Gestión de la Información - RUA: Principal · De esta forma sabremos qué buscar y cómo o si ......

INFORMÁTICA APLICADA

jmgomez@ua.es

José Manuel Gómez Soriano

Dpto. de Lenguajes y Sistemas Informáticos

TRATAMIENTO DE INFORMACIÓN EN SISTEMAS DE ALMACENAMIENTO

Informática Aplicada

2

PARA EXTRAER LA INFORMACIÓN SE DEBE ALCANZAR

1. Arrancar un ordenador y la BIOS

2. Descubrir las particiones

3. Realizar una copia exacta de una partición

4. Comprobar que las dos copias son iguales

5. Montar la copia de la partición

6. Navegar por la estructura de archivos

7. Encontrar archivos ocultos

8. Recuperar archivos borrados

3

1. ARRANCAR UN ORDENADOR Y LA BIOS

4

ACCESO AL DISCO DURO

Protegido con contraseña

█ En la BIOS

█ En el SO

█ Control de acceso

█ Encriptación del disco

Soluciones

█ Quitar la pila de la placa

█ Instalar el disco duro en otra máquina

█ Usar un Live CD

█ Instalar el disco duro en otra máquina como esclavo

█ Usar herramientas para romper encriptaciones

5

TERMINAL DE LINUX

█ Se utiliza para mandar órdenes al SO

█ Se puede programar secuencia de órdenes mediante scripts

█ Distingue mayúsculas de minúsculas

6

EJEMPLO DE USO DEL TERMINAL

█ Abrir el terminal

█ Applications Accessories Terminal

█ Escribir ls

cd /

ls

find . -name ‘*.jpg’

find /usr -name ‘*.jpg’ | less

7

2. DESCUBRIR LAS PARTICIONES

8

DESCRUBIR PARTICIONES

█ Cuando se tiene engancha un disco duro a un ordenador se tiene que visualizar cuántas particiones y de que tipo tiene

█ Se puede utilizar el GParted

█ Pero esto es muy peligroso porque podemos realizar algún cambio.

█ Se puede utilizar el fdisk

█ De esta forma sabremos qué buscar y cómo o si hay alguna partición escondida

█ También podemos saber si hay algún dispositivo pinchado en una entrada usb

9

COMANDO FDISK

# fdisk -l

Disk /dev/sda: 21.5 GB, 21474836480 bytes

255 heads, 63 sectors/track, 2610 cylinders, total 41943040 sectors

Units = sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk identifier: 0x0002be08

Device Boot Start End Blocks Id System

/dev/sda1 2048 30722047 15360000 83 Linux

/dev/sda2 30722048 32819199 1048576 82 Linux swap / Solaris

/dev/sda3 32819200 41943039 4561920 7 HPFS/NTFS/exFAT

10

EJERCICIO

█ Bajar del CV el material ‘esceptico.zip’ en /media/Windows

█ Descomprimir el archivo █ cd /media/Windows

█ unzip `ls *.zip`

█ Hacemos una búsqueda █ grep -R 'Rajoy con cara de pasmado' *

█ Eliminar algunos archivos █ rm `ls *.zip`

█ rm `grep -R 'Rajoy con cara de pasmado' * | cut -f1 –d':'`

█ Comprobamos que no existe ningún archivo █ grep -R 'Rajoy con cara de pasmado' *

█ Desmontaremos la unidad de windows █ cd

█ umount /media/Windows

11

3. REALIZAR UNA COPIA EXACTA DE UNA PARTICIÓN

12

POR QUÉ REALIZAR UNA COPIA EXACTA

█ Es muy importante conservar el original intacto

█ Siempre se trabajará sobre la copia

█ Se debe comprobar que la copia es igual a la original

█ Para hacer copias de cualquier dispositivo utilizaremos el dd

█ Podremos rastrear desde un disco duro, un pen usb o un CD de la misma forma

13

COMANDO DD

█ Copia exacta █ dd if={dispositivo original} of={fichero o dispositivo destino}

█ Ejemplo

█ Comprobar qué particiones tenemos █ fdisk -l

█ Realizar una imagen de la partición de Windows █ dd if=/dev/sda3 of=/media/Linux/windows.iso

14

4. COMPROBAR QUE LAS DOS COPIAS SON IGUALES

15

COMANDOS SHA1SUM Y MD5SUM

█ sha1sum █ sha1sum {dispositivo} && sha1sum {imagen}

█ md5sum █ md5sum {dispositivo} && md5sum {imagen}

█ Ejemplo

█ Comprobamos con sha1sum █ sha1sum /dev/sda3 && sha1sum /media/Linux/windows.iso

█ Comprobamos con sha1sum █ md5sum /dev/sda3 && md5sum /media/Linux/windows.iso

16

5. MONTAR LA COPIA DE LA PARTICIÓN

17

COMANDO MOUNT

█ Crear una carpeta █ mkdir {carpeta}

█ Montar una imagen en una carpeta █ mount -t auto -o loop {imagen} {carpeta}

█ Ver qué está montado █ mount

█ Ejercicio

█ Creamos una carpeta dónde se montará la imagen █ mkdir forense

█ Listamos la imagen █ ls /media/Linux/

█ Montamos la imagen en la carpeta █ mount -t auto -o loop /media/Linux/windows.iso forense/

█ Comprobamos que aquí tampoco están los archivos borrados █ cd forense

█ grep -R 'Rajoy con cara de pasmado' *

18

6. NAVEGAR POR LA ESTRUCTURA DE ARCHIVOS

19

SISTEMAS DE ARCHIVOS

█ Windows

█ NTFS, Fat32, Fat16

█ Unidad CarpetaArchivo

█ Contiene las carpetas y los archivos de una partición

█ Sólo para sistemas de archivos de Windows

█ Unix (Linux, Mac, FreeBSD, Solaris, …)

█ Ext4, Ext3, Ext2, ReiserFS, ZFS

█ CarpetaArchivo

█ En sistemas Unix una unidad se debe montar en un directorio

20

CARPETA O DIRECTORIO

█ Puede contener otras carpetas y archivos

█ Se utiliza para agrupar la información

█ Por ejemplo:

█ Música/

█ Películas/

█ Mis Documentos/

█ Mis Documentos/Trabajo

█ Mis Documentos/Fotos

█ Escritorio/

21

EXPLORADORES DE ARCHIVOS

█ Aplicaciones que te permiten navegar entre lo distinto directorios y abrir ficheros

22

ARCHIVOS

█ Son los que contienen realmente la información

█ Son de distintos tipos

█ Archivos de sonido

█ Vídeos

█ Presentaciones PowerPoint

█ …

█ En Windows el tipo se determina por su extensión

█ .jpg, .wma, .mp3, .ppt, .pptx, .exe, .com…

█ En Linux el tipo de archivo se determina:

█ Por su extensión, permisos, cabecera

23

ARCHIVOS COMPRIMIDOS

█ Son archivos cuya información es parte de una estructura de un sistema de archivos

█ No es un directorio aunque algunos sistemas los traten como tales

█ Distintos formatos:

█ .zip, .rar, .gz, .tgz. .7z

24

EXTENSIONES

█ En Windows las extensiones son cruciales

█ Determinan el tipo de archivo

█ Windows, por defecto, las oculta

█ Esto genera problemas de seguridad

█ La gente puede cambiar el nombre y la extensión de un archivo para que pienses que es un archivo inocuo

█ Mostrar extensiones

█ Inicio Panel de Control Apariencia y personalización Opciones de carpetas

█ Desactivar la opción Ocultar las extensiones de archivo para tipos de archivo conocidos

25

ALGUNOS COMANDOS DE LA CONSOLA DE LINUX

█ Conocer la carpeta actual █ pwd

█ Ver el contenido de una carpeta █ ls

█ Ver las carpetas y archivos ocultos █ ls -a

█ Entrar en una carpeta █ cd carpeta

█ Salir de una carpeta █ cd ..

█ Descomprimir un archivo █ unzip archivo

█ Ver contenido archivo comprimido █ unzip -l archivo

█ Borrar un archivo █ rm archivo

█ Crear una carpeta █ mkdir carpeta

█ Borrar una carpeta vacía █ rmdir carpeta

█ Borrar una carpeta llena █ rm -r carpeta

█ Buscar un archivo █ find carpeta -name 'patrón'

█ Patrones:

█ inicio* - Busca un archivo que empiece con la palabra ‘inicio’

█ *fin - Busca un archivo que termine con la palabra ‘fin’

█ *medio* - Busca un archivo que contenga la palabra ‘medio’

