Incident Response, Security and Forensics"

.

jueves, 18 de julio de 2013

NTFSWALK y la contabilidad B

Hola lectores,

Ya estamos de lleno en plenas vacaciones y muchos de vosotros estaréis por la playita o por el monte, también me imagino que con vuestro móvil para ver las noticias más interesantes del panorama de la seguridad.

Por mi parte tenía pendiente este post (y cientos más) con más herramientas forenses por si las tenéis que utilizar.

Aprovechando tanta noticia sobre 'contabilidades B' he pensado como hacer una búsqueda forense en Windows con un solo comando y para que de una forma sencilla y utilizando la MFT (Tabla Maestra de Archivos) me indique cuando estuvieron los ficheros y en el caso de que estén que me los extraiga.

Para ello vamos a utilizar NTFSWALK de TZWorks.

NTFSWALK es una potente herramienta en línea de comandos que permite leer todas las entradas de la tabla maestra de ficheros de volúmenes NTFS. Se puede descargar desde aquí.

Está pensado para trabajar con el sistema operativo ya iniciado o bien en modo imagen o también con ficheros VMware. Su versatilidad radica en la cantidad de opciones disponibles para mostrar los datos, ya que se puede filtrar por extensión, rango de fechas y horas, nombre parciales, directorios, etc. Quizá una de las más interesantes es la posibilidad de enumerar los metadatos y extraer los contenidos de los ficheros en un directorio.

Veamos unos ejemplos:

BUSCANDO LA CAJA B

Digamos que necesitamos buscar todos los nombres en un volumen que contiene la cadena "informe_NEMO.docx" y guardar el resultado en formato csv. Por otro lado necesitamos paralelamente extraer los ficheros borrados cuya extensión sea 'docx' y posteriormente abrirlo en Excel.

La sintaxis sería la siguiente:

Buscando ficheros:

ntfswalk partición c-filter_name "informe_NEMO.docx"-csv> results.csv

Buscando ficheros borrados:

ntfswalk -partition c -filter_deleted_files -filter_ext "docx"-csv > resultados.csv

Se puede apreciar la información básica en la siguiente imagen:

Hoja de Excel que muestra los datos de la MFT y los eliminados


Otra forma, es extraer la información relacionada con el fichero 'la cajaB', donde le decimos que extraiga los ficheros TXT, XLS y LNK cuyos nombres podrían ser 'cajaB, contabilidad, conta o contab' y que en caso de que se encuentren se copien al directorio RESULTADOS.

ntfswalk -partition c  -filter_ext ".txt | .xls | .lnk" -filter_name "cajaB | contabilidad | conta | contab" -action_copy_files RESULTADOS.

También os recomiendo utilizar un formato gráfico o GUI con el programa 'gena' y que utiliza NTFSWALK para el análisis y extracción. Se puede descargar desde aquí.

Se puede apreciar el número tan elevado de opciones en GENA

GENA utilizando el motor de NTFSWALK

De esta forma tan sencilla podemos buscar evidencias o trazas relativas a un documento para poder mostrarlo ante una pericial.

1 comentarios:

Pedro, soy de Ecuador, me interesa participar en la asociacion... como hago... mi mail femolinag@gmailcom