Recuperación de ficheros borrados, a través del análisis forense de discos José Carlos Sancho Núñez Cátedra INSA-UEx “Seguridad y Auditoría de Sistemas Software" https://cybercamp.es ¿Quién soy? José Carlos Sancho Núñez Cátedra INSA‐UEx ‘Seguridad y Auditoría de Sistemas Software’ Ingeniería de Sistemas Informáticos y Telemáticos Universidad de Extremadura [email protected] @Totemoheda Ingeniero Informático Ingeniero Técnico en Informática de Gestión Máster en Dirección TIC Máster en Ingeniería Informática Doctorando en Tecnologías Informáticas Agenda 1. 2. 3. 4. Origen del reto. Demanda Social. ¿Cuál es el reto? Preservación de pruebas. a. Clonado de discos. 5. Localización de archivos. a. Escaneo de archivos eliminados. b. Recuperación de archivos borrados. c. Restauración de extensiones. 6. Resumen del reto. 7. Reto superado. 3 Origen del reto Auditoría y Legislación Informática Grados en Ingeniería Informática Personas sin conocimientos iniciales Entorno Windows ‐> Linux Resultado aplicado a alta demanda social Andrés Caro Lindo MEJOR RETO Profesor Titular Universidad de Extremadura Ingeniería de Sistemas Informáticos y Telemáticos [email protected] @_AndresCaro_ Demanda Social ¿Has borrado un fichero por error? Fotos de grandes recuerdos Vídeos de la infancia de nuestros hijos Documentos imprescindibles Ficheros de contraseñas Reto resuelto en: ¿Cuál es el reto? Borrar memoria extraíble de forma segura. Copiar 10 archivos con diferentes extensiones. Renombrar los ficheros con nombres genéricos (opcional) Eliminar las extensiones ‐> Dificultar su identificación De los 10 ficheros (nombres genéricos y sin extensión) Eliminamos 5 ficheros. Técnicas clásicas del análisis forense de discos Preservación de pruebas Clonado de disco duro Técnicas clásicas de análisis forense Preservación de pruebas Clonado de disco duro Preparación USB Preparación ficheros Creación Live Flash USB Clonado USB Montar imagen Preservación de pruebas Clonado de disco duro Preparación USB Eraser Método de borrado seguro Gutmann: 35 pasadas Escribe 35 patrones diferentes de datos Preservación de pruebas Clonado de disco duro Preparación de ficheros Partimos de 10 ficheros de distintos tipos Borramos 5 ficheros y eliminamos su extensión Preservación de pruebas Clonado de disco duro Creación Live Flash USB 1. Seleccionar memoria. 2. Marcar “Write to UFD” 3. Seleccionar OSFClone.bin 4. Pulsar en “Write” Preservación de pruebas Clonado de disco duro Clonado USB Arrancar USB Live. Formato de la copia Preservación de pruebas Clonado de disco duro Clonado USB Seleccionamos: Disco origen Disco destino Asegura una clonación idéntica Preservación de pruebas Clonado de disco duro Montar imagen Localización de archivos Escaneo de archivos eliminados Recuperación de archivos borrados Restauración de extensiones Localización de archivos Escaneo de archivos eliminados Recuperación de archivos borrados Autopsy Localización de archivos Recuperación de archivos eliminados Localización de archivos Recuperación de archivos eliminados Localización de archivos Recuperación de archivos eliminados Autopsy Localización de archivos Recuperación de archivos eliminados Localización de archivos Recuperación de archivos eliminados Comand: • dd_rescue • md5sum • foremost Localización de archivos Restauración de extensiones 3700 tipos de ficheros P10XB Detección de extensiones automática Localización de archivos Restauración de extensiones trid F:\* ‐ae Recuperamos 8 extensiones de los 10 ficheros Localización de archivos Restauración de extensiones P10XB Ejecutable Base de datos Utilizar como complemento a TrID Resumen del reto 2 Reto superado ‐ A veces son aquellos de quienes no te imaginas nada quienes hacen aquello que nadie puede imaginar. Descrifrando Enigma Muchas gracias!! ¿¿Preguntas?? https://cybercamp.es #CyberCamp15 [email protected] @CyberCampEs @Totemoheda