcado de memoria, puede que no seamos capaces de
determinar su origen, mientras que si lo llevamos a cabo sobre las páginas de
memoria sí podemos determinar que pertenece a un determinado proceso, una
máquina virtual, y podemos determinar que ha sido visualizado y abierto en una
franja horaria, entre el inicio y la salida del proceso relacionado a la
máquina virtual.
Es decir que, si
procedemos con el carving sobre el
directorio de las páginas de memoria, podemos determinar la fuente de ese
fichero.
En el caso que nos
ocupa, podríamos comparar los resultados
obtenidos con una base de datos, si contamos con ella, con otro contenido
original. O podríamos prestar especial atención a la simbología. Un poco de OSINT
no hace daño a nadie.
Análisis
de la imagen de disco duro, (Máquina virtual no eliminada)
Ya se ha mencionado
anteriormente que la memoria RAM es una
mina de oro, en cuanto a la información que en ella se puede encontrar. Y
también se ha mencionado que Windows
tiene lados antiforenses, como las
tareas de mantenimiento o el propio hecho de que Windows escriba constantemente ficheros en el disco duro. Este
hecho último es muy dañino para un
análisis forense, en cuanto a la recuperación
y extracción de contenido eliminado en el sistema.
Debes saber que, una máquina virtual, tiene logs, que tiene ficheros de configuración, que tiene, al menos, un archivo de disco duro y que puede
ser cifrada.
Por otro lado, debes
saber que, un archivo de disco duro es
un archivo, tiene una cabecera y
que puede ser fragmentado.
Igualmente, un archivo de disco se
comporta como un disco duro, tiene
una cabecera y contiene información.
Por todo ello, el tiempo es un factor muy crítico y
por ello hay que saber cómo actuar en
cada momento.
De este modo, si la máquina virtual no ha sido eliminada
y no está cifrada, podemos montar la
imagen forense del disco duro, para montar,
después, el disco duro de la máquina
virtual y podemos explorar y extraer el contenido alojado en esa máquina
virtual.
Si la máquina virtual no ha sido eliminada y está cifrada,
podemos montar la imagen forense del
disco duro, extraer los ficheros de
configuración y aplicar fuerza bruta,
con la herramienta ‘vboxDieCracker-py’, sobre el fichero ‘.vbox’, que es quien almacena la clave
de cifrado. Una vez extraída la clave de cifrado de la máquina virtual, podemos
hacer una copia de dicha máquina virtual, configurarla en nuestro laboratorio y
eliminar su cifrado para analizarlo como cualquier otro sistema.
Análisis
de la imagen de disco duro, (Máquina virtual eliminada)
Si la máquina virtual ha sido eliminada,
el registro correspondiente a ese fichero se
marca como ‘Deleted’ en la MFT, pero su contenido, sus clústeres, permanecen intactos
hasta que se sobreescriba su información.
Cuando Windows crea un fichero, asigna el número de registro
más bajo en la MFT y asigna, de igual modo, los primeros clústeres que no estén
asociados a ningún registro de la MFT.
¿Cuándo crea Windows
un fichero? Basta situar el cursor del
ratón sobre un icono para que lo haga. Por esta razón, sólo hay que tocar el sistema para las tareas básicas e imprescindibles.
El archivo del disco duro de la máquina virtual puede
permanecer intacto en la imagen forense y se podría ver
en la exploración de la misma imagen, siempre y cuando se den algunas
condiciones. A saber, que el sistema no haya iniciado las tareas de mantenimiento, que el sistema sea desconectado rápidamente, cuando la máquina virtual ha sido eliminada
y si no se ha sobrescrito ningún
clúster asignado a ese fichero de disco duro de la máquina virtual.
Existen varias opciones para recuperar ese
contenido, esa máquina virtual. Nosotros vamos a utilizar un marco de trabajo
muy completo y potente, llamado The SleuthKit.
Podemos usar ‘fls’
para listar las entradas de la MFT
y, después, haciendo uso de ‘icat’, podemos extraer el contenido que nos interese.
Análisis
de la imagen de disco duro, (Máquina virtual eliminada y fragmentada)
Si la máquina virtual ha sido eliminada y los clústeres han
sido sobrescritos… y la máquina virtual no se encontraba
cifrada, podemos buscar discos duros
dentro de la imagen forense del disco duro, haciendo uso de:
●
xxd -c 256 imagen.dd | grep -i -P
“00(([0-9A-F]8)|([1-9A-F]0))\s0000\s([0-9A-F]{4}\s){26}55aa\s\s”
Esa línea nos muestra
el offset de inicio de cada uno de los
discos duros, tanto físicos como virtuales, que se encuentren en la imagen
forense de un disco duro. En este caso, tenemos el disco físico en primera
posición, (en el offset 100), y 3
discos virtuales.
