¿Perdí algo al buscar contraseñas?

4

Me proporcionaron una imagen forense de "desafío" de 2 MB de tamaño (disquete); proporcionan la imagen del disco y quieren que descubras tantas contraseñas como puedas encontrar. Descargué la imagen y dd 'd en una memoria USB. Lo único visible era un archivo de texto, que contenía una contraseña.

Sabía que tenía que haber más, así que utilicé una utilidad de recuperación y encontré 2 archivos eliminados. Primero había otro archivo de texto con una contraseña, fácil. El otro era un archivo .pst que monté en Outlook. Hubo algunos correos electrónicos con contraseñas, así como un correo electrónico con una imagen. Otro correo electrónico tiene un enlace a un sitio de esteganografía.

Obviamente, había un archivo oculto en la imagen, así que fui al sitio web y descargué el decodificador esteganográfico. Tenía que probar algunas de las contraseñas que había encontrado para descifrar el archivo, y por supuesto, había Otro archivo de texto con una contraseña. Lo llamé un día en ese momento.

¿Perdí algún otro método?

    
pregunta Keltari 28.08.2012 - 06:57
fuente

2 respuestas

5

Forensics es un campo muy interesante para entrar porque realmente todo se reduce al trabajo de detective. Primero encontrando las migas de pan, luego siguiéndolas hasta su conclusión. Definitivamente has tenido un buen comienzo. Como mencionó un comentarista, el programa strings es muy útil. Procesa un archivo binario en busca de secuencias de caracteres ASCII imprimibles. Usándolo, a menudo puede encontrar segmentos de texto de bases de datos o ejecutables y, en ocasiones, datos muy útiles.

También intentaría dar el siguiente paso y pasar a probar una herramienta de examen forense real. La herramienta de Linux Sleuthkit , y la interfaz web Autopsy, son fantásticas herramientas gratuitas para hacer este tipo de trabajo. También querrá examinar más a fondo la técnica llamada Talla de archivos, con algunas de las herramientas disponibles enumeradas en este página wiki . Dado que el buen tallado de archivos no siempre depende de que ciertas estructuras de datos del sistema de archivos estén intactas, podrá encontrar muchos más archivos que una simple recuperación de archivos.

Dado que la mayoría de las buenas herramientas gratuitas están basadas en Linux, deberá tener un entorno de trabajo aceptable. Si no lo hace, intente utilizar el BackTrack LiveCD . Es una distro de Linux especialmente diseñada para ser utilizada por probadores de penetración y, en menor medida, por examinadores forenses. Se envía con Sleuthkit y Autopsy, así como con un gran número de talla de archivos y otras utilidades forenses.

    
respondido por el Scott Pack 28.08.2012 - 18:51
fuente
1

Una posibilidad probable es escribir directamente en los sectores del disco. El hecho de que se distribuyera como una imagen hace que esto parezca una posibilidad decente. En la escuela secundaria, un amigo mío y yo diseñamos nuestro propio sistema de inicio de sesión que se basaba en una clave almacenada en una ubicación normalmente no direccionable en el disco fuera de la partición. Una revisión de bajo nivel del contenido binario de la imagen de disco hubiera sido un buen último paso para buscar cualquier cosa que no esté inicializada a cero.

    
respondido por el AJ Henderson 30.08.2012 - 22:13
fuente

Lea otras preguntas en las etiquetas