Paseando por un día

Paseando por un día

Bitácora personal del capitán @fotosycaptura ✨

Forenseando un disco añejo (Parte 2)

Una autopsia por favor

En el artículo anterior comentaba que se inició un análisis con una herramienta, pero la verdad es que como cualquier análisis, se utilizan diversas herramientas. Bueno, se descubrió que su última actividad es en el mes de Enero, un Jueves 22 del año 2004 entre las 11:22:25 y las 11:22:47 hrs de ese día.

Línea de tiempo
Vista de Autopsy, estableciendo una línea de tiempo.

Siguiendo en esa línea se visualiza que este disco en cuestión, tuvo particiones Linux. Pero a juzgar por el sistema de archivos, no fue un disco maestro o con el sistema operativo instalado. No se ve de primera vista rastros de un sistema de archivos típico que se puede observar en plataforma GNU/Linux.

Particiones, volúmenes
Un vistazo a las unidades, sistemas de archivos que posee el disco duro.

Sin embargo, al revisar rastros de archivos, se encontró que entre los eliminados, hay archivos que usualmente se manejan en plataforma Windows. Sin embargo, se puede suponer que quizás se copiaron directamente y se hayan incluido estos en esa copia, pero ya no se puede descartar que solo hubo un sistema operativo en esta unidad.

Archivos eliminados
Visualizando archivos eliminados.

Se visualizan varios archivos, pero no es posible recuperarlos, al menos aparentemente. o_O

Espacio libre, texto de un documento
Visualizando contenido de un documento en espacio libre, quizás un documento en un procesador de textos.

Pero debido a diversos factores no es posible realizar la recuperación al menos directamente, ni escuchar la música en formato mp3 desde la GUI de Autopsy.

Pero ya mencioné que uno utiliza diversas herramientas...

Es momento de presentarles otra...

Foremost

Foremost es una herramienta de consola que permite la recuperación de archivos, y por supuesto trabaja con imágenes de disco duro.

Al ejecutarla desde la terminal, despliega el proceso y rápidamente termina, pues la imagen del disco duro es relativamente pequeña.

Recuperando archivos con Foremost
Recuperando archivos con Foremost.

La herramienta, también genera un reporte al término de la operación como suele ser costumbre.

Detalle de la operacion con Foremost
Visualizando el detalle de la operación de Foremost.

Al visualizar el contenido de la carpeta output se puede observar que se recuperaron algunos archivos. Al examinar el contenido de cada uno de estos, es posible visualizar que algunos de estos documentos corresponde efectivamente a uno creado con un procesador de textos como Word.

Archivos recuperados con Foremost
Examinando los archivos recuperados.

También existen algunas imagenes en formato BMP, pero están algo dañadas, sin embargo, en un procesador de imagenes es posible reconstruirlas.

TestDisk

TestDisk es una herramienta muy buena en lo que a recuperación respecta. De las vistas en este post, es de mis favoritas.

Al ejecutarla desde la consola e indicarle que trabaje con la imagen del disco que previamente se generó, se visualizan algunas opciones como si de un paso a paso se tratara, de forma que guía al usuario en todo el proceso. Aunque es por consola, es muy amigable.

Ejecutando TestDisk
Ejecutando TestDisk sobre la imagen del disco duro.

Al finalizar la operación, se puede visualizar que se generó una carpeta, en este caso una denominada recup_dir.1 y en ella el conjunto de archivos que se han recuperado.

Archivos recuperados con TestDisk
Examinando los archivos recuperados.

Hartos ¿eh?, 51 para ser exactos. Algunos son mp3 como se había visualizado con Autopsy, y otros que se presumía de su existencia, pero que no se visualizaban tan directamente. Y la existencia de algunos documentos que usualmente se trabajan en plataforma Windows lleva a pensar si realmente hubo solo un sistema operativo en este disco, o hubo más de uno. O simplemente se copió la información como se había mencionado anteriormente...

En fin, ese análisis ya es materia para otro tema, en otro tiempo, espacio y lugar... XDD

Conclusiones

Tengo hambre... Ehm, no, eso no iba acá.. XDDD Ejem... Bueno, como se observó en los pasos anteriores, se puede observar que gracias al conjunto de herramientas de diversas especialidades es que se puede obtener mayores y mejores resultados. Y la experiencia de conocer diversos sistemas operativos permite inferir o intuir algunas otras cosas...

Es increible la cantidad de cosas que se han visto acá... Aunque parecen pocas y he mencionado pocas, pero la cantidad de tiempo que llevó a todo esto fue... Creo que una semana si mal no recuerdo. Se los menciono para que no crean o piensen que solo en un par de horas es posible de realizar esto, En ocasiones hay imagenes de discos duros que el solo hecho de procesarlas demoran días. Y de ahí, aplicar metodologías, análisis, generar informes... Así que la próxima vez piensen un poco en todo lo que puede haber de trasfondo si necesitan algo apurado... e.e..

Bueno, ahora sí, a comer... XDDD