Una palabra tuya bastará para encontrarme

Hola secuaces:

Un título un tanto presuntuoso, lo sé. Pero así es. Basta una palabra.

Esta será la última entrada en la que trate con OSForenscics. Y a pesar de tener más sobre lo que hablar, quiero terminar de explicar lo que veremos hoy. Tenía ganas de llegar aquí. Aún faltarían más apartados, más módulos. De hecho, podría seguir con ellos durante mucho tiempo. Pero considero que ya ‘soy un cansino hablando siempre de lo mismo’. Desde aquí os invito a que seáis curiosos, a que juguéis, tanto con lo que hemos visto, como con lo que no. Y si alguien tiene alguna pregunta… por favor. No lo dudéis: Preguntar.

Así pues…

En esta ocasión, quiero hablaros de, quizás, y al menos para mí, el módulo más importante de esta Suite Forense: RawDisk.

¿Qué es esto de RawDisk? Su traducción literal es ‘Disco Crudo’. Y consiste en acceder, (leer), a un disco duro en un nivel binario, (bruto), por debajo del nivel de sistema de archivos, y usando datos de la partición en el MBR.

Mejor, os lo resumo con mis palabras. ¿Qué hace este modulo? Lo que tenemos que hacer siempre que no sabemos algo: Preguntar, ¿Dónde se encuentra esta información?

Para este ejemplo sólo usé un único fichero.

Comencemos.

Lo primero que debemos hacer, una vez creado el caso y añadido el fichero de imagen, es dirigirnos al módulo de ‘Raw Disk Viewer’.

Una vez en él, desplegamos la lista y seleccionamos la evidencia, (la imagen del disco).

Después, si clicamos en el botón ‘Search’, se nos abrirá una ventana con varias opciones: Búsqueda en Hexadecimal y Búsqueda de texto. Procedemos a la búsqueda con el botón ‘Find’.

Lo único que debemos tener es… Paciencia. Nos basta una única palabra, (de un único fichero en este caso), para obtener varios resultados.

¿Qué tipos de resultados nos va a mostrar este módulo, esta búsqueda?

Un archivo…

Un directorio…

Un archivo de sistema…

Un espacio libre.

Todos estos resultados, que es información, se encuentran en una dirección física del disco duro, en un offset, dentro de uno o varios sectores del disco duro.

Y ¿Qué podemos hacer con los resultados de las búsquedas que hagamos?

Pues, de momento, podemos exportar los resultados a un fichero TXT, HTML o CSV, mediante la opción desplegable,

Que podemos guardar donde le indiquemos, para su lectura, estudio o referencia

Y que podemos ver, en este caso, con un navegador web

¿Qué más podemos hacer?

Podemos indicarle que nos lleve directamente a su dirección en el disco duro, mediante la opción desplegable de ‘Jump to Offset’

Y nos direccionará al contenido de esa dirección.

Y una vez en la dirección del disco que estamos viendo, una vez en el sector que tenemos, ¿Qué más podemos hacer?

Si desplegamos el menú contextual se nos mostrará una bonita lista con las acciones que nos es posible llevar a cabo.

Vale. Muy bien. Tenemos una información dentro de una serie de direcciones del disco duro. Pero, ¿Qué hacemos con ella? ¿Cómo la interpretamos o llegamos a ella?

Pues para eso, nos dirigimos al botón ‘Decode’

Que hará que se nos abra otra ventanita con un montón de información interesante, entre la que se encuentra la ruta del fichero, que aloja como información la palabra que hemos buscado, (siempre y cuando no se trate de un espacio libre).

Además, junto con esa ventanita anterior, se nos mostrará otra, tratándose en este caso de un intérprete de datos.

Y si volvemos a desplegar un menú conextual sobre el enlace, sobre la ruta de ese fichero o directorio

Podremos indicarle que nos guarde ese fichero en la ruta, de nuestro laboratorio, que le indiquemos.

Y nos avisará tanto si se ha podido llevar a cabo la acción

Como si no se ha podido guardar.

Si nos dirigimos a otro resultado, a otra dirección

Desplegamos el ‘Decode’ y clicamos en la ruta donde nos dice que se encuentra, que es un enlace

Nos direccionará a esa información, a través del explorador de ficheros de la Suite, (donde ya sabemos cómo proceder).

Aquí otro ejemplo más que nos dirige al directorio ‘Recents’

Y otro ejemplo más que nos indica, a través de un fichero Prefetch, que se ha abierto un archivo de imagen.

Y para terminar con ejemplos, os muestro otro más, que podemos ver que se trata de un espacio libre

¿Y qué podemos hacer en este caso?

Desplegamos el menú contextual y, por ejemplo, seleccionamos el sector entero.

Una vez que esta seleccionado, (se ve claramente), volvemos a desplegar el menú contextual y seleccionamos la opción ‘Carve selection’

Esta acción, lo que hace, es guardar esa información que hemos seleccionado en un fichero, que posteriormente puede ser leído.

Y para terminar con esta entrada, ¿Os habeís fijado en que hay colorines en las diferentes direcciones del disco duro? ¿Qué significan?

Si nos dirigimos al botón ‘Config’

Se nos desplegará otra ventanita donde podemos decirle, entre otras opciones, que nos destaque con diferentes colores los diferentes tipos de archivos, o directorios, (los espacios en blanco siempre estarán en blanco).

Podemos, por ejemplo, indicarle que nos destaque de color amarillo únicamente los ficheros de imagen

Y con buena vista y mucha paciencia, (Os recuerdo que la paciencia es igual de importante que la curiosidad), podemos encontrar ese tipo de información.

Y si desplegamos, nuevamente, el ‘Decode’, vemos que nos indica que se trata de un fichero de base de datos.

Si clicamos en el enlace que nos muestra, nos redirige a su ubicación, a través del explorador de archivos

Que, por ejemplo, podemos querer abrir con el propio visor de la Suite

Y se nos muestra todo el contenido de vistas en miniaturas de esa base de datos.

Fijaros en la cantidad de información que se genera, únicamente, con una sola acción sobre sólo un fichero. Fijaros en la necesidad de buscar, de preguntar, dónde se encuentra la información que precisamos. Porque no siempre sabremos dónde mirar, dónde explorar.

No puedo dejar de deciros que ‘cacharreéis’, que ‘juguéis’ y que exploréis el potencial de esta Suite.

 

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Los datos introducidos se guardarán en nuestra base de datos como parte del comentario publicado, como se indica en la política de privacidad.