yisuscraist
06-01-2018, 11:14
La herramienta que utilizaremos utiliza una técnica llamada File Carving.
Cuando borramos algún archivo en realidad no lo estamos borrando, lo que ocurre es que estamos diciendo al disco que esos segmentos están vacíos, la técnica de la que estamos hablando lo que hará será buscar en todos los segmentos que se suponen vacíos para ver si ahí hay algo de información.
https://i.gyazo.com/ad5a3778e5c09fb75e2e163f14f089d7.png
Una vez comprendido, procedemos a descargar desde el repositorio en Github y una herramienta que será util.
Repositorio escalpel (https://github.com/machn1k/Scalpel-2.0)
Herramienta Ftk (http://accessdata.com/product-download/ftk-download-page)
Scalpel es una herramienta para utilizar en Linux como Windows, la única diferencia es que bajo Windows no puede analizar el disco, si no que debe analizar una imagen del disco, para esto, será util FTK.
Para la presente práctica, obtendremos la información de un pendrive de 2GB.
Creando una imagen con FTK
Lo primero que haremos es pulsar el botón de “add evidence item” y elegiremos “Logical Drive”.
https://i.gyazo.com/4ccee22b9a563cbe21ffbbdaf1e36f5d.png
Elegimos la unidad.
https://i.gyazo.com/580b3d390183ff29965b1958ae0ca4e7.png
Luego, haremos clic derecho a la unidad y seleccionamos “Export Disk Image”
https://i.gyazo.com/61ad3ee6477ff12e614fa9b798613511.png
Configuramos donde se exportará la imagen.
https://i.gyazo.com/fadbb27b6264900e6ce2b17d53f38925.png
https://i.gyazo.com/eea254af791fd65830fdc47920fecf2c.png
Al concluir los pasos anteriores, estamos en condiciones de crear la imagen, solo debemos hacer clic en el boton “Start”.
https://i.gyazo.com/e19982e43eb3aaa255c5f2c90ebcc1f0.png
https://i.gyazo.com/8a9d2e69b6029597198f2415b687afb8.png
Obteniendo información con Scalpel
Estamos en condiciones de buscar la información, lo primero que haremos será comprobar la ayuda, haciendo:
https://i.gyazo.com/0b47a576a26facadab31e7e1f989bb55.png
Visualizando la ayuda, notaremos que la sintaxis es: scalpel -opcion1 -opcion2 imagen
Algunas de las opciones mas relevantes:
-c : Sirve para elegir el archivo de configuración. (de serie es scalpel.conf)
-o : Sirve para elegir la carpeta donde se mandará la información. (de serie es scalpel-output)
-v : Sirve para entrar en el verbose mode.
El archivo de configuración predeterminado trae muchas opciones para buscar gran cantidad de ficheros diferentes, solo tendríamos que ir a dicha sección y borrar ‘#’ para que dejase de ser un comentario.
https://i.gyazo.com/42ac6f0ed3dac7a434f5a6756c72e59c.png
Para añadir una nueva regla debemos seguir la siguiente forma: ‘extension’ y ‘tamaño’ ‘header’ ‘EOF’
Podemos buscar el header y el EOF de cada tipo de archivo por internet, para esta práctica harmeos un archivo de configuración que saque todas las imagenes.
https://i.gyazo.com/31a4cf468766c4044a27a8f85ba6e933.png
Y lanzamos el programa hacia la imagen:
Una vez ejecutado comenzará a buscar las imagenes y enviará a la carpeta que hemos indicado.
https://i.gyazo.com/a6cb0b26e437b7a98a053813112a1ebf.png
En la carpeta que hemos pasado como parámetro habrá varias carpetas con los diferentes archivos que ha recuperado y por fin hemos encontrado aquello que estabamos buscando.
https://i.gyazo.com/a61d7858dc76b5b522e9acb31471ec8f.png
Agradecemos a ROLLTH por enseñarnos a utilizar la herramienta: Recuperando información con Scalpel (https://underc0de.org/foro/informatica-forense/recuperando-informacion-con-scalpel/)
Cuando borramos algún archivo en realidad no lo estamos borrando, lo que ocurre es que estamos diciendo al disco que esos segmentos están vacíos, la técnica de la que estamos hablando lo que hará será buscar en todos los segmentos que se suponen vacíos para ver si ahí hay algo de información.
https://i.gyazo.com/ad5a3778e5c09fb75e2e163f14f089d7.png
Una vez comprendido, procedemos a descargar desde el repositorio en Github y una herramienta que será util.
Repositorio escalpel (https://github.com/machn1k/Scalpel-2.0)
Herramienta Ftk (http://accessdata.com/product-download/ftk-download-page)
Scalpel es una herramienta para utilizar en Linux como Windows, la única diferencia es que bajo Windows no puede analizar el disco, si no que debe analizar una imagen del disco, para esto, será util FTK.
Para la presente práctica, obtendremos la información de un pendrive de 2GB.
Creando una imagen con FTK
Lo primero que haremos es pulsar el botón de “add evidence item” y elegiremos “Logical Drive”.
https://i.gyazo.com/4ccee22b9a563cbe21ffbbdaf1e36f5d.png
Elegimos la unidad.
https://i.gyazo.com/580b3d390183ff29965b1958ae0ca4e7.png
Luego, haremos clic derecho a la unidad y seleccionamos “Export Disk Image”
https://i.gyazo.com/61ad3ee6477ff12e614fa9b798613511.png
Configuramos donde se exportará la imagen.
https://i.gyazo.com/fadbb27b6264900e6ce2b17d53f38925.png
https://i.gyazo.com/eea254af791fd65830fdc47920fecf2c.png
Al concluir los pasos anteriores, estamos en condiciones de crear la imagen, solo debemos hacer clic en el boton “Start”.
https://i.gyazo.com/e19982e43eb3aaa255c5f2c90ebcc1f0.png
https://i.gyazo.com/8a9d2e69b6029597198f2415b687afb8.png
Obteniendo información con Scalpel
Estamos en condiciones de buscar la información, lo primero que haremos será comprobar la ayuda, haciendo:
https://i.gyazo.com/0b47a576a26facadab31e7e1f989bb55.png
Visualizando la ayuda, notaremos que la sintaxis es: scalpel -opcion1 -opcion2 imagen
Algunas de las opciones mas relevantes:
-c : Sirve para elegir el archivo de configuración. (de serie es scalpel.conf)
-o : Sirve para elegir la carpeta donde se mandará la información. (de serie es scalpel-output)
-v : Sirve para entrar en el verbose mode.
El archivo de configuración predeterminado trae muchas opciones para buscar gran cantidad de ficheros diferentes, solo tendríamos que ir a dicha sección y borrar ‘#’ para que dejase de ser un comentario.
https://i.gyazo.com/42ac6f0ed3dac7a434f5a6756c72e59c.png
Para añadir una nueva regla debemos seguir la siguiente forma: ‘extension’ y ‘tamaño’ ‘header’ ‘EOF’
Podemos buscar el header y el EOF de cada tipo de archivo por internet, para esta práctica harmeos un archivo de configuración que saque todas las imagenes.
https://i.gyazo.com/31a4cf468766c4044a27a8f85ba6e933.png
Y lanzamos el programa hacia la imagen:
Una vez ejecutado comenzará a buscar las imagenes y enviará a la carpeta que hemos indicado.
https://i.gyazo.com/a6cb0b26e437b7a98a053813112a1ebf.png
En la carpeta que hemos pasado como parámetro habrá varias carpetas con los diferentes archivos que ha recuperado y por fin hemos encontrado aquello que estabamos buscando.
https://i.gyazo.com/a61d7858dc76b5b522e9acb31471ec8f.png
Agradecemos a ROLLTH por enseñarnos a utilizar la herramienta: Recuperando información con Scalpel (https://underc0de.org/foro/informatica-forense/recuperando-informacion-con-scalpel/)