Bulk_extractor tool para sacar datos sensibles de disco duro

Iniciado por Rootkit_Pentester, Enero 12, 2017, 09:21:14 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Hola Gente de Underc0de. La herramienta para realizar una investigación forense que voy a tratar es bulk_extractor xD.

Bulk_extractor es una herramienta de informática forense que escanea una imagen de disco, un archivo o un directorio de archivos y extrae información útil sin analizar el sistema de archivos o las estructuras del sistema de archivos. Los resultados pueden ser fácilmente inspeccionados, analizados o procesados ​​con herramientas automatizadas. Bulk_extractor también crea un histograma de características que encuentra, ya que las características que son más comunes suelen ser más importantes. El programa puede utilizarse para aplicaciones de aplicación de la ley, defensa, inteligencia y ciberinvestigación.

Bulk_extractor se distingue de otras herramientas forenses por su velocidad y minuciosidad. Debido a que ignora la estructura del sistema de archivos, bulk_extractor puede procesar diferentes partes del disco en paralelo. En la práctica, el programa divide el disco en páginas de 16MiByte y procesa una página en cada núcleo disponible. Esto significa que las máquinas de 24 núcleos procesan un disco aproximadamente 24 veces más rápido que una máquina de 1 núcleo. Bulk_extractor también es exhaustivo. Esto se debe a que bulk_extractor detecta, descomprime y recursivamente vuelve a procesar los datos comprimidos que se comprimen con una variedad de algoritmos. Nuestras pruebas han demostrado que hay una cantidad significativa de datos comprimidos en las regiones no asignadas de los sistemas de archivos que se pierden en la mayoría de las herramientas forenses que se utilizan comúnmente en la actualidad.

Otra ventaja de ignorar los sistemas de archivos es que bulk_extractor puede usarse para procesar cualquier medio digital. Hemos utilizado el programa para procesar discos duros, SSDs, medios ópticos, tarjetas de cámaras, teléfonos celulares, descargas de paquetes de red y otros tipos de información digital.

Archivos de características de salida
Bulk_extractor ahora crea un directorio de salida que incluye:

Ccn.txt - Números de tarjeta de crédito
Ccn_track2.txt - Información de la tarjeta de crédito "track 2"
Domain.txt - Dominios de Internet que se encuentran en la unidad, incluyendo las direcciones de puntos punteados que se encuentran en el texto.
Email.txt - Direcciones de correo electrónico
Ether.txt - direcciones MAC de Ethernet encontradas a través de la talla de paquetes IP de archivos de intercambio y archivos de hibernación del sistema comprimido y fragmentos de archivos.
Exif.txt - EXIF ​​de JPEG y segmentos de vídeo. Este archivo de características contiene todos los campos EXIF, expandidos como registros XML.
Find.txt - Los resultados de solicitudes específicas de búsqueda de expresiones regulares.
Ip.txt - direcciones IP encontradas a través de la talla de paquetes IP.
Phone.txt --- Números de teléfono de los EEUU e internacionales.
Url.txt --- URLs, normalmente se encuentran en las caches del navegador, mensajes de correo electrónico y pre-compilados en ejecutables.
Url_searches.txt --- Un histograma de los términos utilizados en búsquedas en Internet de servicios como Google, Bing, Yahoo y otros.
Wordlist.txt ---: Una lista de todas las "palabras" extraídas del disco, útiles para el craqueo de contraseñas.
Wordlist _ *. Txt --- Se elimina la lista de palabras con duplicados, formateada en una forma que puede ser fácilmente importada en un popular programa de cracking de contraseñas.
Zip.txt --- Un archivo que contiene información sobre cada componente de archivo ZIP que se encuentra en el medio. Esto es excepcionalmente útil como archivos ZIP contienen estructura interna y ZIP es cada vez más el formato de archivo compuesto de elección para una variedad de productos como Microsoft Office
Para cada uno de los anteriores, se pueden crear dos archivos adicionales:

* _stopped.txt --- bulk_extractor soporta una lista de detención, o una lista de elementos que no necesitan ser llevados a la atención del usuario. Sin embargo, en lugar de simplemente suprimir esta información, que podría hacer que algo crítico se oculte, las entradas detenidas se almacenan en los archivos detenidos.
* _histogram.txt --- bulk_extractor también puede crear histogramas de características. Esto es importante, ya que la experiencia ha demostrado que las direcciones de correo electrónico, nombres de dominio, direcciones URL y otra información que aparecen más frecuentemente en un disco duro o en la memoria de un teléfono celular pueden usarse para crear rápidamente un patrón de informe de vida.
Bulk extractor también crea un archivo que captura la procedencia de la ejecución:

Report.xml
Un informe XML Forense Digital que incluye información sobre los medios de origen, cómo se compila y ejecuta el programa bulk_extractor, el tiempo para procesar la evidencia digital y un meta-reporte de la información que se encontró.

Descarga para windows y linux en: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Algunos screenshots y videos de la tool.





Video:



Espero que les guste que la disfruten xD.
Saludos Rootkit_Pentester.