Vous êtes sur la page 1sur 4

Analizando imgenes NTFS

En esta prctica utilizaremos SleutKIT, un grupo de herramientas gratuitas de anlisis forense. Se le


entregar una imagen y con ella (desde backtrack) realizaremos un grupo de ejercicios.
Es importante destacar que slo mostraremos un grupo muy reducido de todas las herramientas que
componen este kit forense.

1. Analizaremos el tipo de imagen que ha sido entregada.


a) Ejecute el comando fsstat como se muestra a continuacin. TENGA EN CUENTA QUE LO
MOSTRADO AQU ES SLO REFERENCIA, SUS RESULTADOS PUEDEN CAMBIAR. En color
diferente hemos resaltado algunos resultados significativos. Analice los resultados.
root@bt:~# fsstat -f ntfs imagen2.ntfs
FILE SYSTEM INFORMATION
-------------------------------------------File System Type: NTFS
Volume Serial Number: 5418D23018D210BA
OEM Name: NTFS
Volume Name: IMAGEN FORENSE
Version: Windows XP
METADATA INFORMATION
-------------------------------------------First Cluster of MFT: 80084
First Cluster of MFT Mirror: 120127
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 32
Root Directory: 5
CONTENT INFORMATION
-------------------------------------------Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 0 - 240253
Total Sector Range: 0 1922037
$AttrDef Attribute Values:
$STANDARD_INFORMATION (16) Size: 48-72 Flags: Resident
$ATTRIBUTE_LIST (32) Size: No Limit Flags: Non-resident
$FILE_NAME (48) Size: 68-578 Flags: Resident,Index
$OBJECT_ID (64) Size: 0-256 Flags: Resident
$SECURITY_DESCRIPTOR (80) Size: No Limit Flags: Non-resident
$VOLUME_NAME (96) Size: 2-256 Flags: Resident
$VOLUME_INFORMATION (112) Size: 12-12 Flags: Resident
$DATA (128) Size: No Limit Flags:
$INDEX_ROOT (144) Size: No Limit Flags: Resident
$INDEX_ALLOCATION (160) Size: No Limit Flags: Non-resident
$BITMAP (176) Size: No Limit Flags: Non-resident
$REPARSE_POINT (192) Size: 0-16384 Flags: Non-resident
$EA_INFORMATION (208) Size: 8-8 Flags: Resident
$EA (224) Size: 0-65536 Flags:
$LOGGED_UTILITY_STREAM (256) Size: 0-65536 Flags: Non-resident

2. Analizaremos ahora algunos archivos y su correspondiente entrada en la tabla MFT. A continuacin


se muestra la salida del comando isstat con algunas salidas suprimidas. El comando isstat
permite mostrar la estructura de los archivos de metadata del FileSystem. Algunas salidas del
comando han sido eliminadas. Es su labor completarlas. Las entradas a completar han sido
marcadas ?. Revise con detalle en Internet informacin sobre los archivos de metadata para
poder completar.
# istat -f ntfs imagen2.ntfs ?
MFT Entry Header Values:

Pg. 1 de 4

Entry: 7 Sequence: 7
$LogFile Sequence Number: 0
Allocated File
Links: 1
$STANDARD_INFORMATION Attribute Values:
Flags: Hidden, System
Owner ID: 0
Security ID: 0 ()
Created: Thu Jan 26 23:54:55 2012
File Modified:
Thu Jan 26 23:54:55 2012
MFT Modified:
Thu Jan 26 23:54:55 2012
Accessed:
Thu Jan 26 23:54:55 2012
$FILE_NAME Attribute Values:
Flags: Hidden, System
Name: ?
Parent MFT Entry: 5 Sequence: 5
Allocated Size: 8192 Actual Size: 8192
Created: Thu Jan 26 23:54:55 2012
File Modified:
Thu Jan 26 23:54:55 2012
MFT Modified:
Thu Jan 26 23:54:55 2012
Accessed:
Thu Jan 26 23:54:55 2012
Attributes:
Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 48
Type: $FILE_NAME (48-2) Name: N/A Resident size: 76
Type: $SECURITY_DESCRIPTOR (80-3) Name: N/A Resident size: 116
Type: $DATA (128-1) Name: N/A Non-Resident size: 8192 init_size: 8192
0 1

