Analisis Forense
Enviado por jjcopete • 13 de Septiembre de 2015 • Trabajo • 1.103 Palabras (5 Páginas) • 347 Visitas
Actividades[pic 1]
Trabajo: Recuperación de ficheros eliminados
El objetivo de esta actividad, es ver y entender de manera práctica lo que se ha explicado anteriormente. Durante su desarrollo, recuperaremos una serie de ficheros eliminados dentro de una partición FAT y visualizaremos los metadatos asociados a los mismos.
Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las entradas del directorio raíz de una partición FAT. El artículo está disponible en:
http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29
Para realizar la práctica, vamos a utilizar los programas: AccessData FTK Imager, en su versión 3.1.x (No utilicéis la versión 2.9.x, pues no monta imágenes de dispositivos), WinHex, en su versión 16.6 y FOCA, en su versión 3.2 (también lo tenéis disponible en on-line en la web de Informática 64: http://www.informatica64.com/foca/).
Lo primero es descargar la imagen (en formato RAW) de la tarjeta que vamos a analizar, disponible en el aula virtual.
Una vez descargada la imagen y descomprimido el archivo, lo montamos haciendo uso de AccessData FTK Imager, y abrimos el dispositivo virtual creado con WinHex. Nos aparecerá entonces la siguiente pantalla:
[pic 2]
Como vemos, el propio programa ya ha reconocido que existen una serie de archivos los cuales han sido eliminados, y así nos lo marca. Ahora bien, como el objetivo de esta actividad es entender lo ya explicado, vamos a trabajar directamente con la entrada de la FAT denominada Root Folder.
Para ello seleccionaremos la carpeta (Root directory), en la imagen anterior ya se encuentra seleccionada, y como vemos nos aparecen cuatro entradas, de las cuales, las tres últimas son las que se corresponden con los archivos contenidos en la tarjeta.
En FAT12, al igual que en FAT16 y FAT32, cada una de las entradas de esta carpeta raíz ocupa 32 bytes, los cuales se distribuyen de la siguiente manera:
Root Folder Entry | Size | Description |
Name | 11 bytes | Name in 8.3 format. |
Attribute byte | 1 byte | Information about the entry. |
Reserved | 1 byte | |
Creation time and date | 5 bytes | Time and date file was created. |
Last access date | 2 bytes | Date file was last accessed. |
Reserved | 2 bytes | |
Last modification time and date | 4 bytes | Time and date file was last modified. |
First cluster | 2 bytes | Starting cluster number in the file allocation table. |
File size | 4 bytes | Size of the file. |
Para saber qué archivos han sido eliminados solo nos tenemos que fijar en que el primer valor (hexadecimal) de su entrada:
Valor | Significado |
0x00 | La entrada se encuentra sin usar. |
0xE5 | El archivo al que hacer referencia la entrada ha sido eliminado. |
0x05 | El archivo al que hace referencia la entrada, comienza por el carácter «_», en hexadecimal (0xE5). |
Una vez sabemos que entradas hacen referencia a archivos que han sido eliminados, solo tendremos que leer el resto del contenido de la misma para recuperarlos.
Por ejemplo, la segunda entrada de la carpeta raíz hace referencia al archivo «_ORMIGA.JPG», el cual se encuentra eliminado. Si seguimos leyendo el contenido de la entrada, podemos ver que el primer clúster del archivo es el dos (0200, se lee de derecha a izquierda) y que el tamaño del archivo es de 183.857 bytes.
...