josé carlos sancho núñez - cybercamp...escaneo de archivos eliminados. b. recuperación de...
TRANSCRIPT
https://cybercamp.es
Recuperación de ficheros borrados, a través del análisis forense de discos
José Carlos Sancho NúñezCátedra INSA-UEx “Seguridad y Auditoría
de Sistemas Software"
[email protected] @Totemoheda
¿Quién soy?José Carlos Sancho Núñez
Cátedra INSA‐UEx‘Seguridad y Auditoría de Sistemas Software’
Ingeniería de Sistemas Informáticos y TelemáticosUniversidad de Extremadura
Ingeniero Informático Ingeniero Técnico en Informática de Gestión Máster en Dirección TIC Máster en Ingeniería Informática Doctorando en Tecnologías Informáticas
3
Agenda1. Origen del reto.2. Demanda Social.3. ¿Cuál es el reto?4. Preservación de pruebas.
a. Clonado de discos.5. Localización de archivos.
a. Escaneo de archivos eliminados.b. Recuperación de archivos borrados.c. Restauración de extensiones.
6. Resumen del reto.7. Reto superado.
[email protected] @_AndresCaro_
Origen del reto
Andrés Caro LindoProfesor Titular Universidad de Extremadura
Ingeniería de Sistemas Informáticos y Telemáticos
Auditoría y Legislación Informática Grados en Ingeniería Informática Personas sin conocimientos iniciales Entorno Windows ‐> Linux Resultado aplicado a alta demanda social
MEJOR RETO
Demanda Social
Reto resuelto en:
¿Has borrado un fichero por error? Fotos de grandes recuerdos Vídeos de la infancia de nuestros
hijos Documentos imprescindibles Ficheros de contraseñas
¿Cuál es el reto? Borrar memoria extraíble de forma segura. Copiar 10 archivos con diferentes extensiones. Renombrar los ficheros con nombres genéricos (opcional) Eliminar las extensiones ‐> Dificultar su identificación De los 10 ficheros (nombres genéricos y sin extensión)
Eliminamos 5 ficheros.
Técnicas clásicas del análisis forense de
discos
Preservación de pruebas
Clonado de disco duro
Técnicas clásicas de análisis forense
Preservación de pruebasClonado de disco duro
Preparación USB
Preparación ficheros
Creación Live Flash USB
Clonado USB
Montar imagen
Preservación de pruebas
Preparación USB
Método de borrado seguro Gutmann: 35 pasadas Escribe 35 patrones diferentes de datos
Clonado de disco duro
Eraser
Preservación de pruebas
Preparación de ficheros
Clonado de disco duro
Partimos de 10 ficheros de distintos tipos Borramos 5 ficheros y eliminamos su extensión
Preservación de pruebas
Creación Live Flash USB
Clonado de disco duro
1. Seleccionar memoria.
2. Marcar “Write to UFD”
3. Seleccionar OSFClone.bin
4. Pulsar en “Write”
Preservación de pruebas
Clonado USB
Clonado de disco duro
Arrancar USB Live.
Formato de la copia
Preservación de pruebas
Clonado USB
Clonado de disco duro
Seleccionamos: Disco origen Disco destino
Asegura una clonación idéntica
Preservación de pruebas
Montar imagen
Clonado de disco duro
Localización de archivosEscaneo de archivos eliminadosRecuperación de archivos borradosRestauración de extensiones
Localización de archivosEscaneo de archivos eliminadosRecuperación de archivos borrados
Autopsy
Localización de archivosRecuperación de archivos eliminados
Localización de archivosRecuperación de archivos eliminados
Localización de archivosRecuperación de archivos eliminados
Autopsy
Localización de archivosRecuperación de archivos eliminados
Localización de archivosRecuperación de archivos eliminados
Comand: • dd_rescue• md5sum• foremost
Localización de archivosRestauración de extensiones
3700 tipos de ficheros
P10XB
Detección de extensionesautomática
Localización de archivosRestauración de extensiones
Recuperamos 8 extensiones de los 10 ficheros
trid F:\* ‐ae
Localización de archivosRestauración de extensiones
Ejecutable Base de datos
P10XB
Utilizar como complemento a TrID
Resumen del reto
2
Reto superado
‐ A veces son aquellos de quienes no te imaginas nada quienes hacen aquello
que nadie puede imaginar.
Descrifrando Enigma
https://cybercamp.es @CyberCampEs#CyberCamp15
[email protected] @Totemoheda
¿¿Preguntas??Muchas gracias!!