Recuperando Información con Scalpel

Iniciado por rollth, Noviembre 20, 2017, 11:25:24 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Noviembre 20, 2017, 11:25:24 PM Ultima modificación: Abril 01, 2018, 10:19:43 AM por rollth
Muy buenas Underc0ders,

en el día de hoy vamos a ver como consistiría el proceso de recuperación de información cuando se ha borrado información de nuestra máquina que no queríamos perder.


En primer lugar me gustaría dar créditos a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ya que descubrí esta herramienta en el taller que dio sobre análisis de ransomware en Qurtuba donde dio algo de información sobre esto..

Primero que nada veamos un poco de teoría. La herramienta que vamos a ver hoy usa una técnica llamada File Carving.
Cuando nosotros borramos algún archivo en realidad no lo estamos borrando, lo que ocurre es que le estamos diciendo al disco que esos segmentos están vacíos, la técnica de la que estamos hablando lo que haría sería buscar en todos los segmentos que se suponen vacíos para ver si ahí hay algo de información.


Una vez entendido lo que vamos a hacer, podemos pasar a la práctica, lo primero que vamos a hacer será descargar las dos siguientes herramientas:

FTK: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Scalpel: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Scalpel es una herramienta que se puede utilizar tanto en linux como en windows, la única diferencia es que en Windows no puede analizar el disco, si no que tiene que analizar una imagen del disco, de ahí que vayamos a usar FTK para conseguir esta imagen.

En mi caso voy a sacar la información de un pendrive de dos GB (para que la imagen del disco no pese mucho), donde he metido y mas tarde eliminado unas imágenes.

Creando imagen con FTK

Lo primero que vamos a hacer es pulsar el botón de "add evidence item" y elegiremos "Logical Drive".



Elegimos el Disco, en mi caso el F:


Daremos click derecho al disco y pulsaremos "Export Disk Image".


Configuramos donde y como queremos que se guarde la imagen.




Una vez hecho esto y presionado start empezará a crear la imagen.



Obteniedo la información con Scalpel

Una vez hecho esto ya podemos proceder a buscar la información, lo primero que vamos a hacer es comprobar como funciona este programa, para ello vamos a hacer: "scalpel -h"


Lo primero que queda claro es que la sintaxis es: scalpel -opcion1 - opcion2 imagen

Las opciones más interesantes son las siguientes:

-c : Sirve para elegir el archivo de configuración. (de serie es scalpel.conf)

-o : Sirve para elegir la carpeta donde se mandará la información. (de serie es scalpel-output)

-v : Sirve para entrar en el verbose mode.


En el archivo de configuración predeterminado trae muchas opciones para buscar gran cantidad de ficheros diferentes, solo tendríamos que ir a dicha sección y borrar '#' para que dejase de ser un comentario.


Para añadir una nueva regla sería de la siguiente forma:

'extension' y 'tamaño' 'header' 'EOF'

Pueden buscar el header y el EOF de cada tipo de archivo por internet, yo haré un archivo de configuración que saque todas las imagenes.


Y lanzamos el programa hacia la imagen: scalpel -o outputDrive -c configuracio.conf "C:\Users\xxxx\Desktop\xxxx\xxxx\ImagenDisco\imagen.002"

Una vez lanzado empezará a buscar estos archivos y nos los meterá en la carpeta que le hemos dicho.


En la carpeta que hemos pasado como parámetro habrá varias carpetas con los diferentes archivos que habrá recuperado, y por fin hemos encontrado aquello que andáramos buscando.



Espero que les sea de utilidad.

También me pueden seguir en Twitter si les hace ilusión: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

a favoritos!

Gracias, buen post

como información adicional, recuerdo haber utilizado Wondershare Data Recovery para recuperar información borrada, el proceso es similar al que describes, pero no se cuál será más efectivo.

Saludos!
Nivel 77 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FTK existe para windows como un ejecutable?, ya que lo unico que encuentro son puras imágenes iso's.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FTK existe para windows como un ejecutable?, ya que lo unico que encuentro son puras imágenes iso's.

Si abres la iso puedes instalar la parte que te interese no hace falta instalarlo completon no he encontrado la edición portable.

PD: Gracias por el aporte muy bueno!

Saludos,

muy interesante, lo probare a ver que tal va, gracias

Genial! siempre está bueno conocer una opción más. Después lo voy a probar en linux a ver como va.  ;)
No podemos resolver problemas pensando de la misma manera que cuando los creamos.

La verdad es que siempre he sido más pro foremost que pro scalpel. :)

Lo siento, no contesto dudas por MP, si tienes dudas las planteas en el foro.