Análisis Forense

TEMA 2

Clase Práctica

1
Índice de la presentación

1. Alternate Data Streams (ADS)

2. Recuperación manual de archivos borrados

(en FAT)

3. Visualización de metadatos

2
1. Alternate Data Streams (ADS)

Alternate Data Streams (ADS)

3
1. Alternate Data Streams (ADS)

Los Flujos Alternativos de Datos (Alternate Data

Streams o ADS) son una característica del sistema
de archivos NTFS que permite almacenar
“archivos” dentro de un archivo.

Estos “archivos” pueden utilizarse para

almacenar información sobre los “archivos”
principales, o para realizar todo tipo de maldades.

4
1. Alternate Data Streams (ADS)

En otros sistemas de ficheros (ext3, ext4, JFS,

HFS+…), lo más parecido a los ADS serían los
extended attributes (EAs).

El problema de los EAs es que su uso se limita a

valores menores de información, no pudiendo incluir
una imagen o un archivo ejecutable como si puede
almacenarse en los ADs.

5
1. Alternate Data Streams (ADS)

Como ejemplos de uso que se le da a los ADS tenemos:

Algunos antivirus utilizan los ADS para mantener un

histórico de análisis, o almacenar información sobre
archivos infectados.

Windows hace uso de los ADS para avisar cuando un

archivo ha sido descargado de Internet.

6
1. Alternate Data Streams (ADS)

7
1. Alternate Data Streams (ADS)

¿Cómo podemos visualizar los ADS?

En Windows Vista y posteriores, haciendo uso
del comando “dir” junto con el parámetro “/r”

O mediante el uso de aplicaciones como:

• LADS - List Alternate Data Streams
(http://www.heysoft.de/en/software/lads.php?lang=EN)
• ADS Spy (http://www.bleepingcomputer.com/download/ads-spy/)
• AlternateStreamView
(http://www.nirsoft.net/utils/alternate_data_streams.html)

8
1. Alternate Data Streams (ADS)

Ejemplos prácticos

9
1. Alternate Data Streams (ADS)

Más información sobre los ADS

• http://www.irongeek.com/i.php?page=security/altds

• http://support.microsoft.com/kb/105763

• http://www.undermyhat.org/blog/2012/05/copy-delete-or-rename-altern
ate-data-streams-using-only-standard-windows-command-prompt-
tools/

• http://es.wikipedia.org/wiki/Alternate_Data_Streams

10
2. Recuperación manual … (en FAT)

Recuperación manual de archivos

borrados (en FAT)

11
2. Recuperación manual … (en FAT)

Primero descargamos de la plataforma virtual el archivo

tema02.zip y lo descomprimimos. Obtendremos un archivo nombrado
como actividad_02.dd

Si calculamos el MD5 y/o SHA1 del archivo debemos obtener:

• MD5: 0AE88B29B9F1AE24DAFE3A1B7B90A7A9
• SHA1: E49A15656270BA3A44413EC48CB46DA31FE08FFB

12
2. Recuperación manual … (en FAT)

Para calcular el MD5 o SHA1 desde archivo podemos utilizar

cualquiera de los siguientes programas:
• File Checksum Integrity Verifier (FCIV) para Windows (http
://support.microsoft.com/kb/841290).
• MD5Sum o SHA1Sum, ambos incluidos en Linux.
• OpenSSL incluido en MacOS.

13
2. Recuperación manual … (en FAT)

Ahora montamos la imagen con “FTK Imager”, pulsando sobre el

botón Image mounting.
En la siguiente pantalla, seleccionaremos como origen del
dispositivo a montar, la opción Image file.

14
2. Recuperación manual … (en FAT)

En la siguiente
pantalla que nos muestra
el programa,
seleccionamos el archivo
a montar (el que nos
acabamos de descargar)
y seleccionamos como
tipo de montaje Physical
& Logical y pulsamos
sobre Mount.

15
2. Recuperación manual … (en FAT)

Posteriormente, vamos a abrir el dispositivo montado, con el

programa “WinHex” (no debemos cerrar “FTK Imager”, pues esto
desmontaría la imagen montada previamente).

Para ello, en el menú superior seleccionamos:

Tools > Open Disk > [EL DISCO MONTADO]
Y pulsamos sobre OK.

Muy importante, debemos seleccionar el disco

físico, no la unidad lógica. En informática
forense SIEMPRE que podamos trabajaremos
con dispositivos físicos.

16
2. Recuperación manual … (en FAT)

Nos aparecerá entonces la siguiente pantalla (es posible que

tengamos que hacer doble clic sobre volume).

17
2. Recuperación manual … (en FAT)

Bytes Función Valor Descripción

Del 0 al 10 Nombre en formato (8.3) 00 Nombre de archivo no usado

E5 Archivo eliminado
11 Atributos del archivo
05 El nombre del archivo
12 Reservado comienza por 0xE5.

Del 13 al 17 Fecha y hora de creación del archivo / directorio

18 y 19 Fecha de último acceso
20 y 21 Reservado
Del 22 y 25 Fecha de última modificación
26 y 27 Cluster de inicio
Del 28 al 31 Tamaño del archivo en bytes

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
E5 4F 52 4D 49 47 41 20 4A 50 47 20 18 A2 AE 46
16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
32 41 32 41 00 00 94 46 32 41 02 00 31 CE 02 00
18
2. Recuperación manual … (en FAT)

Ahora, para extraer el archivo eliminado, solo tenemos que copiar,

comenzando por el cluster indicado (el 2) el número de bytes que dicho
archivo ocupa.
En función de la versión de WinHex que tengamos, será a través
del menú Navigation > Go to sector o Position > Go to sector
Nos deberá aparecer una pantalla similar a la siguiente:

Aquí indicaremos al cluster al que

queremos ir, en este caso, al cluster
número dos.

19
2. Recuperación manual … (en FAT)

El siguiente paso sería calcular el tramo de información a copiar.

Esto lo hacemos porque “WinHex” no permite indicar la cantidad de
bytes a copiar a partir de una determinada posición.
Si hemos realizado los pasos anteriores correctamente, deberemos
encontrarnos en el offset 32.768 o 00008000 en hexadecimal (Para
cambiar de decimal a hexadecimal tenemos que hacer clic sobre el
número de offset).

Tenemos que sumar al offset actual (32.768) el tamaño en bytes

del archivo (183.857bytes).

Offset final = 32.768 + 183.857 = 216.625

20
2. Recuperación manual … (en FAT)

Si nos fijamos, en el offset final podemos ver la firma de fin de

archivo para un JPG.

Hexadecimal Ascii
FF D9 ÿÙ

Debemos tener presente que no todos los archivos tienen firma de

fin de archivo.

21
2. Recuperación manual … (en FAT)

Ahora, definiríamos un bloque: Edit > Define block

* Tenemos que acordarnos de poner la columna offset en decimal, si no, no estaremos

seleccionando bien lo que queremos copiar.

22
2. Recuperación manual … (en FAT)

Y para terminar, copiaríamos la información seleccionada en un

nuevo archivo. Edit > Copy Block > Into New File
Es recomendable darle extensión JPG, para que Windows nos
reconozca el archivo directamente.

23
3. Visualización de metadatos

Visualización de metadatos

24
3. Visualización de metadatos

Ejemplo de extracción de metadatos de

una imagen con EXIF Tool en Windows

25
3. Visualización de metadatos

26
3. Visualización de metadatos

• Marca y modelo de la cámara.

• Software de edición utilizado.
• Persona que la editó.
• Valores propios de la fotografía,
como la distancia focal o el tiempo
de exposición.
• Comentarios añadidos a la
imagen.

* La opción –a indica que obtenga el valor de las

etiquetas duplicadas.

27
3. Visualización de metadatos

• Identificador único de la imagen.

• Coordenadas GPS.
• Thumbnail.
• Notas sobre la imagen.
• Fecha y hora de modificación.

28
3. Visualización de metadatos

Ejemplo de extracción de metadatos de

un MP3 con EXIF Tool en Windows

29
3. Visualización de metadatos

30
3. Visualización de metadatos

• Fechas y horas de creación /

último acceso / modificación.
• Copyright.
• Codec utilizado.
• Título, artista, albúm y número
de canción.
• Comentarios.
• Duración.

* La opción –a indica que obtenga el valor de

las etiquetas duplicadas.

31
3. Visualización de metadatos

Ejemplo de extracción de metadatos de

un PDF con xPDF en Windows

32
3. Visualización de metadatos

33
3. Visualización de metadatos

• Título y asunto del documento.

• Palabras clave.
• Autor
• Programa con el que fue creado
el documento.
• Si está encriptado o no.
• Versión del formato PDF.

34
3. Visualización de metadatos

Más información

• http://sno.phy.queensu.ca/~phil/exiftool/

• http://www.foolabs.com/xpdf/

35
Ánálisis forense

¿Alguna pregunta?

36
Ánálisis forense

Muchas gracias

Hasta la próxima clase

37