█ Ver resultados paginado █ comando | less

█ Ayuda de un comando █ man comando

26

BÚSQUEDAS DENTRO DE LOS ARCHIVOS

█ Buscar archivos con cierto contenido █ grep -R 'expreg' directorio

█ Buscar que no contenga algo █ grep -vR 'expreg' directorio

█ Expresiones regulares

█ . - Cualquier carácter

█ + - Uno o más elementos

█ * - Cero o más elementos

█ \? - Opcional

█ \| - Una opción u otra

█ \(\) - Agrupar

27

CONCATENAR RESULTADOS

█ En linux la salida de un comando se puede incluir como entrada de otro utilizando | (tubería)

█ Ejemplo: █ Contar resultados

█ grep -R 'homeopatía' | wc -l

█ Ver los documentos en que aparezca ‘homeopatía’ pero no ‘acupuntura’ █ grep -R 'homeopatía' | grep -v 'acupuntura'

█ Contar el número de resultados de la búsqueda anterior █ grep -R 'homeopatía' | grep -v 'acupuntura' | wc -l

█ Paginar los resultados █ grep -R 'homeopatía' | grep -v 'acupuntura' | less

█ Ignorar mayúsculas o minúsculas █ grep -i

28

7. ENCONTRAR ARCHIVOS OCULTOS

29

ARCHIVOS OCULTOS

█ Son archivos que por defecto están ocultos

█ Archivos del sistema

█ Para asegurar que por accidente el usuario no los modifica

█ Windows

█ Inicio Panel de Control Apariencia y personalización Opciones de carpetas

█ Mostrar todos los archivos y carpetas ocultos

█ Linux

█ Todos los archivos que empiezan por .

█ Administrador de archivos View View hidden files

30

ARCHIVOS DEL SISTEMA

█ Ubicados en C:\Windows

█ Es muy peligroso si se modifican

█ Son archivos del SO

█ Aplicaciones del SO

█ Aplicaciones

█ Drivers

█ Bibliotecas de software

31

COMANDO LS

█ Muestra los archivos

█ ls

█ Muestra los archivos ocultos

█ ls -a

█ Muestra más información sobre los archivos

█ ls -l

█ Muestra más información con medidas humanas

█ ls -lh

█ Además, muestra los ocultos

█ ls -lha

32

8. RECUPERAR ARCHIVOS BORRADOS

33

¿DÓNDE VAN LOS ARCHIVOS BORRADOS?

█ Papelera de reciclaje

█ Se marcan como borrados

34

PAPELERA DE RECICLAJE

█ Realmente no se borran

█ Se mueven a una carpeta especial llamada “Papelera”

█ Es muy fácil recuperarlos

█ Normalmente cuando

█ Su ubicación real es:

█ Windows

█ C:\RECYCLE

█ Windows Vista/7

█ C:\$Recycle.Bin

█ Información sobre los borrados

█ Windows

█ C: \RECYCLE\INFO

█ Windows Vista/7

█ Cada archivo borrado tiene un archivo que empieza por $IVxxxxx.ext con información sobre dicho archivo

35

SE MARCAN COMO BORRADOS

█ Realmente no se borran

█ Se marcan como borrados

█ Los sectores que ocupan se marcan como libres

█ Si no se añaden más archivos esa información se puede recuperar

36

LA INFORMACIÓN NO SE PIERDE, SE OCULTA

37

Sistema de archivos (NTFS, Ext4, …)

Archivo 3 (Pos 6)

Archivo 2 (Pos 4)

Archivo 1 (Pos 1)

…

Borro el archivo 2

LA INFORMACIÓN NO SE PIERDE, SE OCULTA

38

Sistema de archivos (NTFS, Ext4, …)

Archivo 3 (Pos 6)

Archivo 1 (Pos 1)

…

Inserto un archivo nuevo

Archivo 4 (Pos 4)

¡A menos que escribamos algo nuevo en el mismo sitio!

¿CÓMO BORRAR DEFINITIVAMENTE?

