Dudas, aclaraciones y comentarios de Taller Forensics (I)

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Notapor neofito » Dom Abr 27, 2008 11:38 pm

Hola

Un interesante documento complementario al tema tratado por Vic_Thor en esta primera parte de su taller:

http://www.digital-evidence.org/fsfa/

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Vic_Thor » Lun Abr 28, 2008 7:48 pm

Luego respondo a las dudas que se han planteado... y corregir errores :evil: (gracias)

Mientras tanto, ya doy por finalizada esta primera parte, se han añadido tres nuevos post de prácticas:

Nombres Largos y FAT32

http://www.wadalbertia.org/phpBB2/viewt ... 8407#48407

Recuperación de Datos Borrados y áreas Slack

http://www.wadalbertia.org/phpBB2/viewt ... 8408#48408

Particiones. Tabla de particiones y MBR

http://www.wadalbertia.org/phpBB2/viewt ... 8409#48409
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor Vic_Thor » Lun Abr 28, 2008 8:29 pm

zardanic

Tu problema es que usas una versiín demo, fíjate que en "tu Encase" pone Acquistion Edition y en la "mia" y la de los "demás" pone Enterprise Edition, vamos que reclama al distribuidor :D

Ramms+ein

Idem de lo anterior.

Newhack

Los resultados entre paréntesis de las tablas comparativas, son el límite máximo figurado del tamaño del disco según el sistema de archivos elegido.

Los valores gif, bmp, etc.. se pueden considerar parte del signature File de esos archivos, cierto... pero lo que realmente lo identifica son las cadenas de inicio, lo otro normalmente existe, informan de muchas cosas, versión, compresión, profundidad del color, etc... si visitas la web que puse como enlace lo verás.

Lo de los errores y faltas de ortografía... pues en proceso.

En cuanto al Santoral, podéis elegir... joder!!!! tengo una amiga que me da la lata con eso de que tal dia es su Santo y que vaya preparando el regalo... yo le dije que está bien, pero que igualmente quiero "los mios" en mis dias... dijo que valeeee, y cuando le mandé el santoral.... uffff!!!! que ruina, jajajaja....
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor zardanic » Lun Abr 28, 2008 10:15 pm

:D Gracias y disculpas las molestias, en realidad que tonto me he portao, que debe ser que como por lo general leo mas de noche por eso se me va la onda.

pero muchisimas gracias Vic_Thor, ahora mismo me pongo. 8)
zardanic
:-D
:-D
 
Mensajes: 113
Registrado: Lun Jul 31, 2006 5:19 am

Notapor Newhack » Mar Abr 29, 2008 6:32 pm

Vic_thor escribió:En cuanto al Santoral, podéis elegir... joder!!!! tengo una amiga que me da la lata con eso de que tal dia es su Santo y que vaya preparando el regalo... yo le dije que está bien, pero que igualmente quiero "los mios" en mis dias... dijo que valeeee, y cuando le mandé el santoral.... uffff!!!! que ruina, jajajaja....
:lol: :lol: Abuson!.

Los resultados entre paréntesis de las tablas comparativas, son el límite máximo figurado del tamaño del disco según el sistema de archivos elegido.
¿Y lo de la "discrepancia" que me salía en la otra cifra?

Asi que pueda miraré con mas calma la página de las firmas de archivo.

Gracias.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1880
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor SLaYeR » Mar Abr 29, 2008 8:46 pm

No se porque, descargo el fichero de practicas y cuando lo abro no me sale nada, ninguna carpeta, ningún archivo, esta vacío!
A alguien mas le ha pasado? He probado de todo... :(
Tengo Encase 6.1.

Imagen

Salu2!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor z1rr0s1s » Mié Abr 30, 2008 12:35 am

Vic_Thor, lo podrás pasar a .pdf tipo Taller TCP/IP? :D
Tengo ganas de ir ya a la libreria a encuadernarlo y leerlo a fondo.
Sin palabras, eres el amo!

Saludos. ;)
z1rr0s1s
:-D
:-D
 
Mensajes: 55
Registrado: Dom Abr 06, 2008 10:44 pm

Notapor zardanic » Mié Abr 30, 2008 12:53 am

SlaYer, creo que tienes en mismo problema que nos paso, y es que es la version, en realidad, habiamos conseguido EnCase Adquisicion, y era EnCase Enterprise Edition, seguro que deshabilita algunas opciones y no te muestra nada de las propiedades con las que estan las copias que Vic_Thor.

prueba con la edicion enterprise seguro que esa sea. OK espero te sirva.
zardanic
:-D
:-D
 
Mensajes: 113
Registrado: Lun Jul 31, 2006 5:19 am

Notapor SLaYeR » Mié Abr 30, 2008 7:26 pm

Tal vez sea eso... probare una entreprise a ver que tal.

Gracias! :D
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor neofito » Jue May 01, 2008 4:21 pm

Ahi van mis resultados para la practica 5:

Código: Seleccionar todo

00 01 01 00 06 FE 3F 19 3F 00 00 00 5B 5F 06 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 1, Cabeza: 1, Sector: 0
3. Tipo de particion -------------------------> FAT16
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 25
5. Sector de inicio de la particion ----------> (En little endian) 63
6. Tamaño de particion en sectores -----------> (En little endian) 417627

00 00 01 1A 0B FE 3F 2D 9A 3F 06 00 14 E7 04 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 26
3. Tipo de particion -------------------------> FAT32
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 45
5. Sector de inicio de la particion ----------> (En little endian) 63
6. Tamaño de particion en sectores -----------> (En little endian) 417627

00 00 01 2E 05 FE 3F 3A AE 46 0B 00 CD 2F 03 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6

1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 46
3. Tipo de particion -------------------------> EXTENDIDA
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 58
5. Sector de inicio de la particion ----------> (En little endian) 738990
6. Tamaño de particion en sectores -----------> (En little endian) 208845

00 00 01 3B 07 FE 3F 45 7B 76 0E 00 4B B2 02 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 59
3. Tipo de particion -------------------------> NTFS
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 69
5. Sector de inicio de la particion ----------> (En little endian) 947835
6. Tamaño de particion en sectores -----------> (En little endian) 176715

55 AA ----------------------------------------> Final del MBR del Sector 0

00 01 01 2E 06 FE 3F 34 3F 00 00 00 08 B7 01 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 1, Cabeza: 1, Sector: 46
3. Tipo de particion -------------------------> FAT16
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 52
5. Sector de inicio de la particion ----------> (En little endian) 63
6. Tamaño de particion en sectores -----------> (En little endian) 112392

00 00 01 35 05 FE 3F 3A 47 B7 01 00 86 78 01 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 53
3. Tipo de particion -------------------------> EXTENDIDA??
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 58
5. Sector de inicio de la particion ----------> (En little endian) 112455
6. Tamaño de particion en sectores -----------> (En little endian)  96390

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ??

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ??

55 AA ----------------------------------------> Final del MBR del Sector 738990



Y ahora unas cuantas preguntas:

¿Por que en el grafico presentado al comienzo de la practica la particion NTFS aparece al final, justo antes del espacio no asignado pero despues de la particion extendida, y en los resultados aparece justo antes de la particion extendida?

¿Por que el tipo de la particion que analizo en ultimo lugar aparece como "EXTENDIDA" y en el grafico dice que es FAT32?

¿Que significan esos 2 bloques de 16 bytes cada uno con todos sus componentes a 0 y que aparecen justo antes de la marca de final del MBR y despues de la particion implicada en la pregunta anterior?

Saludos y gracias por la atencion
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor ramandi » Jue May 01, 2008 9:21 pm

Hola,

me alegra que hayas posteado tus resultados, yo no sabía si levantar la liebre :oops:

Un par de apuntes sobre tus resultados, a ver si estás de acuerdo...

Creo que el copia-pega te ha colado en la segunda partición datos de la primera. Concretamente, yo saco los siguientes datos:

Sector inicio particion: 9A 5F 06 00 (417690)
Tamaño particion (sectores): 14 E7 04 00 (321300)

Por otra parte, comentar que el dato del sector de inicio de la partición es relativo al mbr que lo indica (en este caso en el sector 738990), por lo que los sectores de inicio de las dos últimas que indicas quedarían así:

Código: Seleccionar todo
relativo - absoluto
---------------------
    63     739053
112455     851445


La última partición que indicas es extendida, por lo que habría que volver a buscar un mbr en el sector indicado, igual que como hemos hecho antes. A mí me sale otra partición tal que así:

Código: Seleccionar todo
Bytes 446-509 del sector 851445:
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


1ª partición (en 2ª recursion de extendidas)
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
 
Indicador de arranque: 00
CHS Inicio particion: 01 01 35
   Cilindro: 1
   Cabeza: 1
   Sector: 53
Tipo de particion: 0B
   0b WIN95 OSR2 FAT32 - Partitions up to 2047GB.
CHS Final particion: FE 3F 3A
   Cilindro: 254
   Cabeza: 63
   Sector: 58
Sector inicio particion: 3F 00 00 00 (63) --> 851508
Tamaño particion (sectores): 47 78 01 00 (96327)


Respecto al orden de las particiones, una cosa es el orden en que te salen al ir decodificando los mbr y otra el orden que ocupan físicamente en el disco. Si miras los sectores de inicio de todas las particiones, el orden coincide con el del gráfico.

Yo creo que los bloques de ceros simplemente indican que esas posibles particiones no están definidas ¿no?

Por cierto, el enlace que pusiste tiene muy buena pinta, aunque me temo que va a tener que esperarse, porque es muy largo :?