3. Revisemos ahora las entradas al archivo $MFT. El MFT tiene un nico atributo: $BITMAP. En este
caso el atributo tendr un 1 en aquellas entradas ocupadas del MFT ( no confundir con el
FileSystem, ni el archivo de metadata $BITMAP).
Podemos ver el atributo $BITMAP con el siguiente comando:
icat -f ntfs imagen2.ntfs 0-176 | xxd
que (como ejemplo) tiene la siguiente salida:
0000000: ffff 0007 0000 0000
Lo cual significa que las entradas 0-15 y 31 estn ocupadas. Puede explicar este resultado?
4. Ahora analizaremos el contenido del ARCHIVO de metadata $Bitmap (no confundir con el atributo
$Bitmap que vimos anteriormente). El archivo $Bitmap contiene la descripcin de los clusters del
disco utilizados. (1 indica que el cluster est utilizado mientras que el 0 indica que est disponible,
aunque puede contener datos!) La estructura debe leerse de derecha a izquierda, lo cual significa
que si aparece una informacin como FE significa que el cluster inicial est libre (recuerde no
vaco), mientras que los dems se encuentran ocupados.
Para determinar la localizacin de un cluster dividimos la direccin del cluster /8. Por ejemplo el
cluster 5 se encuentra en el byte 0, mientras que el cluster 8 se encuentra en el 1.
Si el $bitmap tiene el siguiente valor en el byte 0: 0xF5(11110101) el cluster 5 se encuentra
ocupado.
Utilice el comando siguiente para ver el archivo $Bitmap.
#icat f ntfs imagen2.ntfs 6-128|xxd
Analice los resultados Es cnsono con el resto de los resultados obtenidos?
5. Obtenga una imagen NTFS, por ejemplo, imagen3.ntfs. Revise los resultados con un editor
hexadecimal. Podra hacer una descripcin completa del FS mostrado especificando si existen
archivos borrados, cuales, etc?
6. Ahora utilice el comando fls y verifique sus resultados. A continuacin se muestra un ejemplo de
las salidas del comando.
Pg. 2 de 4

fls -r imagen2.ntfs
r/r 4-128-4:
r/r 8-128-2:
r/r 8-128-1:
r/r 6-128-1:
r/r 7-128-1:
d/d 11-144-4:
+ r/r 25-144-2:
+ r/r 24-144-3:
+ r/r 24-144-2:
+ r/r 26-144-2:
r/r 2-128-1:
r/r 0-128-1:
r/r 1-128-1:
r/r 9-128-8:
r/r 9-144-6:
r/r 9-144-5:
r/r 10-128-1:
r/r 3-128-3:
d/d 32:

$AttrDef
$BadClus
$BadClus:$Bad
$Bitmap
$Boot
$Extend
$ObjId:$O
$Quota:$O
$Quota:$Q
$Reparse:$R
$LogFile
$MFT
$MFTMirr
$Secure:$SDS
$Secure:$SDH
$Secure:$SII
$UpCase
$Volume
$OrphanFiles

Significado de las opciones:


-: Unknown type
r: Regular file
d: Directory
c: Character device
b: Block device
l: Symbolic link
p: Named FIFO
s: Shadow
h: Socket
w: Whiteout
v: TSK Virtual file / directory (not a real directory, created by TSK for
convenience).
1-128-1: Metadata del archivo se encuentra en la entrada 1 del MFT, tiene un
atributo $DATA (128)

7. El comando fls tambin permite crear lneas de tiempo de las imgenes. A continuacin
mostramos un ejemplo. Realice este ejercicio con la imagen del ejercicio 5 y valide los resultados
obtenidos en el mismo.
root@bt:~# fls -m / imagen2.ntfs -r
0|/$AttrDef|4-128-4|r/rr-xr-xr-x|48|0|2560|1327640095|1327640095|1327640095|1327640095
0|/$BadClus|8-128-2|r/rr-xr-xr-x|0|0|0|1327640095|1327640095|1327640095|1327640095
0|/$BadClus:$Bad|8-128-1|r/rr-xr-xrx|
0|0|984080384|1327640095|1327640095|1327640095|1327640095
0|/$Bitmap|6-128-1|r/rr-xr-xr-x|0|0|30032|1327640095|1327640095|1327640095|1327640095
0|/$Boot|7-128-1|r/rr-xr-xr-x|48|0|8192|1327640095|1327640095|1327640095|1327640095
....

Ejemplo:

0|0|30032|1327640095|1327640095|1327640095|1327640095
UID|GID|size|atime|mtime|ctime|crtime

Tiempo POSIX es un sistema para la descripcin de instantes de tiempo: se define como la


cantidad de segundos transcurridos desde la medianoche UTC del 1 de enero de 1970, sin contar
segundos intercalares.
En el ejemplo: que fecha de acceso tiene el archivo $BOOT?

Pg. 3 de 4

Analizando particiones Ext


1. Para la imagen de un volumen ext3 (como por ejemplo, la siguiente figura), utilice la herramienta de
su preferencia para analizar la misma y obtener la siguiente informacin:
a) En que posicin encontraremos el Superblock?
b) Cantidad de inodos
c) Cantidad de bloques
d) Tamao de los bloques
e) Fecha de la ltima vez que el FS fue montado (recuerde que est almacenado en formato LE y
en tiempo UNIX)
f) Fecha de la ltima vez que el FS fue escrito.
g) Estado del FS
h) Subdirectorio donde fue montado por ltima vez.
i)

Volumen name

2. Ahora verifique con el comando fsstat sus respuestas de la parte 1.

Pg. 1 de 4

Vous aimerez peut-être aussi