Descubrir datos en la holgura del archivo

Navega tus respuestas
3

Hoy en clase, aprendimos cómo se puede descubrir la información en un archivo. Entiendo esto teóricamente, dado el tamaño físico y lógico del archivo, puedo crear el espacio de holgura de un archivo. Sin embargo, ¿cómo puedo descubrir esta información en el espacio de holgura si quisiera saber si hay algo valioso en una cierta holgura de archivo? He estado usando un editor hexadecimal para mirar el disco y los archivos, pero no estoy seguro de a dónde ir desde aquí. He oído que enCase es un buen recurso, sin embargo, no puedo encontrar el enlace para descargar en Ubuntu o Mac de forma gratuita

    
pregunta Bthegreatest 11.10.2016 - 21:38
fuente

2 respuestas

2

Creo que quieres un sistema de archivos flojo. Como dice Xaqron, necesitará un editor hexadecimal que pueda abrir unidades, ya que abrir un archivo solo lo ayudará con el bloqueo de archivos, no con el sistema de archivos.

Preferiblemente, deberías usar un editor hexadecimal que muestre los caracteres ASCII al mismo tiempo que los datos hexadecimales.

Revisión manual utilizando el editor Hex

Una vez que tenga un editor de este tipo, ¿tiene que averiguar qué está buscando?

Imaginemos que está buscando un documento de Word que se ha borrado. La mejor manera de comenzar es mirar un documento de Word con un Editor Hex y luego encontrar algún tipo de código al principio del archivo, que probablemente verá en todos los documentos de Word.

Una vez que encuentre dicho código, podrá buscarlo en el espacio de holgura.

Un problema que encontrará es que al abrir un disco directamente le mostrará todos datos, tanto Asignados como Slack. Desafortunadamente, es difícil para un humano distinguir cuál es cuál. Por ejemplo, si hay algunos documentos de Word reales, así como borrados, ¿cómo podría notar la diferencia? Esto sería muy difícil.

En su lugar, quizás deba buscar palabras clave o frases que le interesen. Recuerde que algunos documentos codificarán el texto de manera diferente. Una vez más, debes comparar el aspecto de los archivos no eliminados antes de buscar esto en Slack space.

Los mismos principios se aplican a cualquier tipo de documento, no solo a Word. Por ejemplo, los archivos de imagen a menudo tienen algunos bytes al principio que puede usar para indicar qué tipo de archivo era. Desafortunadamente, las imágenes están muy codificadas, por lo que no puedes buscar su contenido.

Algunos archivos como txt no tienen tal identificación, pero también son muy ligeros en la codificación, por lo que son más fáciles de encontrar en espacios vacíos.

Tenga en cuenta que Slack Space a menudo será un desastre, con fragmentos de archivos parcialmente sobrescritos o caducados. Los procesos de desfragmentación o la reasignación a otros archivos pueden introducir brechas en lo que puede recuperar.

Herramientas

Un par de cosas más vienen a la mente.

  • Puede haber un editor hexadecimal especializado u otra herramienta disponible que resalte y busque Slack Space por separado de Allocated Space. No sé si hay uno, pero parece que lo habría. Esto realmente ayudaría a su proceso de revisión manual.

  • Hay aplicaciones diseñadas para identificar y restaurar archivos de Slack Space. Estas herramientas automatizadas (restaurar archivos eliminados) están disponibles y son la forma más fácil de hacer algo productivo.

respondido por el George Bailey 11.10.2016 - 22:54
fuente
0

Lo que está buscando hacer se llama análisis forense y el proceso es bastante simple: cree un archivo que contenga una copia de la imagen del disco, cargue la imagen en una herramienta de análisis y comience a buscar.

Para crear una imagen de disco de un disco duro en una máquina con Windows, probablemente la forma más fácil es arrancar desde una distribución de LiveCD de Linux y usar dd para copiar la imagen de disco en un archivo en algún lugar. Hay software gratuito y otras herramientas que supuestamente pueden crear una imagen de disco en Windows, y funcionan bien para memorias USB y unidades extraíbles. (También tenga en cuenta que un disco cifrado evitará efectivamente la creación de una imagen útil).

Para el análisis, EnCase es una herramienta que utilizan muchos investigadores profesionales. (Creo que hay una versión gratuita disponible para los estudiantes). Pero todo es de código cerrado, y el producto con licencia completa es bastante caro.

Hay una muy buena herramienta de código abierto llamada The Sleuth Kit, y una versión de Windows GUI disponible llamada Autopsy. La autopsia facilita la apertura de un archivo de imagen de disco, la búsqueda en el disco, la recuperación de archivos "eliminados" y el examen del contenido. Hay un módulo que ayuda a encontrar imágenes eliminadas, que a menudo son el foco de una investigación. Encontrará que está bien documentado y la web tiene muchos buenos tutoriales.

    
respondido por el John Deters 11.10.2016 - 23:28
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar el archivo rar de extracción automática (SFX) para instalar automáticamente software malintencionado? Desarrollo de SGSI ISO27001 antes de la producción