Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sleuthkit - Aprendiz de Sysadmin PDF
Sleuthkit - Aprendiz de Sysadmin PDF
APRENDIZ DE SYSADMIN
Lo imposible está en la mente de los cómodos
E T I Q U E TA : S L E U T H K I T
3 0 M AY O , 2 0 1 6
Vamos a buscar dentro de nuestra imagen clonada de un windows 7 pro de 64 bits una
serie de archivos que nuestro cliente desea encontrar. Para ello utilizaremos la
herramienta s para realizar una búsqueda de un tipo en concreto de archivos (en este
caso serán archivos con extensión .doc), aunque podrían ser de cualquier otro tipo
como txt, xls, docx, mp3…etc. Vamos a ello:
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su
consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace
para mayor información.
plugin cookies
ACEPTAR
https://aprendizdesysadmin.com/tag/sleuthkit/ 1/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
Sigue siendo mucha información para buscar por terminal, de modo que volvemos a
lanzar la orden anterior y redirigimos la salida hacia un archivo de texto, que en un
alarde de originalidad, llamaremos doc.txt.
Ahora lo dejamos trabajar y cuando termina, abrimos en archivo con cualquier editor de
texto, posteriormente con ese mismo editor podemos buscar con el parámetro que
deseemos o, si se desea, podemos pasar ese archivo de texto por la herramienta
mactime para pasarlo a formato .csv y analizarlo usando Excel (por ofrecer otra
posibilidad).
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su
consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace
para mayor información.
plugin cookies
ACEPTAR
https://aprendizdesysadmin.com/tag/sleuthkit/ 2/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
Y ya está extraído.
Localizar archivos borrados es un juego de niños con esta herramienta, tan fácil como
hacerlo así:
Y así tendríamos todos los archivos .doc borrados, así de simple, con añadir -d nos
buscaría los archivos borrados.
https://aprendizdesysadmin.com/tag/sleuthkit/ 3/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
Una vez esta extraído, podemos seguir extrayendo información de el. Podríamos usar
exiftool una vez extraído, pero si nos interesara buscar información antes de extraerlo,
una vez hemos focalizado el «objetivo», lo podemos analizar antes para intentar ver si
es el que nos interesa. ¿De qué manera? Con la herramienta istat. Veamos
En esta orden istat es la herramienta, -i raw es el tipo de imagen, -f le indicamos que el
le system es ntfs, -o …(a estas alturas explicar esto ya como que sobra ¿no crees?, le
añadimos la ruta de la imagen y al nal escribimos el inodo del archivo (que aquí es
103678). Y esto es todo lo que muestra
Podemos usar esta poderosa herramienta para hacer búsquedas por fechas de acceso,
por fechas de creación, por fechas de modi cación… Resumiendo, múltiples
posibilidades que nos pueden permitir que, con las herramientas de esta maravillosa
suite, un poco de imaginación y unas líneas de scripting podamos realizar poderosas
investigaciones con muy poco esfuerzo.
https://aprendizdesysadmin.com/tag/sleuthkit/ 4/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
1 7 M AY O , 2 0 1 6
¿Qué voy a hacer por aquí? Pues intentar compartir mis escasos conocimientos con
quien quiera leerme e intentar mejorar este mundo para todos. Iré enseñando poco a
poco técnicas de investigación forense, algo de hacking y hardering de sistemas en
general, aunque de eso otro amigo que espero se pase en breve por aquí sabe mucho
mas que yo… En cualquier caso, espero no aburrir demasiado y poder aportar mi
granito de arena.
¿De que vamos a hablar hoy? Pues hoy voy a empezar con algo suave y fácil que nos
dará pie a posteriores posts para ir profundizando sobre ello.
La tabla maestra de archivos (o $MFT) es la que contiene todos y cada uno de los
Este archivos que
sitio web utiliza componen
cookies un volumen,
para que usted esexperiencia
tenga la mejor decir, cuando el sistema
de usuario. Si continúaoperativo consulta
navegando está dando suel
consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace
para contenido de un archivo, se dirige a la $MFT para obtener información del mismo, como
mayor información.
plugin cookies
por ejemplo tamaño, propiedades, atributos, localización, nombres de archivos… etc. La
ACEPTAR
https://aprendizdesysadmin.com/tag/sleuthkit/ 5/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
$MFT es, para que nos hagamos una idea mas visual, como una base de datos que
almacena todo la información que necesita a la hora de acceder a un archivo.