Saludos!!
ramandi
:-D
:-D
 
Mensajes: 88
Registrado: Jue Abr 20, 2006 10:00 pm

Notapor neofito » Jue May 01, 2008 11:18 pm

Hola

ramandi escribió:me alegra que hayas posteado tus resultados, yo no sabía si levantar la liebre :oops:


Es que asi aprendemos todos ;)

ramandi escribió:Un par de apuntes sobre tus resultados, a ver si estás de acuerdo...


ok

ramandi escribió:Creo que el copia-pega te ha colado en la segunda partición datos de la primera. Concretamente, yo saco los siguientes datos:

Sector inicio particion: 9A 5F 06 00 (417690)
Tamaño particion (sectores): 14 E7 04 00 (321300)


Exacto, despues de revisarlo me salen los mismos resultados que indicas.

ramandi escribió:Por otra parte, comentar que el dato del sector de inicio de la partición es relativo al mbr que lo indica (en este caso en el sector 738990), por lo que los sectores de inicio de las dos últimas que indicas quedarían así:

Código: Seleccionar todo
relativo - absoluto
---------------------
    63     739053
112455     851445



:oops: Gracias por la aclaracion

ramandi escribió:La última partición que indicas es extendida, por lo que habría que volver a buscar un mbr en el sector indicado, igual que como hemos hecho antes. A mí me sale otra partición tal que así:

Código: Seleccionar todo
Bytes 446-509 del sector 851445:
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


1ª partición (en 2ª recursion de extendidas)
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
 
Indicador de arranque: 00
CHS Inicio particion: 01 01 35
   Cilindro: 1
   Cabeza: 1
   Sector: 53
Tipo de particion: 0B
   0b WIN95 OSR2 FAT32 - Partitions up to 2047GB.
CHS Final particion: FE 3F 3A
   Cilindro: 254
   Cabeza: 63
   Sector: 58
Sector inicio particion: 3F 00 00 00 (63) --> 851508
Tamaño particion (sectores): 47 78 01 00 (96327)



De nuevo darte las gracias por la aclaracion. Acabo de calcularlos y me salen los mismos que a ti.

ramandi escribió:Respecto al orden de las particiones, una cosa es el orden en que te salen al ir decodificando los mbr y otra el orden que ocupan físicamente en el disco. Si miras los sectores de inicio de todas las particiones, el orden coincide con el del gráfico.


ok

ramandi escribió:Yo creo que los bloques de ceros simplemente indican que esas posibles particiones no están definidas ¿no?


Ahi seguro nos ayudara Vic_Thor, aunque lo que dices tiene bastante sentido.

ramandi escribió:Por cierto, el enlace que pusiste tiene muy buena pinta, aunque me temo que va a tener que esperarse, porque es muy largo :?


Yo llevo unos dias leyendolo como complemento al taller y esta muy bien. Cuando saques tiempo intenta echarle un ojo.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor ramandi » Sab May 03, 2008 5:00 am

Ahora me surgen a mí dudas parecidas...

¿Las particiones deben estar definidas en orden según su disposición física en el disco?

¿Las particiones extendidas simplemente nos permiten aumentar el número de particiones que podemos definir, independientemente de su disposición, o deben contener las particiones que se definen dentro de ellas? Obviamente en el ejemplo se daba el segundo caso, y parece un funcionamiento lógico, pero ¿debe ser así?

Dicho de otro modo, ¿puedo ocupar el espacio sin asignar al final del disco definiendo otra partición en los mbr de los sectores 738990 ó 851445, o debería rehacer toda la distribución de particiones?
ramandi
:-D
:-D
 
Mensajes: 88
Registrado: Jue Abr 20, 2006 10:00 pm

Notapor Newhack » Mar May 13, 2008 6:36 pm

Pues al respecto del Encase, la cosa va mas o menos bien. Solo hay una cosa que me pone negro, y es que
cada cierto tiempo de operar con el, me sale el cartelito de "este programa ha realizado una operación
inválida y se cerrará".
Y no te quedan mas narices que dejar que se cierre, porque el programa ya se ha "detenido".
Tienes que cerrar, volverlo a abrir, y volver a ponerlo todo tal como lo tenías antes de la interrupción,
porque el no se acuerda de nada. :x . Y asi cada x minutos.
Tampoco puedes ir guardando cada cierto tiempo, ya que el salir del programa o intentar guardar algo
del trabajo parece que aumenta con mucho la posibilidad de que te aparezca el fallo y no consigas nada.

Tengo las dos descripciones de windows para este problema:

Código: Seleccionar todo
 Unhandled exception en encase.exe (unicows.dll)
0x0000005 Access violation.

Código: Seleccionar todo
 Encase provocó un error de página no válida en el módulo unicows.dll de 0167:7f2d414a


¿Alguien tiene este problema?, o lo ha tenido y sabe como solucionarlo. ¿Me podeis aconsejar?.

Ah, se me olvidaba. El programa está corriendo en un Windows 98. (2ª ed. 4.10.2222 A)
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1880
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor Arakiss » Mar May 13, 2008 6:52 pm

Mi respuesta no creo que te ayude con nada,pero no es de extrañar que el programa no te funcione correctamente yo lo probe en un XP y sin problemas,con Windows 98 es bastante normal teniendo en cuenta de que el EnCase esta hecho para sistemas un poco mas modernos.

Saludos
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

AnteriorSiguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron