Dudas, aclaraciones y comentarios de Taller Forensics (I)

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Notapor Nork » Mié Abr 16, 2008 5:29 pm

Vic_Thor escribió:Gracias a todos por la aceptación del tema... mas entregas:

Añadido a esta primera parte:

Áreas FAT1 y FAT2 con ejemplos
El Dirty Bit
Root Directory


PD: Para Nork,

Claro que puedes postearlo donde creas conveniente, solo que si te parece mejor y hasta que estén preparados los pdf's, es mejor que donde lo hagas (tu o cualquier otro) enlaces directamente a este foro, al hilo en concreto porque de otra forma no quedará bien el contenido.

Saludos.


Sí, mejor. Gracias ;)
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor Vic_Thor » Mié Abr 16, 2008 8:34 pm

ramandi escribió:.....
Respecto al tema de los segundos que no cuadran, la wikipedia nos da alguna pista:

http://en.wikipedia.org/wiki/File_Alloc ... tory_table

Los 5 bits para los segundos sólo nos permiten representar 32 valores, así que la resolución es de 2 segundos. Por tanto, habría que mutiplicar ese valor por 2.

Para completar la resolución, se usa el campo de milisegundos, que tiene una resolución de 10ms, es decir, el valor del campo se multiplicaría por 10ms y se sumaría al de los segundos que hemos visto antes. De ahí los límites de dicho campo (0-199), para cubrir justo los 2 segundos de margen que nos dejaba el campo anterior, con resolución temporal hasta las centésimas de segundo.

Saludos.


Mira que chuli la Wikipedia... si es que era muuuuu taaaardeeee anoche y, la verdad, ni me molesté en indagar más en eso de los segundos y milisegundos... ok. ya está aclarado, gracias

==== EDITADO =======

y con tu permiso, añadiré esas líneas al post y al pdf para que quede mejor explicado.

=====================
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor ramandi » Mié Abr 16, 2008 9:59 pm

Faltaría más... con el curro que te estás pegando y te pegas habitualmente puedes hacer lo que quieras ;) . Soy tu humilde servidor, oh gran Vikingo de los embudos de diferentes colores.

De hecho, es un honor... tengo como mariposillas en el estómago ¿será el amor? :D :D
ramandi
:-D
:-D
 
Mensajes: 88
Registrado: Jue Abr 20, 2006 10:00 pm

Notapor Vic_Thor » Dom Abr 20, 2008 2:12 am

Añadido los puntos del área de datos sin secretos

http://www.wadalbertia.org/phpBB2/viewt ... 8191#48191

A estudiar :lol: :lol:
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor Newhack » Dom Abr 20, 2008 7:48 pm

Este fin de semana me he apalancado y no he soltado el texto hasta llegar abajo,
de la primera entrega. Ahora recargo y seguiré leyendo.


Me ha gustado mucho la explicación que das de porque los cilindros se llaman asi, y además con la imagen.
Me ha ido muy bien para retocar el concepto del 'cilindro' que por lo visto no estaba del todo bien
fijado. (Un pequeño bug).

Tambien estan muy bien las explicaciones de los métodos de direccionamiento en el disco, aunque esto
me plantea una duda: Se estan vendiendo ya discos de 300 y 500 Gb. si el lba tiene un limite en los
144 Gb ¿con que modo se direccionan estas capacidades?, porque estoy seguro de que ciertos s.o.
seguirán insistiendo en crear una partición del 100% para ellos.


Root directory escribió:root directory

Sólo existe para unidades FAT12 y FAT16, en FAT32 no encontraremos el área de Root Directory.
:? Pero cuando yo miro al explorador, como en la foto, yo veo un disco c: con su directorio raiz,
y un d:, y el directorio raiz de mi dispositivo usb ...
Ahora me pones la duda, pero yo he examinado discos de windows 98, (si no me equivoco son fat 32),
y no recuerdo haber encontrado a faltar una raiz desde donde cuelgan los subdirectorios del windows.
Y mas de una vez ha sido desde linux, o sea que no puede ser una ilusión creada por microsoft.

¿Te he entendido del reves, o ... ?

---------------------------------------------------------------
Aprovecho ya para hacer la "corrección de la galerada" y señalar pequeños fallos de edición. ;-)


TERMINOLOGIA escribió:Directory entry: Puntero a un archivo o directorio que contiene información acerca de
Bien, todos sabemos lo que es, pero parece que la frase quedó cortada. Espero no ser yo que lo tenga mal.

UN ANÁLISIS DE LA FAT Boot Record MAS A FONDO escribió:igualmente (recuerda que de FAT12 no voy a habla nada)


File slack escribió:Todos alguna ves en nuestra vida hemos formateado un disco


F8 -> Descriptor del medio escribió:Lo verdaderamente importante es que lo que ponga este byte también ha de ser el primer el primer byte en la entrada de FAT1 y FAT2,


alguna información útil de este ejemplo: escribió:Por tanto, un archivo cuyo contenido sea nada mas que 59 bytes realmente ocupará en disco: 512 bytes x 32 sectores = 16384 bytes = 32K
¿32 kB. Soy yo que estoy espeso o ...?


Por último, para cuando hagas el pdf, pedirte si puedes hacer las ilustraciones con un poquito mas
de resolucion, pues algunas, caso de f003, f002, f008 y 12, ... , y sobre todo f006 que contienen
texto pequeño hay que adivinar mas que leer lo que pone alli.
(El famoso efecto H x C con aquellas capturas de pantalla pequeñas a margen de pagina. :-) )

-------------------------------------------------------------


Y ahora, como decían los Marx: Mas maderaa, traed mas maderaa.
Esto marcha fenómeno, y mas que han prometido. :-D Gracias.

Newhack.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1873
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor Vic_Thor » Dom Abr 20, 2008 8:55 pm

Hola, Newhack... empezamos "por lo fácil"

Las pantallas , tables, fotos, ilustraciones y eso... una vez impresas se ven bien... claro, en el foro no porque tampoco quise que fuesen muy grandes, de todos modos tomo nota y a ver si las próximas se ven algo mejor...

Las faltas de ortografía/grmática que ya has comentado las coregí en el documento y mas tarde lo haré en el/los posts, gracias.

La parte "incompleta" de:

Directory entry: Puntero a un archivo o directorio que contiene información acerca de


jejeje, así es mas intrigante... debería decir:

Directory entry: Puntero a un archivo o directorio que contiene información acerca de los atributos, marcas horarias, tamaño, cluster de inicio, etc...


En cuanto a esto:

Por tanto, un archivo cuyo contenido sea nada mas que 59 bytes realmente ocupará en disco: 512 bytes x 32 sectores = 16384 bytes = 32K


pues sí... está mal, en ese ejemplo/caso debería decir 16KB (corregido)

Mas...

Newhack escribió:Tambien estan muy bien las explicaciones de los métodos de direccionamiento en el disco, aunque esto
me plantea una duda: Se estan vendiendo ya discos de 300 y 500 Gb. si el lba tiene un limite en los 144 Gb ¿con que modo se direccionan estas capacidades?, porque estoy seguro de que ciertos s.o. seguirán insistiendo en crear una partición del 100% para ellos.


No lo has leido bien... dice 144.000.000 GB (144 MILLONES de GB), no 144 GB, jajajaj, vamos que suficiente, no?

Y lo último que comentas:

Newhack escribió:Pero cuando yo miro al explorador, como en la foto, yo veo un disco c: con su directorio raiz, y un d:, y el directorio raiz de mi dispositivo usb ...
Ahora me pones la duda, pero yo he examinado discos de windows 98, (si no me equivoco son fat 32), y no recuerdo haber encontrado a faltar una raiz desde donde cuelgan los subdirectorios del windows. Y mas de una vez ha sido desde linux, o sea que no puede ser una ilusión creada por microsoft.

¿Te he entendido del reves, o ... ?


A ver, no confundas Root Directory con lo que llamamos comúnmente el directorio raíz de una unidad... están muy relacionados pero no es lo mismo.

En FAT16 existe un área destinada exclusivamente a guardar las entradas de directorio (Las Directory Entry que quedaron incompletas en la explicación que antes apuntabas).

