lunes, 23 de mayo de 2016

Análisis Forense I - Recuperación de ficheros

Buenas compis,

Esta entrada se basa en una introducción de las técnicas del análisis forense, en este caso para recuperar ficheros que hayan podido ser borrados.

Para ello, se va a considerar el siguiente escenario: Un amigo ha perdido las prácticas de la carrera que tenía en un pendrive de manera accidental y nos pide que le ayudemos.

Para la recuperación de ficheros, se pueden emplear las siguientes herramientas (existen más, pero esta son las que a mí me gustan =D)

FTK Imager

Lo primero el link de descarga: http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.2 

En primer lugar, se clica en añadir una nueva evidencia:



Importante, hay que seleccionar la opción de dispositivo físico, de esta manera seleccionamos la totalidad del dispositivo externo.

A continuación, se selecciona dicho dispositivo externo y se visualiza el sistema de ficheros del dispositivo físico externo:




Como se observa hay archivos que tienen en la parte izquierda una 'X', esto indica que ha sido borrado.

En función de su nivel de "borrado" pueden ser recuperados o no. Hay que indicar que borrar un archivo indica mover a la papelera, sin embargo, no se borra sino que se puede llegar a recuperar hasta que se pierden los enlaces de la tabla o bien la zona que ocupa haya sido sobrescrita, en función de ello, se podría recuperar total o parcialmente.

En el caso del fichero seleccionado se puede apreciar en la parte interior la vista previa del fichero, en este caso una imagen. De este modo, se podría recuperar. Ahora bien en otras situaciones, es posible que la imagen se pueda ver una parte de ella, lo que indica que ha sido parcialmente borrada y sólo se podría recuperar esa parte.

Lo que nos interesa, para recuperar la imagen botón derecho "Export Files" y se abre el panel de navegación para indicar el destino dónde se desea guardar.

Esta tarea puede ser algo tediosa si existe un gran número de ficheros a recuperar al tener que hacerlo manualmente. De ahí se presenta la siguiente herramienta.

Recuva

Link descarga: https://www.piriform.com/recuva

Se trata de una herramienta semiautomática que con una fácil configuración inicia la recuperación de ficheros.

En primer lugar, el asistente de Recuva nos pregunta el orden (la prioridad) del tipo de ficheros que se desean recuperar:




Seguidamente, se pregunta la ubicación de dónde se desea recuperar los ficheros:




Por último, se puede marcar el checkbox de "Escaneo profundo". Una vez acabado el escaneo se muestran todos los ficheros analizados indicando cuáles pueden ser recuperados totalmente o han sido dañados o sobrescritos.




Una vez seleccionados los que se desean recuperar, se elige la ubicación destino y se indica un resumen de la recuperación:



Photorec

Link descarga: http://www.cgsecurity.org/wiki

A diferencia de los anteriores no requiere instalación. Se extrae el .zip y buscar la photorec.win.exe





En primer lugar, hay que revisar que Photorec ha detectado correctamente las unidades. Destacar que como norma general cada unidad aparece de forma duplicado: una corresponde al disco físico y otra a la unidad logica, a la que le asigna Windows

A continuación, se debe seleccionar la opción Whole que analiza todo el disco.


Para recuperar el sistema de archivos, Photorec necesita conocer el tipo del sistema de ficheros. Una vez indicado, se debe seleccionar la ubicación de dónde se desea almacenar los ficheros recuperados. Para ello, se recomienda crear una carpeta, por ejemplo, llamada recuperacion dentro de la carpeta de Photorec.

Si se no se selecciona, se almacenarán en la ubicación en dónde se encontraban borrados.

Una vez finalizado, se muestra el resumen de recuperación:



 Así que yendo a la carpeta que se había indicado se tienen los ficheros recuperados.

Espero que os haya gustado. Para cualquier duda o comentario os invito a comentar en el post.

Saludos.

NaxHack5

La mejor defensa es un buen ataque

No hay comentarios:

Publicar un comentario

Google Analytics