Embed Size (px)
DESCRIPTION
LABORATORIO CON PHOTOREC,TESTDISK y OPENCRACK
Citation preview
LABORATORIOS CON HERRAMIENTAS DE COMPUTACION FORENSE
El grupo realizo una investigación completa del software de cómputo forense que es para nuestro trabajo
de investigación (CAINE2.0), El cual lo hemos ejecutado en dos software de maquinas virtuales como
son: VirtualBox4.0 y VmWare7.0
Seguidamente vamos a detallar 3 herramientas de las 15 que tiene este software para nuestro
laboratorio de computación forense.
LABORATORIO 1: Recuperar archivos perdidos ó datos perdidos de una partición reformateada ó un
sistema de archivos dañado con CAINE
OBJETIVOS DEL LABORATORIO:
- Dar a conocer las herramientas forenses con que cuenta el software CAINE
- Explicar la técnica de recuperación de datos con photorec
- Ejecución del programa photorec y demostración de resultados
-
BREVE DESCRIPCION DE PHOTOREC
PhotoRec, Digital Picture and File Recovery
PhotoRec es un software diseñado para recuperar archivos
perdidos incluyendo videos, documentos y archivos de los discos
duros y CDRoms así como imágenes perdidas de las memorias
de las cámaras fotográficas, MP3 players, PenDrives, etc.
PhotoRec ignora el sistema de archivos y hace una búsqueda
profunda de los datos, funcionando incluso si su sistema de
archivos está muy dañado o ha sido re-formateado.
Sistemas Operativos
PhotoRec corre bajo: DOS/Win9x Windows NT 4/2000/XP/2003 Linux FreeBSD, NetBSD, OpenBSD Sun Solaris Mac OS X y puede ser compilado en casi todos los sistemas Unix. Sistemas de Archivo
Photorec ignora los sistemas de archivos, por eso es que puede trabajar incluso en discos o memorias
muy dañados. Puede recuperar datos de al menos sistemas: FAT, NTFS, EXT2/EXT3 filesystem, HFS+
Sistemas de Medios
PhotoRec trabaja con HDD, CDRooms, tarjetas de memoria (Compact Flash, Memory Stick,
SecureDigital/SD, SmartMedia, Microdrive, MMC...); Pendrives, DD raw image, EnCase EO1 image.
Formatos de archivos conocidos
PhotoRec busca extensiones de archivo conocidas. Si no hubo fragmentación de datos, puede recuperar
el archivo entero. PhotoRec reconoce numerosos formatos de archivo incluyendo ZIP, archivos de Office,
PDF, HTML, JPEG y varios formatos gráficos.
DESARROLLO DEL LABORATORIO
Este laboratorio muestra un ejemplo de recuperación utilizando la herramienta PhotoRec paso a paso
para recuperar archivos perdidos ó datos perdidos de una partición reformateada ó un sistema de
archivos dañado. Para una partición perdida/borrada ó archivos eliminados de un sistema de archivos
FAT/NTFS.
Si Caine no está todavía instalado, puede ser descargado de:
http://www.caine-live.net/page5/page5.html
En nuestro caso nosotros estamos utilizando la distribución caine y photorec es una herramienta forense
que ya se encuentra incluida en este software
Al ingresar a photorec, Primero nos pedirá nuestra contraseña
Selección de Discos
Los dispositivos disponibles son listados. Usar las flechas de arriba/abajo para seleccionar el disco que
contiene los archivos perdidos. Presionar Enter para continuar.
Selección del tipo de tabla de particionamiento
Seleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que
PhotoRec auto-detecta el tipo de tabla de partición.
Selección de partición Origen
Seleccionar
Search luego de elegir la partición que contiene los archivos perdidos para comenzar con la recuperación,
Options para modificar las opciones,
File Opt para modificar la lista de archivos recuperados por PhotoRec.
Opciones de PhotoRec
Paranoid Por defecto, los archivos recuperados son verificados y los inválidos, rechazados.
Habilitar bruteforce si se quieren recuperar más archivos JPEG fragmentados, teniendo en
cuenta que esta opción tiene un alto impacto en el rendimiento del CPU.
Allow partial last cylinder modifica como es determinada la geometría del disco, solamente
discos no particionados deberían verse afectados.
La opción expert mode permite al usuario forzar el tamaño de bloques y el desplazamiento
(offset).