Ese área no contiene los datos, solo las entradas, es decir, el nombre, la extensión, las fechas/horas, el tamaño, cluster inicial, etc.. Vamos que lo que ves con el explorador de Windows o lo que sea de la raíz de una unidad es una representación del área Root Directory en FAT16.

FAT32 no usa ese área separada físicamente y con clusters asignados para ello, aunque muchos autores la mencionan, el supuesto root directory de FAT32 está en la misma área de datos, al estilo de FAT16 con el manejo de subdirectorios... si te has leido todos los posts (ya sé que es un poco largo) sobretodo el último del área de datos, quizás lo entenderás mejor.

No obstante en la próxima entrega (que va a ser hoy mismo) voy a incluir dos prácticas, una de recuperación de fragmentos y otra de recuperacón de datos tras formatear la unidad, quizás cuando veas la problemática existente en esta última práctica que te hablo "captarás" mejor la idea de Root Directory en contraposición con el Visor del directorio raíz que nos pueda dar un sistema Operativo,

Vale... eso...
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor neofito » Dom Abr 20, 2008 9:52 pm

Hola

Por lo que he leido por ahi la diferencia real en cuanto al tratamiento del area root directory y su ausencia en FAT32 es que no se "preasigna" un tamaño determinado para la misma, por lo que no habra un limite maximo para el numero de elementos que puede contener, ¿es asi o estoy equivocado?

Saludos

PD: El taller esta cojonudo :D
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Vic_Thor » Lun Abr 21, 2008 1:26 am

neofito escribió:Hola

Por lo que he leido por ahi la diferencia real en cuanto al tratamiento del area root directory y su ausencia en FAT32 es que no se "preasigna" un tamaño determinado para la misma, por lo que no habra un limite maximo para el numero de elementos que puede contener, ¿es asi o estoy equivocado?

Saludos

PD: El taller esta cojonudo :D


Eso es correcto ;) Quizas cuando veamos un ejemplo de FAT32 (está al caer) quede todo esto mas claro... me alegro que te/os guste ya que como siempre, lo mejor está por venir....

Aprovecho este post para informar que he publicado dos prácticas/ejercicios mas...

Recuperación de fragmentos y puesta en práctica de todo la teoría aprendida:

http://www.wadalbertia.org/phpBB2/viewt ... 8208#48208

Recuperación de datos de una unidad formateada en FAT16

http://www.wadalbertia.org/phpBB2/viewt ... 8209#48209

Venga... que os daré una semanita "de descanso" para asimilar todo este asunto...

Saludos.
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor NeTTinG » Lun Abr 21, 2008 3:21 am

Hola:

Ya me he comido lo nuevo...

Ya es tarde... y al intentar conseguir algunas de las imágenes encontradas gracias a las firmas... es decir, al exportarlas me encuentro con resultados diferentes a los expuestos en el hilo...

Si esto es lo que tenía que exportar EnCase:

Imagen

Tan solo soy capaz de conseguir una pequeña parte de esa imagen. Un cachito superior... me ocurre lo mismo con las imágenes 1 y 2.

Mañana, con más calma, comprobaré si he realizado todos los pasos correctamente...

Lo de conseguir la imagen completa... consiguiendo los demás clusters parece chupao!! Tengo que releerme el hilo para saber conseguir esos clusters...

Lo del documento... todavía no lo he probado... a ver mañana con más calma.

De nuevo, felicitarte, Vic, por todo este curro que te estás pegando. Como siempre en tu estilo, las cosas claras y bien explicadas.

Un saludo.
Última edición por NeTTinG el Lun Abr 21, 2008 8:51 pm, editado 1 vez en total
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor SLaYeR » Lun Abr 21, 2008 12:22 pm

Yo espero con ansias el PDF... :lol:
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor Vic_Thor » Lun Abr 21, 2008 7:21 pm

SLaYeR escribió:Yo espero con ansias el PDF... :lol:


No. si está bien que lo esperes, entiendo que es más cómodo... pero ya te/os advierto que eso tardará un poco.... El motivo principal es que "hay que rodar" el Taller, corregir errores, revisar ejemplos, maquetarlo, etc... vamos que los post del foro son como "conejillos de indias" para que luego salga un pdf medianamente aceptable... Además, ya voy por 178 páginas!!! (solo para encase, fatxx y ntfs) y aunque lo publique "por partes" no deja de ser "un tocho" en toda regla, al menos yo cuando me descargo un pdf y veo que son 500 pag me dan sudores, jajaja...

