Muchos me preguntais sobre temas de extracción de datos y trucos que utilizo.
Hace dias me paso lo mismo en un análisis forense y la verdad no me acordaba de un paso en concreto y tuve que poner imaginación para recordarlo, así que he decidido ponerlo en el blog, con objeto de recordarmelo a mi mismo y compartirlo con todos. (dedicado a FRAN de la GDT)
Son pequeños trucos que utilizo de vez en cuando.
Creación de una línea de tiempo con las TCTUtils
Utilidades escritas por Brian Carrier:
jBcat: Muestra el contenido de un bloque de disco a la salida estándar.- blockcalc: Mapas entre las imágenes con dd y sus diferencias
- fls: Muestra entradas de ficheros y directorios que han sido borrados. Usando fls con la opción-d hace una lista de los nombres de todos los archivos borrados en la imagen.
- find_file: Determina qué archivo tiene asignado un inodo de una imagen.
- find_inode: Determina que inodo ha asignado un bloque de una imagen.
- istat : Muestra información sobre un inodo.
- mac_merge: Combina la salida de 'fls-m' con la salida de mactime TCT para crear una línea de tiempo grandes.
C:\forensics\TSK\fls –m ‘C:/’ –f ntfs –r \\.\Z: > c:\casos_forenses\empresa\timelines\ficheros
Perl C:\forensics\TSK\mactime.pl –d –b c:\casos_forenses\empresa\timelines\ficheros\lineadetiempo.csv
Búsqueda de palabras importantes
C:\casos_forenses\empresa\ripped>strings *.txt | grep –i
C:\casos_forenses\empresa\ripped>strings *.csv | grep –i
Por fechas
fichero.csv | grep -i "Dec 3 2010" | grep "..b,r"
Buscar HIVES en el NTUSER.dat con regtime
La utilidad regtime.pl procesará las marcas de tiempo en cada clave de una sección del Registro
C:\>Perl C:\forensics\SIFT\bin\regtime.pl –m HKLM/system –r -d -m C:\casos_forenses\empresa\hives\system >> fichero.csv
Otra forma con rip de las ya comentadas RegRipper
C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\SAM –f SAM > sam_ripped.txt
C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\system –f System>system_ripped.txt
C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\ntuser.dat –f ntuser> ntuser.ripped.txt
Mostrar carpetas ocultas
Registry Keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: (1 = show hidden, 2 = do not show)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: (1 = show hidden, 2 = do not show)
Para MAC
Puedemos utilizar la función Analyze MacForensicsLab con el siguiente archivo: ~ / Library / Preferences / com.apple.finder.plist Dentro de ese archivo que se encuentra "FXConnectToLastURL". Esta entrada muestra los servidores de archivos relacionados con los datos del sospechoso. y la entrada "CFURLAliasData" tendrá los nombres de los servidores de archivo de acceso, imágenes de disco montadas y muestra el último conjunto de carpetas que se accedió.
That's all, folks!!"
3 comentarios:
¡Qué bueno! Me gusta hacer lo mismo en mi blog. Explico cosas para que no se me olviden y así tener una auto-wiki de consulta rápida; y, ya de paso, abierta y reutilizable.
Tu blog es uno de los pocos que sigo habitualmente a través de GReader. Interesantísimo todo lo que escribes. Gracias por compartirlo.
Que buen tuto pedro queria saber donde podria bajar imagenes con malware y poder montarlas para poder empezar a probar estas herramientas y para cuando algo con ImmunityDebugger.
Muchas Gracias . Sigue Asi.
Saludos
Actualmente el nombre de ese kit para analisis forense se llama TKS "The Sleuth Kit". El kit "TCT" The Coroner's Toolkit dejó de estar soportado hace tiempo, TKS le ha cogido el testigo. Solo aclararlo
Un saludo
Publicar un comentario en la entrada