Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Recuperando Información con Scalpel

  • 4 Respuestas
  • 6148 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« en: Noviembre 20, 2017, 11:25:24 pm »
Muy buenas Underc0ders,

en el día de hoy vamos a ver como consistiría el proceso de recuperación de información cuando se ha borrado información de nuestra máquina que no queríamos perder.


En primer lugar me gustaría dar créditos a Jesús Angosto ya que descubrí esta herramienta en el taller que dio sobre análisis de ransomware en Qurtuba donde dio algo de información sobre esto..

Primero que nada veamos un poco de teoría. La herramienta que vamos a ver hoy usa una técnica llamada File Carving.
Cuando nosotros borramos algún archivo en realidad no lo estamos borrando, lo que ocurre es que le estamos diciendo al disco que esos segmentos están vacíos, la técnica de la que estamos hablando lo que haría sería buscar en todos los segmentos que se suponen vacíos para ver si ahí hay algo de información.


Una vez entendido lo que vamos a hacer, podemos pasar a la práctica, lo primero que vamos a hacer será descargar las dos siguientes herramientas:

FTK: http://accessdata.com/product-download/ftk-download-page
Scalpel: https://github.com/machn1k/Scalpel-2.0

Scalpel es una herramienta que se puede utilizar tanto en linux como en windows, la única diferencia es que en Windows no puede analizar el disco, si no que tiene que analizar una imagen del disco, de ahí que vayamos a usar FTK para conseguir esta imagen.

En mi caso voy a sacar la información de un pendrive de dos GB (para que la imagen del disco no pese mucho), donde he metido y mas tarde eliminado unas imágenes.

Creando imagen con FTK

Lo primero que vamos a hacer es pulsar el botón de "add evidence item" y elegiremos "Logical Drive".



Elegimos el Disco, en mi caso el F:


Daremos click derecho al disco y pulsaremos "Export Disk Image".


Configuramos donde y como queremos que se guarde la imagen.




Una vez hecho esto y presionado start empezará a crear la imagen.



Obteniedo la información con Scalpel

Una vez hecho esto ya podemos proceder a buscar la información, lo primero que vamos a hacer es comprobar como funciona este programa, para ello vamos a hacer: "scalpel -h"


Lo primero que queda claro es que la sintaxis es: scalpel -opcion1 - opcion2 imagen

Las opciones más interesantes son las siguientes:

-c : Sirve para elegir el archivo de configuración. (de serie es scalpel.conf)

-o : Sirve para elegir la carpeta donde se mandará la información. (de serie es scalpel-output)

-v : Sirve para entrar en el verbose mode.


En el archivo de configuración predeterminado trae muchas opciones para buscar gran cantidad de ficheros diferentes, solo tendríamos que ir a dicha sección y borrar '#' para que dejase de ser un comentario.


Para añadir una nueva regla sería de la siguiente forma:

'extension' y 'tamaño' 'header' 'EOF'

Pueden buscar el header y el EOF de cada tipo de archivo por internet, yo haré un archivo de configuración que saque todas las imagenes.


Y lanzamos el programa hacia la imagen: scalpel -o outputDrive -c configuracio.conf "C:\Users\xxxx\Desktop\xxxx\xxxx\ImagenDisco\imagen.002"

Una vez lanzado empezará a buscar estos archivos y nos los meterá en la carpeta que le hemos dicho.


En la carpeta que hemos pasado como parámetro habrá varias carpetas con los diferentes archivos que habrá recuperado, y por fin hemos encontrado aquello que andáramos buscando.



Espero que les sea de utilidad.

También me pueden seguir en Twitter si les hace ilusión: @RoloMijan

Saludos.
« Última modificación: Abril 01, 2018, 10:19:43 am por rollth »

Desconectado DeBobiPro

  • *
  • Moderador
  • Mensajes: 293
  • Actividad:
    26.67%
  • Reputación 5
  • Como no sabía que era imposible, lo hice.
    • Ver Perfil
« Respuesta #1 en: Noviembre 21, 2017, 08:35:07 am »
a favoritos!

Gracias, buen post

como información adicional, recuerdo haber utilizado Wondershare Data Recovery para recuperar información borrada, el proceso es similar al que describes, pero no se cuál será más efectivo.

Saludos!
Nivel 77 TERCER OJO

Conectado DtxdF

  • *
  • Moderador
  • Mensajes: 359
  • Actividad:
    68.33%
  • Reputación 6
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
« Respuesta #2 en: Julio 05, 2018, 03:27:02 am »
@rollth

FTK existe para windows como un ejecutable?, ya que lo unico que encuentro son puras imágenes iso's.
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado dellarts

  • *
  • Underc0der
  • Mensajes: 39
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Octubre 15, 2018, 11:22:01 am »
@rollth

FTK existe para windows como un ejecutable?, ya que lo unico que encuentro son puras imágenes iso's.

Si abres la iso puedes instalar la parte que te interese no hace falta instalarlo completon no he encontrado la edición portable.

PD: Gracias por el aporte muy bueno!

Saludos,

Desconectado baron.power

  • *
  • Underc0der
  • Mensajes: 290
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Noviembre 15, 2018, 10:32:03 am »
muy interesante, lo probare a ver que tal va, gracias

 

¿Te gustó el post? COMPARTILO!



Análisis ¿forense? de Información en archivos PST

Iniciado por SIYICO

Respuestas: 0
Vistas: 2694
Último mensaje Noviembre 16, 2018, 05:07:22 pm
por SIYICO
Recuperando datos con foremost

Iniciado por MYokai

Respuestas: 3
Vistas: 7986
Último mensaje Septiembre 28, 2016, 08:33:33 pm
por selohu