En este post voy a explicar de un modo muy sencillo como:
-
Montar una imagen forense en el punto que deseemos de nuestro equipo de trabajo.
-
Una vez montado, nos va a permitir movernos por todo/as las capetas y directorios de nuestra imagen forense, tan fácilmente como si lo hiciéramos por nuestro sistema de ficheros propio.
-
Podremos movernos como deseemos, tanto por línea de comandos, como a través de nuestro explorador (si gustamos de apreciar la interfaz gráfica).
-
¿Para qué hacerlo? Bueno, podemos buscar ciertos registros o datos de un modo muy visual, esto luego nos puede ayudar para explicar los pasos realizados a personas menos preparadas de una manera más sencilla de asimilar.
Quisiera dejar claro un par de aclaraciones antes de continuar:
-
Hay herramientas «automágicas» que hacen esto de manera automática y totalmente transparente para el usuario, funcionan muy bien y son totalmente recomendables y absolutamente fiables (este punto debe quedar claro). Por poner un ejemplo y para su uso en entornos Windows me viene a la cabeza la herramienta FTK Imager Lite.
-
¿Por qué hacerlo de esta manera? Muy sencillo, porque una vez que se explica no es tan complicado (lo vas a poder ver en breve) y porque las herramientas «automágicas» están muy bien, pero se puede llegar a perder de vista lo que ocurre por debajo si se usan de continuo. Al realizarlo como se va a explicar, somos conscientes en todo momento de lo que está pasando, sabemos dónde estamos, que hacemos y porque lo hacemos. Una vez se llega a este punto con total normalidad, podremos empezar a trabajar con la tranquilidad que da el conocer el terreno que estamos pisando y esto, amigos lectores, nos hará mejores y más fiables profesionales.
-
Cualquier herramienta que se utilice, en cualquier entorno que se utilice, puede llegar a ser perfectamente válida, tan solo debemos pensar antes de utilizarla qué queremos, si esta herramienta nos lo puede dar y si entendemos lo que está haciendo. Si la respuesta a estas tres preguntas es sí, adelante. Nosotros somos personal técnico, los programas y sistemas que utilicemos para trabajar son eso, herramientas de trabajo, nada más. En mi caso me desenvuelvo muy bien en entornos Unix, me gusta mucho Unix, pero si tengo que trabajar en entornos Windows, no me supone mayor problema.
En el siguiente ejemplo, vamos a montar nuestra ya familiar imagen de Windows 7 pro de 64 Bits y a continuación navegaremos por su interior, tanto por consola como por interfaz gráfica (usando nuestro explorador de archivos).
Como máquina de trabajo, usaremos una distro Ubuntu (versión 16.04) a la que tan solo le hemos instalado unos iconos más a mi gusto, un tema más claro y nuestra ya conocida suite sleuthkit.
Comenzamos…
Abrimos una terminal y nos movemos al directorio Escritorio (podría ser perfectamente cualquier otro, /tmp por ejemplo, en este caso, por ser más visual se creará en el Escritorio).
Creación Punto de montaje
Éste será nuestro punto de montaje de la imagen.
El segundo paso es tan sencillo como localizar el offset de inicio de Windows, para ello usamos la herramienta mmls
Una vez localizado el offset de Windows en el disco duro, se debe calcular el sector donde se inicia la partición por la cantidad de bytes asignada a cada sector (que en este caso son 512), por tanto…
Una vez calculada la cifra, usaremos el comando mount.
Con el comando mount realizaremos el montado de la imagen en la carpeta creada anteriormente en el Escritorio como punto de montaje (monta).
sudo mount –o loop,offset=2151677952,ro,noexec,show_sys_files,streams_interface=windows ‘/media/itzala/WD/FORENSE/windows7.001’ /home/itzala/Desktop/monta/
Ahora se pasa a desglosar cada una de las opciones seleccionadas de este comando:
Con la opción -o utilizan las siguientes opciones separadas por comas unas de otras:
-
Opción ro para realizar el montado en modo de solo lectura, no se podrá efectuar ningún cambio sobre la imagen (fundamental para un análisis forense)
-
Con la opción noexec no se permite la ejecución de binarios ejecutables en el sistema de archivos montado
-
Opción loop para realizar el montado sobre el dispositivo
-
Con la opción show_sys_files se muestran los archivos meta del volumen (ntfs en este caso)
-
Se usa streams_interface=windows para utilizar flujos de datos alternos (ADS)
-
Con offset=2151677952 le indicamos el inicio de la partición que nos interesa (en el caso de tratarse de una unidad física) para realizar el montado a partir del byte ahí indicado.
- Indicamos el path de la imagen a montar (en este caso /media/itzala/WD/FORENSE/windows7.001)
- Por último le indicamos el punto de montaje (/home/itzala/Desktop/monta)
- ¡Y ya está montado en donde le indicamos! No ha sido tan difícil ¿verdad?
Ya lo tenemos montado y lo podemos ver tanto desde nuestro explorador de archivos como en el caso de la imagen anterior (podemos incluso ver la copia de la $MFT que hablábamos en posts anteriores)…
Nos colocamos con el terminal en en punto donde hemos montado la imagen y nos podemos mover sin ningún problema por todo el sistema de ficheros vía terminal…
Como se aprecia en las dos imágenes anteriores nos podemos mover sin modificar nada de la evidencia tanto por interfaz gráfica como vía terminal.
Resumiendo, de un modo muy sencillo hemos montado y accedido con total seguridad a una imagen forense y nos hemos movido con total libertad por su estructura de ficheros. No es nada difícil y una vez se controla esto, podemos usar cualquier herramienta ya que, al conocer lo que va por debajo, no tenemos ninguna limitación. Podremos automatizar procesos con scripts con una velocidad pasmosa y llegar hasta donde nosotros deseemos.
Recuerda amigo lector, en nuestro mundo el límite es nuestra imaginación y nuestra capacidad de renovación.
¡Hasta la próxima!
P.D: Para que se vea que en este mundo hay opciones para todo y para mostrar las posibilidades de Linux, aquí esta una imagen de FTK Imager Lite corriendo en Ubuntu gracias a la magia de Wine.