Habilitar Keep corrupted files para conservar los archivos, incluso cuando son inválidos para
permitir el uso de otras herramientas sobre estos datos.
Habilitar Low memory si su sistema no tiene suficiente memoria y se cuelga mientras se realiza
el proceso de recuperación. Puede ser requerido para sistemas de archivos grandes y muy
fragmentados. No use esta opción a no ser que sea absolutamente necesario.
Selección de archivos a recuperar
Habilitar o deshabilitar la recuperación de ciertos tipos de archivos
Guardamos la configuración que hemos elegido
Tipo de Filesystem
Una vez que la partición ha sido seleccionada y validada con Search, PhotoRec necesita saber como
los bloques de datos son distribuídos. Al menos que se use ext2/ext3, seleccionar Other.
Surcar la partición ó el espacio no atribuido solamente
PhotoRec puede buscar archivos de
toda la partición (útil si la partición está severamente dañada) ó
solamente del espacio no atribuído (unallocated) (Disponible para ext2/ext3, FAT12/FAT6/FAT32 y NTFS). Con esta opción solamente los archivos eliminados son recuperados.
Seleccionar donde se deben escribir los archivos recuperados
Recuperación en progreso
La cantidad de archivos recuperados es actualizada en tiempo real.
Durante la primera pasada, PhotoRec busca los primeros 10 archivos para determinar el tamaño de los bloques.
Durante la siguiente pasada, los archivos son recuperados incluyendo algunos archivos fragmentados.
Los archivos recuperados son escritos en los sub directorios recup_dir.1, recup_dir.2... . Es posible acceder los archivos incluso si la recuperación no terminó.
La recuperación está completa
Cuando la recuperación termina, un sumario es mostrado en pantalla. Notar que si se interrumpe la
recuperación, la próxima vez que PhotoRec sea iniciado, se preguntará si se desea resumir la
recuperación anterior.
RESULTADOS DEL LABORATORIO:
Después del análisis se pudo recuperar 20327 files
TIPO DE FILE
CANTIDAD
txt 19186
Tx? 1043
elf 69
gz 21
png 8
OTRA OPCION: UTILIZACION DE PHOTOREC EN UN ENTORNO WINDOWS XP
1. Primero descargar TestDisk que incluye PhotoRec.
2. Guardar PhotoRec a un dispositivo externo, y conectar este dispositivo a la máquina
3. Ejecutar PhotoRec ,el archivo se llama photorec_win.exe, y se encuentra en el directorio
4. Elija la unidad de unidad de destino para PhotoRec para buscar archivos, y pulse ENTER para
continuar:
Si tiene varios discos duros en su sistema, usted debe repetir este paso para cada unidad de disco duro
(por ejemplo, una vez que se han recuperado los archivos de una unidad, se debe repetir el proceso para
la siguiente unidad).
5. Seleccione el tipo de tabla de particiones (por lo general "Intel") y pulse ENTER para continuar.
6. Seleccione la partición que desea recuperar los archivos desde y presiona "Enter" para
continuar.
Si el disco tiene varias particiones, es necesario repetir este paso para cada uno.
7. Seleccione el tipo de sistema de archivos (usuarios de Windows deben elegir "Otros") y pulse
ENTER para continuar.
8. Escoja dónde buscar los archivos eliminados y pulse ENTER para continuar. Seleccione la opción
"Todo" para buscar todo el disco para los archivos eliminados.
9. PhotoRec a continuación, le pedirá que especifique un directorio de destino para los archivos
restaurados. Utilice el explorador de archivos PhotoRec para mover al directorio raíz (eligiendo "..." y
presione ENTER).
Le muestra el directorio raíz de los discos que el sistema tiene. Seleccione la opción adecuada
extraíble (o de red), y la carpeta donde desea guardar los archivos recuperados. Es muy importante
elegir un disco duro externo (es decir, no elija una unidad en la máquina infectada, ya que los
archivos eliminados pueden ser dañados).
Antes de la recuperación de archivos, por favor asegúrese de que ha creado un directorio
independiente de la unidad (por ejemplo, "recuperada") y elegir guardar los archivos recuperados en
este directorio, a fin de evitar errores que se presentan más adelante en el proceso de recuperación.
Una vez elegido el directorio, pulse en "Y".
Una vez que haya presionado "Y", podrás ver el proceso de restauración de archivos en la acción. Por
favor, tenga en cuenta que este proceso puede tomar una cantidad considerable de tiempo.
Espere para la exploración hasta el final antes de pasar al siguiente paso.
10. Los archivos recuperados son en su disco duro externo elegido. Cuando se abre el directorio que
contiene los archivos recuperados, se dará cuenta de que los nombres de archivo no se
corresponden con los nombres originales de los archivos en el disco duro. Sus nombres de archivo
se verá algo como esto:
LABORATORIO CON TESTDISK
Seleccione Crear solamente si tiene una razón para añadir datos al registro o si se ejecuta
TestDisk desde un archivo media de solo lectura y debe crearse la imagen en otro lugar.
Presione Entrar para continuar.
Selección de disco
Use las teclas flecha arriba/abajo para seleccionar su disco duro con la/s partición/es
perdida/s.
Presione Entrar para continuar.
Si está disponible, use /dev/rdisk* en un dispositivo limpio en lugar de '/dev/disk* para
acelerar la transferencia de datos.
Selección del tipo de la Tabla de particiones
TestDisk nos muestra los tipos de Tabla de particiones.
Seleccionar el tipo de Tabla de partición - normalmente el valor por defecto, del tipo de
tabla de particiones, es el correcto como autodetecta TestDisk. .
Presione Entrar para continuar.
Estado actual de la tabla de particiones
TestDisk muestra los menús
Utilice el menú por defecto "Analyse" (Analizar), para comprobar la estructura de su
partición actual y buscar particiones perdidas.
Confirmar el análisis presionando Entrar para continuar.
Ahora, se muestra la estructura de su partición actual. Examine las particiones desaparecidas y
los errores en la estructura actual de sus particiones.
La primera partición está repetida en la lista por que apunta a una partición dañada o con una
tabla de entrada de partición no válida.
Puntos de arranque NTFS no válidos en un sector de arranque NTFS defectuoso, por lo que esto
es un sistema de archivos dañado.
Sólo una partición lógica (etiqueta de partición 2) está disponible en la partición extendida. Una
partición lógica ha desaparecido.
Confirmar seleccionando Quick Search (Búsqueda Rápida) y presionar "Entrar" para
continuar.
Búsqueda Rápida de particiones
Seleccionar la partición (queda resaltada), y presione p para listar los archivos, (para
volver a la pantalla anterior, pulse q para Salir).
Todos los directorios y datos están correctamente listados.
Presionar Entrar para continuar.
¿Guardar la tabla de particiones o buscar más particiones?
Cuando todas las particiones están disponibles y los datos correstamente listados, puede
ir al menú Escribir para guardar la estructura de la partición. El menú Extd Part le da la
oportunidad de decidir si la partición extendida usará todo el espacio disponible en disco
o sólo el espacio (mínimo) requerido.
Ya que una partición, la primera, todavía falta, seleccionar el menú Deeper
Search(Búsqueda Profunda), (si no se realiza ya de forma automática), y Presionar Entrar
para continuar.
Una partición está todavía desaparecida: Búsqueda más
profunda
Después de realizar la búsqueda profunda, los resultados se muestran como sigue: La primera partición '"Partición 1"' fue encontrada usando la copia de seguridad del sector de arranque. En la última línea de su pantalla, puede leer el mensaje "NTFS encontrado usando la copia de seguridad del sector!." y el tamaño de su partición. La "partición 2" aparece dos veces con diferentes tamaños. Ambas particiones se enumeran con el estado D de borradas, porque se superponen una a la otra.
Seleccione la primera partición Partición2 y presione p para listar sus datos.
El sistema de archivos de la partición lógica superior (etiquetada
Partición2) está dañado
(haga clic en la
miniatura).
Presione q para Salir y volver a la pantalla anterior.
Deje esta partición Partición2, con un sistema de archivos dañado, marcada como
D(borrada).
Resalte la segunda partición Partición 2 debajo
Presione p para listar sus archivos.
¡Funciona, ha encontrado la partición correcta!
Utilice las flechas izquierda/derecha para desplazarse entre sus carpetas y ver sus
archivos de más verificaciones.
Nota: La lista de directorios FAT está limitada a 10 grupos (clusters) - algunos archivos pueden
no aparecer, pero esto no afecta a la recuperación.
Presione q para Salir y volver a la pantalla anterior.
El estado de disponibilidad para las particiones Primarias es: *(Iniciable), L(Lógica) y
D(Suprimida).
Usando las teclas: Flecha izquierda/derecha, cambie el estado de la partición seleccionada a L(Lógica)
Sugerencia: leer ¿Cómo reconocer las particiones primarias y lógicas?
Nota: Si una partición está enlistada como: *(iniciable), pero no es su partición de arranque,
puede cambiarla a partición PPrimaria.
Presionar Entrar para continuar.
Recuperación de la tabla de particiones
Ahora es posible escribir la nueva estructura de la tabla de particiones..
Nota: La partición extendida se establece automáticamente. TestDisk reconoce que está
utilizando una estructura diferente de partición.
Confirmar en Escribir presionando Entrar, y hecho.
Ahora, todas las particiones estan registradas en la tabla de particiones.
Recuperar el Sector de Arranque NTFS
El Sector de Arranque de la primera partición llamado Partition 1 está aún dañado. Es hora de
arreglarlo. El estado del Sector de Arranque NTFS es malo y la copia de seguridad del Sector de Arranque
es válida. Los sectores de arranque no son idénticos.
Para sobreescribir el Sector de Arranque con la Copia de Seguridad del sector de arranque, seleccione Backup BS, y validar presionando Entrar, usar y para confirmar y después OK.
Más información acerca de la reparación de su Sector de Arranque en TestDisk elementos del
menú. El siguiente mensaje expuesto:
El sector de arranque y de su copia de seguridad estan ahora perfectamente e idénticos: el sector
de arranque NTFS se ha recuperado satisfactoriamente.
Press Enter to quit.
TestDisk nos muestra Tiene que reiniciar su computadora para acceder a sus datos por
consiguiente presione Entrar, otra vez y reinicie su equipo.
LABORATORIO OPENCRACK
Te da la posibilidad de poder recuperar nuestras contraseñas perdidas/olvidadas.
OphCrack según el sitio oficial consta de las siguientes caracteristicas:
* » Runs on Windows, Linux and Mac OS X (intel).
* » Cracks LM and NTLM hashes.
* » Free tables available for alphanumeric LM hashes.
* » Loads hashes from local SAM, remote SAM.
* » Loads hashes from encrypted SAM recovered from a Windows partition, Vista included.
Nota: La obtención de contraseñas se hace mediante el uso de tablas basadas en tablas rainbow..
Más info: http://ophcrack.sourceforge.net/tables.php
1) Primero y antes que nada hay que bajar el ISO de la LiveCD de aquí:
http://sourceforge.net/project/showfiles.p...ckage_id=167699 (asegurate de bajar la versión livecd).
2) Una vez bajado vamos a quemarlo nuestra imagen de CD con cualquier programa para tal motivo
(nero, alcohol, k3b, GnomeBaker, etc)
3) Reinicias el ordenador y ajustamos el orden de los dispositivos que analiza la BIOS para poder
arrancar , en este caso se deben imaginar que debemos poner el CD como primer dispositivo a analizar,
hay pc's que se accede al BIOS presionando F2 o Supr (Delete), igual al encerderla nos muetsra un
mensaje como el siguiente:
4) Una vez accedido ajustamos el orden para poder iniciar con el CD (nota, depende la BIOS será el lugar
a donde debas modificar, no debe ser extactamente como la imagen, aparte por que yo estoy usando
vmware xD):
5) Guardamos los cambios y ahora si aparecerá la interfaz de inicia de Ophcrack:
6) Podemos ajustar algunas opciones (si no, simplemente presionar "Enter"):
7) Empezará el inicio y config. del entorno gráfico y demás cosas xD:
8) Después cargarla el archivo SAM de nuestra partición windows y empezará con la tarea de encontrar
las contraseñas de las diferentes cuentas que existan:
Esto demorará dependiendo de la cantidad de caracteres usados en las contraseñas y de las
posibilidades de nuestro pc.
INFORMACION
Página Oficial de CAINE
http://www.caine-live.net/
CAINE, LiveCD GNU/Linux para Informática Forense
http://www.dragonjar.org/caine-livecd-linux-para-informatica-forense.xhtml
Nueva Versión del CAINE, LiveCD para Informática Forense
http://www.dragonjar.org/nueva-version-del-caine-livecd-para-informatica-forense.xhtml
Página de descarga de PhotoRec http://www.cgsecurity.org/wiki/TestDisk_Download
Página de descarga de Autopsy
http://www.sleuthkit.org/autopsy/