Mi recomendación es que lo vayáis siguiendo por el foro, es mas pausado y además, así voy depurando esas cosas que se han de corregir...

Saludos,
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor neofito » Lun Abr 21, 2008 11:51 pm

Hola

Creo que ya tengo todas las imagenes, la tercera aparece borrosa, ¿no?

Por otra parte me estoy volviendo loco con el documento. Consigo encontrar el inicio del archivo y el final, pero no consigo completarlo de forma que pueda abrirlo con word. Pero al final espero conseguirlo :D

Me encanta, simplemente me encanta :D

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Newhack » Mar Abr 22, 2008 6:49 pm

Vic_thor escribió:La parte "incompleta" de:

Cita:
Directory entry: Puntero a un archivo o directorio que contiene información acerca de

jejeje, así es mas intrigante... debería decir:

....
:lol:

Vic_thor escribió:No lo has leido bien... dice 144.000.000 GB (144 MILLONES de GB), no 144 GB, jajajaj, vamos que suficiente, no?
Uy!, pues es verdad. :oops: . Si es que con tantos miles de millones a veces te acaba rodando la cabeza,
esto ya parecen los presupuestos del estado. :-)

A ver, no confundas Root Directory con lo que llamamos comúnmente el directorio raíz de una unidad... están muy relacionados pero no es lo mismo.

.......

FAT32 no usa ese área separada físicamente y con clusters asignados para ello, aunque muchos autores la mencionan, el supuesto root directory de FAT32 está en la misma área de datos, al estilo de FAT16 con el manejo de subdirectorios... si te has leido todos los posts (ya sé que es un poco largo) sobretodo el último del área de datos, quizás lo entenderás mejor.

..........
Si, ahora he empezado a leer las entregas publicadas hasta este fin de semana, a ver cuando llegue
a ese punto.
De todas formas a ver si este fin de semana le pongo el disco de windows al ordenador de pruebas, el
portátil con tu texto al lado, e ir repasando y tirando millas.


Mientras, sigo leyendo, que me quedó atrás. :-)

Gracias.

Newhack.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1873
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor SLaYeR » Mar Abr 22, 2008 6:59 pm

Vic_Thor escribió:
SLaYeR escribió:Yo espero con ansias el PDF... :lol:


No. si está bien que lo esperes, entiendo que es más cómodo... pero ya te/os advierto que eso tardará un poco.... El motivo principal es que "hay que rodar" el Taller, corregir errores, revisar ejemplos, maquetarlo, etc... vamos que los post del foro son como "conejillos de indias" para que luego salga un pdf medianamente aceptable... Además, ya voy por 178 páginas!!! (solo para encase, fatxx y ntfs) y aunque lo publique "por partes" no deja de ser "un tocho" en toda regla, al menos yo cuando me descargo un pdf y veo que son 500 pag me dan sudores, jajaja...

Mi recomendación es que lo vayáis siguiendo por el foro, es mas pausado y además, así voy depurando esas cosas que se han de corregir...

Saludos,


No creas que no lo voy siguiendo, digo lo del PDF para poder tenerlo imprimido y seguir leyendo en tiempos muertos, como entre clase y clase cuando no tengo un PC a mano. Esta claro que podría ir imprimiendo los hilos, pero me gusta mas hacerlo cuando esta listo del todo ;)

PD: El taller cojonudo Vic_Thor, que aun no te lo había dicho ;) me parece a mi que puede llegar a superar al de TCP/IP :lol:
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor neofito » Mar Abr 22, 2008 10:42 pm

neofito escribió:Por otra parte me estoy volviendo loco con el documento. Consigo encontrar el inicio del archivo y el final, pero no consigo completarlo de forma que pueda abrirlo con word. Pero al final espero conseguirlo :D


Nada, no he dicho nada, ya tengo el fichero doc y la contraseña necesaria :D

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

AnteriorSiguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron