Practica2.1 dcfldd
INDICE
1.- CREACION DISCO DURO VIRTUAL PARA HACER IMAGEN PAG 2-3
2.-COPIA DE ARCHIVOS Y BORRADO PAG 4
3.-COPIA CON DFCLDD PAG 5
4.-ARCHIVOS GENERADOS Y ANALISIS PAG 6
5.-010 EDITOR PAG 7-9
6.-FATCAT PAG 10-11
7.-CONCLUSION PAG 12
8.-BIBLIOGRAFIA PAG 12
1.- CREACION DISCO DURO VIRTUAL PARA HACER IMAGEN
Lo primero que haremos será añadir un disco duro virtual a nuestra maquina que hara la función del pen drive. Para ello nos vamos a la configuración de nuestra maquina virtual y seleccionamos almacenamiento.
A continucacion clickamos en disco nuevo y nos saldrá esta ventana en la que seleccionaremos crear.
Ahora elegimos VDI y acto seguido establecemos el tamaño de nuestro disco.
Una vez creado solo quedara darle formato una vez entremos en nuestra maquina virtual.
2.-COPIA DE ARCHIVOS Y BORRADO
En este apartado una vez creado nuestro disco duro virtual , vamos a añadir diferentes tipos de archivo:
Un archivo de audio .wav
Un instalador de libreoffice .tar.gz
Un archivo de texto con texto en su interior .txt
Un documento de texto de libreoffice .odt
Una vez volcados vamos a borrarlos todos menos el archivo .wav para trabajar con ellos mas adelante.
3.-COPIA CON DFCLDD
Para la copia con DFCLDD lo primero será instalarnos nuestro paquete a través del terminal:
Una vez instalamos el paquete de la herramienta pasamos a general la copia de nuestro disco duro. (Este comando lo hemos ejecutado desde el disco duro propio de la maquina , para que cuando hagamos la copia se genere en mi maquina y no contamine en este caso el disco duro virtual que hemos agregado).
Como podemos ver en el comando los archivos .txt de md5 y sha512 esta personalizado con mis iniciales. Ademas el calculo del hash esta configurado para hacerse cada 100Mb como dice la practica.
En cuanto al output file (of=) también esta personalizado con mis iniciales.
Comentar que esta copia esta hecha de un disco duro virtual formateado en fat32.
4.-ARCHIVOS GENERADOS Y ANALISIS
Como podemos ver tras ejecutar el comando se han generado tres archivos:
Image-ppf.dd (la propia copia del disco duro)
Md5-ppf.txt (archivo de texto que almacena el hash en md5)
Sha512-ppf.txt (archivo de texto que almacena el hash en sha512)
Contenido del archivo md5-ppf.txt:
Contenido del archivo sha512-ppf.txt:
Como podemos ver el archivo sha512 al ser un tipo de cifrado mas complejo tiene mayor extensión en sus hashes por lo que ocupa mas.
5.-010 EDITOR
Una vez instaladoel 010 editor que puede bajarse de la siguiente web:
https://www.sweetscape.com/download/010editor/
Lo abrimos y le cargamos la plantilla previamente descargada utilizada en copias de fat32:
Primero abrimos templates y seleccionamos “open template”
Y seleccionamos la plantilla que queramos en este caso “drive.bt”:
Una vez hecho esto , es el momento de abrir nuestra imagen de disco:
Vamos a File 🡪 Open File
Y seleccionamos la imagen que queramos en este caso image-ppf.dd:
Una vez lo hayamos abierto podemos ver algunas cosas interesantes:
Si nos vamos a root dir , podemos ver líneas en las que aparecen los archivos que borramos anteriormente:
El archivo passwords.txt , que borramos y que si nos fijamos como todos los archivos borrados comienzan con E5
El archivo .wav que no borramos y que como podemos ver a diferencia de los demás no tiene la palabra erased (borrado) delante.
6.-FATCAT
Mediante el siguiente comando podemos ver bastantes datos interesantes de la imagen de nuestro disco duro como el tamaño del mismo , el numero de sectores o el tamaño de cada sector:
Para la instalación del fatcat simplemente ejecutaremos el comando:
Sudo apt-get install fatcat
(Es posible que antes haya que ejecutar el comando sudo apt-get update)
Una vez hecho esto empezaremos con el uso del fatcat:
Mediante el siguiente comando nos hace un breve descripción de las características del disco , como su tipo de sistema de archivos , el numero de sectores , la etiqueta que le pusimos , el espacio libre del disco etc…
El siguiente comando ejecuta una comprobación de los links huérfanos , esto es útil para cuando hemos borrado directorios , en este caso no borramos ninguno.
Este comando nos lista el contenido del disco duro:
Este comando nos lista tanto los archivos del disco como los borrados que se indican con la letra f:
Mediante el siguiente comando podemos visualizar el contenido de los ficheros borrados:
Y mediante este comando podemos ver la dirección del disco donde se encuntra dicho archivo.
7.-CONCLUSION
De esta practica me llevo bastante herramientas nuevas que nunca había utilizado con el 010editor o el fatcat , que me parecen esenciales a la hora de el análisis forense. Ya que aunque el tema de hacer una imagen de un disco si me era mas familiar y había utilizado herramientas similares estas dos si que me parecen interesantes y las añadiré a mi arsenal.
Tambien me ha gustado el hecho de que para el 010Editor existan plantillas que te hacen mucho mas fácil el trabajo a la hora de localizar ciertos archivos.
8.-BIBLIOGRAFIA
https://www.sweetscape.com/download/010editor/
https://stefanoprenna.com/blog/2014/03/02/tutorial-how-to-use-dcfldd-instead-of-dd/
https://github.com/Gregwar/fatcat
https://manpages.ubuntu.com/manpages/focal/man1/fatcat.1.html
Last updated