Data carvers en retos forenses

En la comunidad DragonJAR hemos realizado varios retos forenses, hemos tenido mucha participación y han gustado mucho. Los participantes que han entregado sus soluciones han seguido distintas vías de investigación para obtener los resultados finales. Está claro que, hay cosas comunes como hacer el MD5, la copia de la imagen etc… Pero una de las cosas que nos pueden ir muy bien y que, en casi ninguna solución se había hecho es pasar un data carver. Esto nos servirá para tener todos los datos que se puedan extraer realizando esta técnica antes de empezar el caso. He cogido un reto forense al azar, y el escogido a sido el primer reto forense que se hizo aquí en la Comunidad DragonJAR. Descomprimimos el archivo RAR y tendremos los componentes de una máquina virtual, en concreto una imagen vmware. darkmac:Reto Forence marc$ ls -lh total 8414856 drwxr-xr-x@ 4 marc staff 544B 4 ago 21:18 ./ drwxr-xr-x@ 3 marc staff 136B 4 ago 19:52 ../ -rw-r--r--@ 1 marc staff 640K 19 dic 2009 Reto Forence-000001.vmdk -rw-r--r--@ 1 marc staff 512M 19 dic 2009 Reto Forence-Snapshot1.vmem -rw-r--r--@ 1 marc staff 131M 19 dic 2009 Reto Forence-Snapshot1.vmsn -rw-r--r--@ 1 marc staff 8,5K 19 dic 2009 Reto Forence.nvram -rw-r--r--@ 1 marc staff 2,8G 19 dic 2009 Reto Forence.vmdk -rw-r--r--@ 1 marc staff 512M 15 dic 2009 Reto Forence.vmem -rw-r--r--@ 1 marc staff 586B 19 dic 2009 Reto Forence.vmsd -rw-r--r--@ 1 marc staff 131M 19 dic 2009 Reto Forence.vmss -rw-r--r--@ 1 marc staff 2,5K 19 dic 2009 Reto Forence.vmx -rw-r--r--@ 1 marc staff 1,6K 15 dic 2009 Reto Forence.vmxf -rw-r--r--@ 1 marc staff 747K 19 dic 2009 vmware-0.log -rw-r--r--@ 1 marc staff 95K 19 dic 2009 vmware.log Lo primero que vamos ha hacer es lanzar bulk sobre el fichero .vmem que corresponde a la memoria RAM. darkmac:Reto Forence marc$ bulk_extractor -o memoria Reto\ Forence-Snapshot1.vmem bulk_extractor version: 1.4.0-beta5 Hostname: darkmac.local Input file: Reto Forence-Snapshot1.vmem Output directory: memoria Disk Size: 536870912 Threads: 4 19:54:52 Offset 67MB (12.50%) Done in 0:02:12 at 19:57:04 19:55:14 Offset 150MB (28.12%) Done in 0:01:44 at 19:56:58 19:55:37 Offset 234MB (43.75%) Done in 0:01:21 at 19:56:58 19:55:57 Offset 318MB (59.38%) Done in 0:00:57 at 19:56:54 19:56:35 Offset 402MB (75.00%) Done in 0:00:40 at 19:57:15 19:56:56 Offset 486MB (90.62%) Done in 0:00:14 at 19:57:10 All data are read; waiting for threads to finish... Time elapsed waiting for 4 threads to finish: (timeout in 60 min .) Time elapsed waiting for 4 threads to finish: 6 sec (timeout in 59 min 54 sec.) Thread 0: Processing 503316480 Thread 1: Processing 520093696 Thread 2: Processing 469762048 Thread 3: Processing 486539264 Time elapsed waiting for 4 threads to...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES