comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Recuperando Información con Scalpel

  • 2 Respuestas
  • 2045 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 874
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« en: Noviembre 20, 2017, 11:25:24 pm »
Muy buenas Underc0ders,

en el día de hoy vamos a ver como consistiría el proceso de recuperación de información cuando se ha borrado información de nuestra máquina que no queríamos perder.


En primer lugar me gustaría dar créditos a No tienes permisos para ver links. Registrate o Entra con tu cuenta ya que descubrí esta herramienta en el taller que dio sobre análisis de ransomware en Qurtuba donde dio algo de información sobre esto..

Primero que nada veamos un poco de teoría. La herramienta que vamos a ver hoy usa una técnica llamada File Carving.
Cuando nosotros borramos algún archivo en realidad no lo estamos borrando, lo que ocurre es que le estamos diciendo al disco que esos segmentos están vacíos, la técnica de la que estamos hablando lo que haría sería buscar en todos los segmentos que se suponen vacíos para ver si ahí hay algo de información.


Una vez entendido lo que vamos a hacer, podemos pasar a la práctica, lo primero que vamos a hacer será descargar las dos siguientes herramientas:

FTK: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Scalpel: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Scalpel es una herramienta que se puede utilizar tanto en linux como en windows, la única diferencia es que en Windows no puede analizar el disco, si no que tiene que analizar una imagen del disco, de ahí que vayamos a usar FTK para conseguir esta imagen.

En mi caso voy a sacar la información de un pendrive de dos GB (para que la imagen del disco no pese mucho), donde he metido y mas tarde eliminado unas imágenes.

Creando imagen con FTK

Lo primero que vamos a hacer es pulsar el botón de "add evidence item" y elegiremos "Logical Drive".



Elegimos el Disco, en mi caso el F:


Daremos click derecho al disco y pulsaremos "Export Disk Image".


Configuramos donde y como queremos que se guarde la imagen.




Una vez hecho esto y presionado start empezará a crear la imagen.



Obteniedo la información con Scalpel

Una vez hecho esto ya podemos proceder a buscar la información, lo primero que vamos a hacer es comprobar como funciona este programa, para ello vamos a hacer: "scalpel -h"


Lo primero que queda claro es que la sintaxis es: scalpel -opcion1 - opcion2 imagen

Las opciones más interesantes son las siguientes:

-c : Sirve para elegir el archivo de configuración. (de serie es scalpel.conf)

-o : Sirve para elegir la carpeta donde se mandará la información. (de serie es scalpel-output)

-v : Sirve para entrar en el verbose mode.


En el archivo de configuración predeterminado trae muchas opciones para buscar gran cantidad de ficheros diferentes, solo tendríamos que ir a dicha sección y borrar '#' para que dejase de ser un comentario.


Para añadir una nueva regla sería de la siguiente forma:

'extension' y 'tamaño' 'header' 'EOF'

Pueden buscar el header y el EOF de cada tipo de archivo por internet, yo haré un archivo de configuración que saque todas las imagenes.


Y lanzamos el programa hacia la imagen: scalpel -o outputDrive -c configuracio.conf "C:\Users\xxxx\Desktop\xxxx\xxxx\ImagenDisco\imagen.002"

Una vez lanzado empezará a buscar estos archivos y nos los meterá en la carpeta que le hemos dicho.


En la carpeta que hemos pasado como parámetro habrá varias carpetas con los diferentes archivos que habrá recuperado, y por fin hemos encontrado aquello que andáramos buscando.



Espero que les sea de utilidad.

También me pueden seguir en Twitter si les hace ilusión: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Saludos.
« Última modificación: Abril 01, 2018, 10:19:43 am por rollth »

Rollth
Buen hacker mejor persona.
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Conectado DeBobiPro

  • *
  • Underc0der
  • Mensajes: 210
  • Actividad:
    8.33%
  • Reputación 2
  • Como no sabía que era imposible, lo hice.
    • Ver Perfil
« Respuesta #1 en: Noviembre 21, 2017, 08:35:07 am »
a favoritos!

Gracias, buen post

como información adicional, recuerdo haber utilizado Wondershare Data Recovery para recuperar información borrada, el proceso es similar al que describes, pero no se cuál será más efectivo.

Saludos!
Nivel 77 No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado DtxdF

  • *
  • Underc0der
  • Mensajes: 55
  • Actividad:
    8.33%
  • Reputación 1
  • Fácil manipular + No es fácil manipularse
    • Ver Perfil
    • Mi Repositorio de github para que puedas usar las herramientas que diseño
« Respuesta #2 en: Julio 05, 2018, 03:27:02 am »
@No tienes permisos para ver links. Registrate o Entra con tu cuenta

FTK existe para windows como un ejecutable?, ya que lo unico que encuentro son puras imágenes iso's.
- Gobiernos: Personas desoladas de la inteligencia

 

¿Te gustó el post? COMPARTILO!



Recuperando datos con foremost

Iniciado por MYokai

Respuestas: 3
Vistas: 4679
Último mensaje Septiembre 28, 2016, 08:33:33 pm
por selohu