█ Borrado definitivo █ dd if=/dev/zero of={dispostivo para borrado}

█ Borrado irrecuperable █ dd if=/dev/random of={dispositivo para borrado}

█ Ejemplos █ dd if=/dev/zero of=/dev/sda3

█ dd if=/dev/random of=/dev/sda3

39

COMANDO FOREMOST

█ Se utiliza para recuperar todos los archivos de tipos reconocidos aunque se hayan borrado █ foremost -T -t {tipo} -i {imagen}

█ No se basa en el sistema de ficheros sino en la lectura a bajo nivel de todo el disco duro

█ Crea una carpeta llamada output_<fecha> con los archivos

█ Ejemplo █ Obtener ayuda sobre foremost

█ man foremost

█ Extraer todos los archivos █ foremost -T -t all –i /media/Linux/windows.iso

█ Extraer sólo los archivos jpg █ foremost -T -t jpg –i /media/Linux/windows.iso

█ Buscar en los archivos recuperados algo perdido

40

EJERCICIOS

41

EJERCICIOS

1. Desplazarte hasta tu carpeta de usuario, después entra en la carpeta ‘forense’ y en la de ‘www.escepticos.es’.

2. Muestra la ruta actual

3. Buscar archivos que empiecen por ‘node’ y después contarlos

4. Buscar archivos que terminen por ‘.zip’

5. Buscar archivos que contengan la palabra ‘reiki’ y muestra cuántos resultados hay

6. Buscar archivos que contengan la palabra ‘reiki’ u ‘homeopatía’ y cuéntalos

7. ¿Cómo puedo hacer la consulta anterior para capturar también las palabras sin acentos, es decir, tanto ‘homeopatía’ como ‘homeopatia’

8. Si te fijas en las soluciones del ejercicio 7, la primera solución da un resultado más, ¿sabrías descubrir la causa?

9. Realiza la búsqueda del ejercicio 6 pero ignorando las mayúsculas y minúsculas

10. Borra de forma irrecuperable la partición de windows

11. Intentar recuperar información de la partición de windows

42

SOLUCIÓN DE LOS EJERCICIOS

43

SOLUCIÓN DE LOS EJERCICIOS 1. cd

cd forense/www.escepticos.es

2. pwd

3. find . -name 'node*' find . -name 'node*' | wc -l

4. find . -name '*.zip'

5. grep -R 'reiki' * grep -R 'reiki' * | wc -l

6. grep -R 'reiki\|homeopatía' * | wc -l

7. Una de estas soluciones grep -R 'reiki\|homeopat.a' * | wc -l grep -R 'reiki\|homeopatía\|homeopatia' * | wc –l grep -R 'reiki\|homeopat\(i\|í\)a' * | wc -l

8. grep -R 'homeopat.a' * | grep -v 'homeopat\(í\|i\)a' | less

9. grep -Ri 'reiki\|homeopatía' * | wc -l

10. dd if=/dev/zero of=/dev/sda3 dd if=/dev/random of=/dev/sda3

11. foremost –T –t all –i /dev/sda3

44

DOS PEQUEÑOS TRUCOS

45

RESTABLECER CONTRASEÑA WINDOWS

1. Arrancar con un disco de Ubuntu o alguna distribución que soporte NTFS

2. Colocarte en c:\windows\system32

3. Renombrar sethc.exe por sethc.old

4. Copiar cmd.exe en el escritorio y renombrarlo por sethc.exe

5. Cortar sethc.exe del escritorio a c:\Windows\System32

6. Reiniciar con Windows vista

7. En la ventana de inicio de sesión de usuario en Windows, presionamos 5 (cinco) veces la tecla SHIFT del lado izquierdo, de esta forma habilitamos una ventana de comando.

8. Tecleas lo siguiente: c:\windows\system32\control userpasswords2

9. Al aparecer la ventana con las opciones de las cuentas existentes en la pc, bastará solo seleccionar la cuenta que queramos cambiar y/o modificar y pulsar en la opción REESTABLECER CONTRASEÑA.

10. Dejar en blanco los campos de contraseña y ACEPTAR.

11. Cerrar las ventanas (la de comando tecleando exit).

12. Reiniciar la máquina

46

EL AUTORUN.INF

█ Un archivo especial de Windows que ejecuta automáticamente aplicaciones cuando se conecta un dispositivo

█ Ejemplo: [autorun]

open=setup.exe

icon=setup.exe,0

label=My install CD

█ Un archivo muy peligroso

█ Permite ejecutar aplicaciones de forma automática con sólo insertar un dispositivo

█ Se puede evitar creando una carpeta con ese nombre en nuestros USB

47

MOVER ARCHIVOS A DISTINTAS CARPETAS/UNIDADES

█ Dentro de una misma partición

█ No se mueve realmente

█ Se indica que cambia de directorio

█ En distintas particiones o unidades

█ Se copia

█ Y se borra el original

54