martes, 1 de noviembre de 2011

Recuperar archivos borrados en Slackware


Software con el que vamos a trabajar: SleuthKit

SleuthKit es una biblioteca y una colección de herramientas y servicios de Unix y de Windows, para permitir el análisis forense de sistemas informáticos. Esta fue escrita y mantenida por el investigador digital Brian Carrier.

SleuthKit se puede utilizar en la investigación de extracción de datos de imágenes de windows, linux y unix.

Entorno de trabajo:

Sistema Operativo: Slackware 13.37 x86_64.



Instalación completa de SleuthKit:

Requerimientos:

libewf, afflib.


Instalar libewf:

Buscar el paquete en SlackBuilds.org

#wget http://slackbuilds.org/slackbuilds/13.37/libraries/libewf.tar.gz

#tar xvfz libewf.tar.gz

#cd libewf

#wget http://downloads.sourceforge.net/project/libewf/libewf/libewf-20100226/libewf-20100226.tar.gz

#./libewf.SlackBuild

#installpkg /tmp/libewf-20100226-x86_64-1_SBo.tgz




Instalar afflib:

Buscar el paquete en SlackBuilds.org o el sitio oficial http://www.afflib.org/:

NOTA 0: Lo baje del sitio oficial; pues no me quiso instalar el software de SlackBuilds.

#wget http://afflib.org/downloads/afflib-3.6.11.tar.gz

#tar xvfz afflib-3.6.11.tar.gz

#cd afflib-3.6.11

#./configure

#make

#make install



Instalar SleuthKit:

Buscar el paquete en SlackBuilds.org

#wget http://slackbuilds.org/slackbuilds/13.37/system/sleuthkit.tar.gz

#tar xvfz sleuthkit.tar.gz

#cd sleuthkit

#wget http://downloads.sourceforge.net/sleuthkit/sleuthkit-3.2.1.tar.gz

#./sleuthkit.SlackBuild

#installpkg /tmp/sleuthkit-3.2.1-x86_64-1_SBo.tgz


Caso de uso:

USB de 8 GB con los siguientes archivos:

  • L3503.exe
  • R225.exe
  • clamwin-0.97.2-setup.exe
  • pygobject-2.26.0-x86_64-1.txz
  • usuario-claves.txt
  • Location_interface.xls
NOTA 1: Se borraron los archivos totalmente de la USB usando el atajo SHIFT + Suprimir, lo que indica que no quedaron en la papelera. Luego se desmonto la USB del sistema Operativo, y por ultimo se volvió a montar en el sistema operativo, y se saco una imagen de ella usando el siguiente comando:

#dd if=/dev/sdc1 of=img-usb.dd


Ahora trabajaremos sobre esa imagen.



Listar el contenido de la imagen usando fls:

# fls -f fat img-usb.dd
r/r 3: x1nux
(Volume Label Entry)
r/r * 5: L3503.exe
r/r * 7: R225.exe
r/r * 10: clamwin-0.97.2-setup.exe
r/r * 14: pygobject-2.26.0-x86_64-1.txz
r/r * 17: usuario-claves.txt
r/r * 20: Location_interface.xls



Como recobrar los archivos vistos con fls ?:

NOTA 2: Leer la ayuda de icat para tener en cuenta que el Tipo de File System que usamos en la usb es FAT, y tener en cuenta que el tipo de imagen que sacamos con "dd" fue una "raw"; teniendo en cuenta este tipo de cosas procedemos a:

1ro: Sacar la suma md5 del archivo borrado, antes de recobrarlo:

# icat -f fat -i raw img-usb.dd 5 | md5
8f9ccbdb647d6a7ff0c693a2700727aa -

NOTA 3: El numero 5, nombrado después de la imagen de disco "img-usb.dd" de la usb en el comando anterior, es el equivalente al archivo L3503.exe. lo pueden ver en la impresión en pantalla que arrojo el fls.

r/r * 5: L3503.exe





2do: Recobrar el archivo borrado:

# icat -f fat -i raw img-usb.dd 5 > L3503.exe

NOTA 4: Esto nos debería generar el archivo llamado L3503.exe.





3ro: Sacar el MD5 del archivo recobrado:

# md5sum L3503.exe
8f9ccbdb647d6a7ff0c693a2700727aa L3503.exe





4to: Comparar la salida del md5sum:

Compara la salida del md5sum con la salida del md5 que generamos antes de recobrar el archivo, si es el mismo, el archivo esta perfectamente recobrado.




5to: Recobrar el resto de archivos:

Sacar los MD5:

# icat -f fat -i raw img-usb.dd 7 | md5sum
588c9f669bfb9149c4f1d8e6729743ba -

# icat -f fat -i raw img-usb.dd 10 | md5sum
d9570d28cc6c37f2fbe2130dea8dc4ea -

# icat -f fat -i raw img-usb.dd 14 | md5sum
ff410eccc0f06740a37fcf4dbe9da1f3 -

# icat -f fat -i raw img-usb.dd 17 | md5sum
58f6e7264c1e3958fc94930d7b33b02b -

# icat -f fat -i raw img-usb.dd 20 | md5sum
71751923739b8533953b1fa311f678e1 -


Recobrar los archivos:


# icat -f fat -i raw img-usb.dd 7 > R225.exe
# icat -f fat -i raw img-usb.dd 10 > clamwin-0.97.2-setup.exe
# icat -f fat -i raw img-usb.dd 14 > pygobject-2.26.0-x86_64-1.txz
# icat -f fat -i raw img-usb.dd 17 > usuario-claves.txt
# icat -f fat -i raw img-usb.dd 20 > Location_interface.xls


Sacar los MD5 de los archivos recobrados:

# md5sum R225.exe
588c9f669bfb9149c4f1d8e6729743ba R225.exe

# md5sum clamwin-0.97.2-setup.exe
d9570d28cc6c37f2fbe2130dea8dc4ea clamwin-0.97.2-setup.exe

# md5sum pygobject-2.26.0-x86_64-1.txz
ff410eccc0f06740a37fcf4dbe9da1f3 pygobject-2.26.0-x86_64-1.txz

# md5sum usuario-claves.txt
58f6e7264c1e3958fc94930d7b33b02b usuario-claves.txt

# md5sum Location_interface.xls
71751923739b8533953b1fa311f678e1 Location_interface.xls


NOTA 5: Recuerda comparar los md5 de los archivos reales con los que imprimio el icat para saber si estan en perfecto estado.


Esta herremienta es usada para cómputo forense, lo cual se puede entender de la siguiente forma.


El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.



Gracias por la atención, espero les guste.

No hay comentarios:

Publicar un comentario