Con este dato podemos
extraer manualmente el contenido
desde el offset que nos interese, desde
una posición en el disco duro, y proceder a su posterior estudio.
De igual manera, si la máquina virtual ha sido eliminada y
los clústeres han sido sobrescritos… y la máquina no se encontraba cifrada,
podemos buscar el contenido que deseemos
y, en algunas ocasiones, extraerlo.
Quiero pensar que
todos tenemos una lista con una serie de palabras
clave para nuestras investigaciones.
●
blkls
-e -f ntfs -o 1126400 imagen.dd | egrep -abi ‘Aplastando|Khilfah|Enemigo’
Esa línea busca en la
imagen forense del disco duro las palabras ‘Aplastando|Khilfah|Enemigo’
y, lo que vemos en este caso, son nombres de fichero, rutas y nombres de equipo
y de usuario, de las palabras que he empleado en la búsqueda.
La búsqueda se puede efectuar tanto para nombre de ficheros como para el propio contenido.
En cualquier caso, el
resultado nos llevará a una
ubicación, que consiste en el byte
exacto donde se encuentra ese contenido que hemos buscado. ¿Qué hacemos
ahora?
Cogemos papel, lápiz
y calculadora… porque en primer lugar vamos a determinar el offset de inicio de las particiones en
la imagen forense del disco duro.
Para ello hacemos uso
de ‘mmls’
sobre la imagen del disco duro.
Después tenemos que determinar el tamaño del sector y el tamaño
del clúster del sistema de archivos. Operación que podemos llevar a cabo
con ‘fsstat’.
En este caso,
obtenemos que el tamaño del sector es de
512 bytes y el tamaño del clúster es
de 4096 bytes, es decir, 8 sectores.
Anotamos todos estos datos, porque tenemos un contenido de interés en el byte número 764.020.177.
Si un clúster
equivale a 8 sectores y si un sector son 512 bytes, podemos buscar el clúster
correspondiente a ese contenido con una pequeña fórmula, que consiste en dividir el número de bytes por 4096. (512 bytes por sector y 8 sectores por
clúster).
●
echo
“764020177/(8*512)” | bc
Esta pequeña fórmula
nos muestra que el clúster que contiene la información que nos interesa es el
número 186528.
Pero esta función no devuelve valores decimales…
¡Mucho cuidado con los decimales!
Usemos una
calculadora porque si el decimal del
resultado es de un valor superior a 0,5 hay que añadir un clúster más al
resultado. Por ejemplo, en este caso tenemos que 764.020.177 dividido por 4096 es igual a 186.528,36. Si en lugar de ser el decimal un valor de
0,36 fuera 0,56, el clúster no sería el número 186.528, si no el 186.529.
A través de ‘blkstat’,
podemos determinar si el contenido de ese clúster está asociado a algún fichero o no está asociado a ningún fichero, según nos devuelva los valores
de ‘Not
allocated’ o ‘Allocated’.
Si el contenido de un clúster está asociado a algún fichero, podemos buscar ese fichero con el valor del clúster.
Podemos usar ‘ifind’
para ver si ese contenido está relacionado a los metadatos correspondientes en
la MFT. ‘ifind’ puede producir dos resultados: ‘Inode
not found’, que significa que no
está asociado a ningún registro de la MFT, y un número, que se
corresponde a un registro de un fichero grabado en la MFT.
Si obtenemos ese número de registro de la MFT, podemos
usar ‘ffind’ para determinar el nombre de ese fichero.
Y con el número de registro de la MFT, podemos
usar ‘icat’ para extraer
ese fichero.
Conclusiones
- ¡¡Piensa
rápido y actúa con cautela!!
- El
tiempo es un factor crítico. No se debe actuar sin un plan. Hay que
trabajar con una previsión, con los posibles supuestos que nos podamos
encontrar.
- No
hay que conectar nada que no sea absolutamente necesario para la correcta
extracción de las evidencias.
- Una
herramienta para cada dispositivo. No queremos contaminar nada que pueda
echar por tierra todo el trabajo de una investigación.
- Si
nos encontramos con un equipo que tenga batería, podemos desconectarlo que
la corriente eléctrica para evitar que el sistema entre en la fase de
mantenimiento.
- La
adquisición de la memoria RAM es vital. ¿Siempre?
- Cualquier
acción deja rastro y la ausencia de evidencias es una evidencia de que
algo ha pasado, por lo que habría que buscar qué ha pasado.
- Básico,
en cualquier caso, saber qué buscar, porque si no sabemos qué buscamos, no
podemos saber dónde mirar y no podemos saber cómo mirar.
- Usa
el cerebro y razona.
Herramientas utilizadas
Referencias
Esto es todo.
No hay comentarios:
Publicar un comentario