Dudas, aclaraciones y comentarios de Taller Forensics (I)

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Notapor NeTTinG » Mié Abr 23, 2008 1:17 am

Hola:

Aquí tenemos al listillo de la clase :badgrin: :badgrin:

Yo prometí ponerme con ello y todavía no he podido :roll: :roll:
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor neofito » Mié Abr 23, 2008 8:45 pm

NeTTinG escribió:Aquí tenemos al listillo de la clase :badgrin: :badgrin:


Ni de coña el listillo pero si muy interesado en el tema ;)

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Nork » Jue Abr 24, 2008 3:43 pm

Cuando te refieres a:

y aleeeee!!! Ya tenemos una parte... la otra la conseguimos igual, sólo que:

* Nos situamos en el sector 8 (eso es lo que decía FAT1), no hace falta que hagas lo del Goto porque es el cuadradito inmediatamente posterior al que estamos....


Realmente haces referencia al cluster 8, no? Es para no liarme

P.D: He acabado de leermelo enterito y de verdad tengo ansia de mas XD Por cierto quien se viene a buscar el tesoro? yo pongo los pasos y el mapa :p
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor ramandi » Vie Abr 25, 2008 1:53 am

Las prácticas mooolan cantidad!!
Muchas gracias Vic!! :D
ramandi
:-D
:-D
 
Mensajes: 88
Registrado: Jue Abr 20, 2006 10:00 pm

Notapor zardanic » Vie Abr 25, 2008 6:16 am

Hola a todos, saludos.
Tengo un problema, cuando abro el archivo de la imagen numero dos, es el segundo enlace que nos pone Vic_Thor, hay algo que no me cuadra, y es la imagen no me muestra los dos directorios, el de prueba 1 ni el de prueba 2, esto se supone que es en la parte derecha.

la verdad que esto me da desde que instale el EnCase, ya que al iniciarlo y agregar un dispositivo, en mi caso una usb, no me muestra los directorios "parte derecha". si alguien me puede dar una mano, si hay que activar algo o que, porfavor se lo agradeceria, esto para no perderme en las practicas.

la verdad ya estuve trasteando la opcion view de una en una, y no me da esa imagen. ok, mejor pongo una imagen. :p

Imagen

en la siguiente imagen es lo unico a lo que me he acercado pero no me aparecen los directorios como en la IMAGEN f038

Imagen

bueno si se fijan en el circulo obalado ahi no aparecen los directorios ydemas datos, si alguien me pasa alguna direccion de lo que pueda hacer de los agradeceria de antemano.

bien, mientras tanto llega fin de semana, trato de ponerme al dia con esto, pues las clases y demas me estan ahogando por el momento.
zardanic
:-D
:-D
 
Mensajes: 113
Registrado: Lun Jul 31, 2006 5:19 am

Notapor Nork » Vie Abr 25, 2008 7:54 am

zardanic en la primera fotografía estas en devices y en la seguna tendrías que darle al icono del disco de la izquierda. Te dejo un pantallazo y asegúrate que lo tengas marcado:

Imagen

Asegúrate de tener marcadas las zonas en rojo
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor z1rr0s1s » Vie Abr 25, 2008 4:32 pm

w0w0w0w :O
que pedazo de currada.
Esperaré que lo pase a pdf para encuadernarmelo y leerlo mejor :D

un saludo
z1rr0s1s
:-D
:-D
 
Mensajes: 55
Registrado: Dom Abr 06, 2008 10:44 pm

Notapor AnimAlf » Vie Abr 25, 2008 6:12 pm

Je, je, je, tardaré un poco más. Si lo quieres por partes, ahí esté el Taller Forensics (Parte I).

Uff!! Qué Fieras! :)
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor Ramms+ein » Sab Abr 26, 2008 3:50 pm

A mi me pasa lo mismo que a Zardanic.... no consigo ver las carpetas Prueba1, Prueba2 ni los ficheros en el cuadro de la derecha....he seguido tus indicaciones Nork, pero nada....
<--! Mit diessem herz hab ich die macht -->
Avatar de Usuario
Ramms+ein
:-D
:-D
 
Mensajes: 56
Registrado: Mié Abr 19, 2006 12:52 am
Ubicación: - No Mundo -

Notapor Nork » Sab Abr 26, 2008 9:06 pm

Ramms+ein escribió:A mi me pasa lo mismo que a Zardanic.... no consigo ver las carpetas Prueba1, Prueba2 ni los ficheros en el cuadro de la derecha....he seguido tus indicaciones Nork, pero nada....


Teniendo las opciones que yo puse marcadas no te sale nada de nada en la derecha?
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor zardanic » Sab Abr 26, 2008 9:14 pm

:( hombre, si que estoy fregado con esto , ya somos dos los que tenemos este clavo, la verdad que no se que podria ser.

acaso sera el hecho de que la version que usamos este emproblemada, no se digo yo, sera que no tiene todas esas funciones, aunque aclaro que es la version 4.20 .

bueno, no me gustaria estarme atrasando mas, pues aparto tiempo para esto, y que mal que no avanze por este clavito.

os agradeceria mucho.
zardanic
:-D
:-D
 
Mensajes: 113
Registrado: Lun Jul 31, 2006 5:19 am

Notapor Ramms+ein » Dom Abr 27, 2008 10:53 am

Buenas,

Sí Nork, he marcado Cases, luego he marcado la práctica y en la columna de la derecha la opción Table. Pero nada, la versión es la 4.20.

Otra cosa extraña, es que por ejemplo al ejecutar la práctica y visualizar el disco (opción disk) me aparecen todos los sectores unallocated y no es hasta que marco la práctica P03FAT16 y marco la opción Acquire (botón derecho) que no veo el Boot Record, las tablas FAT....

Esto último no sé si es normal... quizá sea la versión ¿cuál teneis vosotros?

Gracias y un saludo
<--! Mit diessem herz hab ich die macht -->
Avatar de Usuario
Ramms+ein
:-D
:-D
 
Mensajes: 56
Registrado: Mié Abr 19, 2006 12:52 am
Ubicación: - No Mundo -

Notapor Nork » Dom Abr 27, 2008 11:03 am

La misma 4.20 ( almenos yo)
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor Newhack » Dom Abr 27, 2008 7:21 pm

Ya me lo he leido. :-), Y tengo alguna pregunta.

En la comparativa de la capacidad de los sistemas fat16 y fat32, (f060.jpg), Hay casillas de la fat32
donde muestran dos resultados, uno entre parentesis.
Me gustaria saber a que corresponden las cifras entre parentesis, pues no encuentro la "formula" que
las produce.
Otra cosa sobre lo mismo. Mientras lo estaba buscando, cog- la calculadora y rehice los caculos para
los otros resultados. En fat16 clavado. Pero en fat 32 me sale "desplazado".
Supongamos el calculo para un cluster de 4KB.
Fat16: 65536 x 4096 = 256 MB. Perfecto.268435456
Fat32: como son FF FF FF FF ser- (65536 X 65536) X 4096 o mas propiamente 256e4 X 4096 = 16 Gb.
(4294967296 x 4096 = 17 592 186 044 416), mientras que en la tabla pone 8 Gb. Los 16 son para un
cluster de 8 KB. :?
La cifra de (1 TB) como dije no se exactamente como la calculan o que significa.

Lo de la reconstrucción de la imagen de piratas del Caribe me ha hecho gracia pues me ha recordado
una vez que hice algo parecido. Pero con salto mortal y doble tirabuzón. :-)
Tenía en un disquette dos o tres gráficos que me interesaban, y como suele pasar se fueron a paseo
el directorio la fat y la madre que los pario.
Tuve que empezar a buscar las cabeceras de los ficheros. A continuación revisar uno a uno los sectores
copiando cada uno que fuera susceptible de ser parte de una imagen.
Finalmente cojer las cabeceras e ir haciendo pruebas con los sectores desparejos al estilo puzzle,
a ver con cual formaba una imagen coherente.
y asi hasta el final del fichero. Y luego otro.
Fue todo un trabajito, ... pero fue interesante. Y distinto.
Mas que forensics esto ya fue archeologics. :lol:
Y frecuentando los cibercafes alguna vez me he quedado sin parte de un directorio. (Uno o varios
sectores mal escritos. Ya imaginais que toca entonces ¿no?.
Y todo lo explicado con la sola ayuda de un editor de disco, Para fat16!. :-).

Y hablando de cabeceras y firmas y eso. Asi pues los "letreros" de "jfif" o "gif89" o "bmp" u otros
que hay en las cabeceras de los ficheros, ¿no se consideran parte de la firma?, yo es lo que he
usado siempre. Incluso pensaba que eran parte de la identificación del tipo.


Santoral de san Victor: pues ya nos dirás cual es el correcto, para que te podamos felicitar en masa. :-D

________________________________________________
Y para terminar, un reporte de los gazapos encontrados.

Tiempo en mlisegundos escribió:Pues lo que nsu nombre indica, una medida "mas granular" del momento de la creación.

Esto lo veremos cunado "ataquemos" el registro de Windows,
(bajo la explicación de la fecha de último acceso).

Debajo de f036.jpg escribió:Bueno, sigamos y terminemos con el lo que estamos....

Encima de f052.jpg escribió:Vamos ha realizar una consulta de, por ejemplo, la entrada número cinco,

Debajo de f052.jpg escribió:Aparece otra pantalla y en ella buscamos en el estructura en árbol de la izquierda,

Casi al final de la entrega escribió:el asunto de particiones y MBR lo veremos mas afondo cuando nos toque NTFS,

Debajo de f078.jpg escribió:pero esto será la ase de muchas otras cosas,

Mas arriba de f079.jpg escribió:no es el caso de los jpg, mp3 y otros... estos con u poquito del principio ya se pueden ver/escuchar.


Un saludote.

Newhack.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1874
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor Newhack » Dom Abr 27, 2008 7:27 pm

Animalf escribió:Je, je, je, tardaré un poco más. Si lo quieres por partes, ahí esté el Taller Forensics (Parte I).
Vaya, ¿que has hecho una "edición paralela" o como va eso?. Vic_thor dijo que la
edición en pdf aún tardaría.

Animalf escribió:Uff!! Qué Fieras! :)
Estoy igual. El texto ya me lo he leido, pero durante esta semana aún me queda
hacer todas las prácticas.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1874
Registrado: Jue Dic 20, 2007 7:36 pm

AnteriorSiguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron