Universidad Piloto de Colombia
Taller NTFS
Integrantes: Cristian Escobar Victor Cern Victor Lpez Ximena Garcia Leadith Torres
Especializacin en Seguridad informtica
COHORTE 5 Bogot, Colombia Septiembre de 2011
�1. Para la creacin del archivo imagen (copia bit a bit del dispositivo), haremos uso de la herramienta ddde la siguiente forma: $ sudodd if=/dev/sdc of= ImgNTFS.img
2. El siguiente paso es obtener informacin del archivo de imagen, para ello se utiliza el comando fsstat. Si ejecutamos fsstat sobre la imagen del sistema de archivos obtendremos informacin sobre el sistema de archivos, en este caso se pueden visualizar los archivos listados como existentes. El tipo de sistema de archivos representa el tipo de archivo que TSK cree que es la imagen. Esto se determina con la utilizacin del algoritmo dado en la especificacin, el cual est basado en el nmero total de clusters. Informacin sobre el sistema de archivos:
El Identificador de Volmen (Volume ID) es asignado por la aplicacin de creacin y est basado en el tiempo de creacin, pero se ha encontrado que no siempre puede ser el caso.
�Metadatainformation: corresponde a la segunda seccin principal de la salida de fsstaty contiene la informacin relacionada a los metadatos. El sistema de archivos FAT no asigna direcciones a sus estructuras de metadatos, de esta manera TSK debe crear su propio esquema de direccionamiento. La siguiente salida muestra el rango valido de direcciones. Estas son las direcciones que pueden ser utilizadas con la herramienta istat. La mxima direccin se basa en el nmero total de sectores en el sistema de archivos. En este caso el rango valido es de 0 a 96 y al directorio raz se le ha asignado una direccin de 5. Content Information: Esta informacin corresponde a la tercera seccin principal de la salida de fsstaty contiene informacin relacionada con el contenido. Podemos visualizar que el tamao del sector es de 512 bytes y que cada clusteres de 512 bytes. El rango total de clusterses tambin proporcionado, aunque TSK muestra todas las direcciones en los sectores. 3. Ahora que se tiene la imagen del sistema de archivos, podemos hacer un anlisis, para poder generar una lnea de tiempo. Podemos utilizar el comando fls:
�4. Una vez que se obtiene el sector en la cual se ubica la cadena, podemos corresponder o comparar esto con la salida de istatpara verificar los sectores pertenecientes a los inodos, adems de encontrar en que archivo est la cadena.
5. Para ver el metadata del atributo y a modo de realizar un ejemplo de recuperacin de un archivo, se verificar los inodos de manera ms cercana; para esto; se ejecuta el comando istat sobre el 33-16-0 mostrado en la salida de fls:
��Herramienta Vmware PTK Integridad de la evidencia Para asegurar la integridad de la evidencia, que la imagen no fue alterada se crean hashes criptograficos de la evidencia original y las copias, para ello se ingresa a la aplicacin:
���La herramienta nos permite identificar archivos borrados ( en rojo):
Aqu recuperamos un pdf borrado, seleccionndolo de la lista:
�La herramienta nos permite obtener informacin detallada de los archivos:
Validamos el contenido del segmento 36-128-4 observado en la herramienta PKI:
�Observamos archivos denominados hurfanos, que se identifican por tener un punto (.) o dos puntos (..) dos puntos por delante del nombre:
Conclusiones: 1. Para realizar un Anlisis Forense Digital se debe usar una buena metodologa, adems acompaarlo de un amplio y slido conocimiento tcnico sobre temas de Hardware y Software. 2. Hemos trabajado algunos principios y tcnicas con la imagen de un laboratorio forense, su utilizacin en modo consola o lnea de comandos puede resultar un poco compleja, pero es en este modo donde los conceptos tcnicos se reafirman y la experiencia se incrementa. 3. Todas las precauciones que tomemos durante un anlisis forense digital siempre son pocas. Todo con el nico objetivo de mantener la integridad de la evidencia y de poder fundamentar los resultados obtenidos del anlisis forense.
