Incident Response, Security and Forensics"

.

lunes, 27 de mayo de 2013

Tuneles en el sistema de archivos

Hola lectores,

En el último caso forense me encontré con un episodio raro en cuanto al sistema de ficheros. Estaba examinando los metadatos de varios archivos cuando sin querer, eliminé uno de ellos. A continuación lo recuperé del Backup de hace unos días y cuál es mi sorpresa que este nuevo archivo recuperado heredó la fecha de creación del fichero borrado.

Lo ocurrido no me afecto en la investigación pero empecé a recordar que ya había leído algo en otros blogs sobre los túneles de ficheros, en su momento lo tome como una anécdota sin darle importancia, pero que ahora me este pasando esto requería saber que es y qué ocurre.

Una vez acabado el análisis forense me propuse repetir la operación.

Para ello vamos a realizar una efectiva  prueba de concepto:

  1. Creamos un archivo llamado archivo1.
  2. Esperamos uno o dos minutos.
  3. Creamos  un archivo llamado archivo2.
  4. Realizamos un DIR /TC. Anotamos las horas de creación.
  5. Cambiamos el nombre archivo1 por el de archivo.
  6. Cambiamos  el nombre archivo2 por archivo1.
  7. Ejecutamos un DIR /TC. Observamos que las horas de creación son idénticas.


Entonces ¿que está ocurriendo?. Para ello tiré de los colegas y un gran amigo de Microsoft me dio la solución al problema:

"Los sistemas Windows conservan metadatos del archivo durante un breve período de tiempo. Esto se produce después de la eliminación o el cambio de nombre.

Cuando se quita un nombre de un directorio o fichero, la hora de  creación y la pareja de nombres corto/largo se guardan en una caché, teniendo como clave el nombre que se quitó. Cuando se agrega un nombre a un directorio o fichero, se busca en la caché para comprobar si hay información que restaurar. La caché es efectiva y depende del directorio. Si un directorio se elimina, su caché se quita.

Windows realiza el túnel en los sistemas de archivos FAT y NTFS para garantizar que los nombres de archivo corto/largo se conserven cuando las aplicaciones de 16 bits realicen esta operación."

Es increíble, lo que todavía hereda Windows de sus ancestros como Windows 95. Evidentemente la siguiente pregunta fue:

¿Se puede quitar? y su respuesta:

"Si, tocando el registro. Mira te voy a pasar un link donde viene explicado todo esto, es el KB 172190"

Efectivamente, una vez leído el KB se llega a la conclusión de que es un mecanismo del funcionamiento del sistema de archivos de Windows y que aunque no perjudica en la investigación forense, es bueno que  lo conozcamos.

NOTA: Según el KB172190 se puede desactivar el túnel de archivos, lo cual desaconsejo ya que entre otras cosas los accesos directos no podrán ofrecer información  de cuando se creó un determinado fichero o programa. Punto a tener en cuenta en nuestro análisis forense.


3 comentarios:

muy interesante Pedro como siempre.
Sólo unas preguntillas:

- cuando dicen "Los sistemas Windows conservan metadatos del archivo durante un breve período de tiempo. Esto se produce después de la eliminación o el cambio de nombre.", ¿es una constante ese breve período de tiempo? En tal caso, ¿cuanto tiempo es exactamente?
- el caché para túneles de ficheros ¿se almacena en la memoria volatil? en tal caso si no está paginada se perderá el mismo tras el reinicio de la máquina verdad?

Saludos!

Esto me sonaba haberlo leído en algún sitio, y después de pensar un rato me acordé: página 452 de "Windows Internals, Sixth Edition, Part 2".

Según allí aparece la caché se mantiene por 15 segundos y "each directory instance has its own cache".

Gracias por explicarlo de forma tan sencilla Pedro :)

Saludos

Este comentario ha sido eliminado por el autor.