Portada

viernes, 17 de abril de 2009

RESTAURACION !! Herramientas para recuperar Archivos Borrados

Bueno amigos, hace dias que no posteaba de herramientas de seguridad propiamente tal asi que hoy lo hare, y cargadito al analisis "forense", Herramientas como Foremost y Scalpel identifican estructuras de datos recuperan ficheros de una imagen del disco duro...y mas, para que ? diran Uds.. Pues fácil!! el ataque, de nuestros equipos puede conllevar el borrado, de información, ya sea por daño o por tratar de borrar las huellas, logs registros o cualquier tipo de acceso registrado en algun parametro.




Hablare un poco de los creadores y luego me lanzo con su uso, Jesse Kornblum y Kris Kendall en marzo del 2001, crearon estas aplicaciones, trabajando para la oficina de de investigaciones especiales de USA. Bueno Foremost es hijo de otro software llamado CarvThis, pero ese software nunca vio la luz, y fue creado por el laboratorio Forense de defensa Informática. Bueno Foremost si vio la luz y es codigo abierto en la actualidad, gracias a Nick Mikus se mantiene actualizado.


Golden Richard Desarrollo un programa separado llamado SCALPEL basandose en Foremost0.69, lo bueno para todos independiente de cual sea mejor, -rumores dicen que incluso desarrolladores de Foremos recomiendan scalpel- es que nos quedan dos excelentes herramientas a nuestra disposicion y para diferenctes plataformas de S.O. aunque aca voy a dejar un paper de linux.


En el pasado era facil recuperar los archivos borrados, por el siguiente motivo, antaño solo se borraban las entradas en el directorio. La meta-informacion que describe la localizacion fisica de los datos en el disco, se preservaba, mientras que herramamientas como the Sleuth Kit, te hacian la pega de recuperar los datos.


Actualmente la mayoria de los sistemas de ficheros, borran la totalidad de la informacion existente o metainfromacion dejando solamente los bloques de datos, y el trabajo de juntar estos bloques es la restauracion y desde alli se hace el analisis forense, o en español se arman nuevamente los archivos y se pueden analizar "RECUPERAR". Cabe y vale la pena mencionar un par mas que son: Photorec(no soporta la restauracion general de cualquier fichero), Ftimes(pero es tan alta la curva de aprendizaje que tiene, que yo no lo recomendaria ni para los mas expertos jejeje :-) )


bueno y los pasos que pronto espero ponerle fotitos:



Este programa puede ser compilado en Linux, como ya hemos mencionado, en Windows y Mac OS X.
Vamos a explicar como la podemos utilizar.


Primero tenemos que instalar scalpel, para lo cual podemos ir a Synaptic, buscar “scalpel”, seleccionar e instalar (haciendo click en “Aplicar”), o bien abrir un terminal y escribir:



$ sudo apt-get install scalpel



Estas dos operaciones instalará la aplicación en el sistema. El programa esta muy bien ya que es una herramienta potente, y el único pero que la pongo es que su uso no sea muy intuitivo ya que requiere la utilización de la consola para definir los ficheros con los que queremos trabajar.
Sigamos, tenemos que editar el fichero de configuración para lo que abriremos de nuevo un terminal y escribiremos:



$ sudo gedit /etc/scalpel/scalpel.conf


Podemos ver que en el fichero está explicado el funcionamiento por RegEx (Expresiones Regulares).


Imaginemos que queremos recuperar un fichero .html que borramos accidentalmente, en la línea 162 tenemos ese ejemplo de fichero (será bueno que se lean estos ejemplos para entender el funcionamiento), en nuestro caso iremos hasta esa línea y quitaremos el comentario (simplemente bastará con eliminar el caracter # que está al comienzo de la misma).


Después de guardar las modificaciones volvemos a la consola.


Lo siguiente será indicarle al programa que los ficheros .html que hemos eliminado de nuestro disco se coloquen en un carpeta llamada “html_recovered”, y recuperaremos los datos que se encontraran en la partición /dev/sda5 (esto como repetimos es un ejemplo, puedes guardar los datos recuperados en la carpeta que quieras, y buscarlos donde sea oportuno), para lo que escribiremos el comando:


$ sudo scalpel /dev/sda5 -o html_recovered


Después de un tiempo de funcionamiento, la duración dependerá del tamaño de la partición, tendremos los resultados.
En dicha carpeta existirán multitud de archivos recuperados, por lo que buscar nuestro archivo seguirá siendo como buscar una aguja dentro de un pajar. Para eliminar gran parte de los resultados, que no nos atañen buscaremos, solo por aquellos en los que nuestro usuario ha tenido algo que ver, para esto escribiremos en consola (sustituyendo USER por nuestro nombre de usuario):


$ sudo chown -R USER.USER html_recovered


Después de un poco de tiempo tendremos listos los resultados de esta prueba, en la que ya nos será más sencillo localizar el archivo borrado.



les dejo los links de las herramientas mencionadas por si les intereso alguna..








y por ultimo el reto de la restauración jejeje aqui








No hay comentarios:

Publicar un comentario