Esta es una representación (muy simpli cada eso si) de un típico volumen Windows. Se
aprecia claramente el lugar que ocupa y como mas o menos, por la mitad del volumen
hay una copia de esa tabla. Quiero indicar también que la $MFT puede estar en
diferentes zonas del disco, es interesante también indicar que por cada archivo o
carpeta crea un registro de 1kbyte, 1024 bytes. Tener esto en cuenta, es especialmente
útil para cuando se ha formateado un dispositivo o la $MFT está dañada.
Todo esto, ademas es muy interesante y práctico, ya que en caso de corrupción o daño
de la primera tabla, podremos reconstruirla con la información que obtengamos de la
segunda copia (o mirror, como la denomina Microsoft).
Después de esta pequeña introducción, que nos servirá como base para entender lo
que vendrá después así como su importancia, vamos a centrarnos en las técnicas
forenses en si mismas.
https://aprendizdesysadmin.com/tag/sleuthkit/ 6/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
En este caso, voy a mostrar como extraer y parsear la $MFT desde nuestra copia del
disco clonado, usaremos para ello la suite Sleuthkit. ¿Qués es The Sleuthkit?
Vamos a usar una de las herramientas de esta competa suite, la utilidad s y mmls
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su
Se usa lapara
consentimiento utilidad mmls
la aceptación depara averiguar
las mencionadas entrey laotras
cookies cosas
aceptación el offset
de nuestra dede
política inicio depinche
cookies, windows,
el enlace
para mayor información.
tan fácil como esto… plugin cookies
ACEPTAR
https://aprendizdesysadmin.com/tag/sleuthkit/ 7/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
Después se parsea el disco duro y se pasa todo a un archivo de texto con formato .txt
Donde -r es para que sea búsqueda recursiva, -m «/» para que busque desde la raiz, -i
raw es para indicar que el archivo a analizar es una imagen en formato raw, -o para
indicarle el offset de inicio del volumen de windows (este ya averiguado antes), a
continuación indicamos la ruta de la imagen y posteriormente lo redireccionamos a un
archivo de texto (en este caso body.txt)
Para terminar usamos la utilidad mactime para convertir ese archivo de texto a un
archivo con extensión .csv que podremos ver luego con Excel por ejemplo.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su
consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace
para mayor información.
plugin cookies
ACEPTAR
https://aprendizdesysadmin.com/tag/sleuthkit/ 8/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
¡Voilá! Aquí está el resultado. Aquí tenemos un timeline de toda la vida de ese
ordenador y podemos importarlo a Excel y empezar a analizarlo poco a poco.
Abrimos Excel => Importar Datos desde texto => Seleccionamos el archivo .csv y…
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su
consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace
para mayor información.
plugin cookies
ACEPTAR
https://aprendizdesysadmin.com/tag/sleuthkit/ 9/10
10/4/2020 Sleuthkit | Aprendiz de sysadmin
Aquí tenemos un timeline donde podemos buscar por fechas, archivos, podemos usar
splunk para hacer búsquedas por parámetros, resumiendo un sinfín de posibilidades.
De momento lo voy a dejar aquí, por hoy ya basta, en próximos posts veremos como
extraer la $MFT con otra utilidad de la suite (icat) y como parsearla con un poco de la
magia de python hasta convertirla en un archivo con extensión .csv para analizar.
Buscaremos archivos dentro del disco clonado, buscaremos y extraeremos archivos
borrados, podemos crear scripts que nos automaticen los procesos y nos ltren y
muestren los resultados… etc. Hay todo un mundo ahí fuera sin interfaz grá ca amigos
y funciona muy bien. Poco a poco iremos entrando en este fascinante mundillo que os
enganchará y a la vez, os hará mejores profesionales.
¡Hasta la próxima!
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su
consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace
para mayor información.
plugin cookies
ACEPTAR
https://aprendizdesysadmin.com/tag/sleuthkit/ 10/10