Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Dom Abr 27, 2008 11:38 pm

Hola

Un interesante documento complementario al tema tratado por Vic_Thor en esta primera parte de su taller:

http://www.digital-evidence.org/fsfa/

Saludos

Lun Abr 28, 2008 7:48 pm

Luego respondo a las dudas que se han planteado... y corregir errores :evil: (gracias)

Mientras tanto, ya doy por finalizada esta primera parte, se han añadido tres nuevos post de prácticas:

Nombres Largos y FAT32

http://www.wadalbertia.org/phpBB2/viewt ... 8407#48407

Recuperación de Datos Borrados y áreas Slack

http://www.wadalbertia.org/phpBB2/viewt ... 8408#48408

Particiones. Tabla de particiones y MBR

http://www.wadalbertia.org/phpBB2/viewt ... 8409#48409

Lun Abr 28, 2008 8:29 pm

zardanic

Tu problema es que usas una versiín demo, fíjate que en "tu Encase" pone Acquistion Edition y en la "mia" y la de los "demás" pone Enterprise Edition, vamos que reclama al distribuidor :D

Ramms+ein

Idem de lo anterior.

Newhack

Los resultados entre paréntesis de las tablas comparativas, son el límite máximo figurado del tamaño del disco según el sistema de archivos elegido.

Los valores gif, bmp, etc.. se pueden considerar parte del signature File de esos archivos, cierto... pero lo que realmente lo identifica son las cadenas de inicio, lo otro normalmente existe, informan de muchas cosas, versión, compresión, profundidad del color, etc... si visitas la web que puse como enlace lo verás.

Lo de los errores y faltas de ortografía... pues en proceso.

En cuanto al Santoral, podéis elegir... joder!!!! tengo una amiga que me da la lata con eso de que tal dia es su Santo y que vaya preparando el regalo... yo le dije que está bien, pero que igualmente quiero "los mios" en mis dias... dijo que valeeee, y cuando le mandé el santoral.... uffff!!!! que ruina, jajajaja....

Lun Abr 28, 2008 10:15 pm

:D Gracias y disculpas las molestias, en realidad que tonto me he portao, que debe ser que como por lo general leo mas de noche por eso se me va la onda.

pero muchisimas gracias Vic_Thor, ahora mismo me pongo. 8)

Mar Abr 29, 2008 6:32 pm

Vic_thor escribió:En cuanto al Santoral, podéis elegir... joder!!!! tengo una amiga que me da la lata con eso de que tal dia es su Santo y que vaya preparando el regalo... yo le dije que está bien, pero que igualmente quiero "los mios" en mis dias... dijo que valeeee, y cuando le mandé el santoral.... uffff!!!! que ruina, jajajaja....
:lol: :lol: Abuson!.

Los resultados entre paréntesis de las tablas comparativas, son el límite máximo figurado del tamaño del disco según el sistema de archivos elegido.
¿Y lo de la "discrepancia" que me salía en la otra cifra?

Asi que pueda miraré con mas calma la página de las firmas de archivo.

Gracias.

Mar Abr 29, 2008 8:46 pm

No se porque, descargo el fichero de practicas y cuando lo abro no me sale nada, ninguna carpeta, ningún archivo, esta vacío!
A alguien mas le ha pasado? He probado de todo... :(
Tengo Encase 6.1.

Imagen

Salu2!

Mié Abr 30, 2008 12:35 am

Vic_Thor, lo podrás pasar a .pdf tipo Taller TCP/IP? :D
Tengo ganas de ir ya a la libreria a encuadernarlo y leerlo a fondo.
Sin palabras, eres el amo!

Saludos. ;)

Mié Abr 30, 2008 12:53 am

SlaYer, creo que tienes en mismo problema que nos paso, y es que es la version, en realidad, habiamos conseguido EnCase Adquisicion, y era EnCase Enterprise Edition, seguro que deshabilita algunas opciones y no te muestra nada de las propiedades con las que estan las copias que Vic_Thor.

prueba con la edicion enterprise seguro que esa sea. OK espero te sirva.

Mié Abr 30, 2008 7:26 pm

Tal vez sea eso... probare una entreprise a ver que tal.

Gracias! :D

Jue May 01, 2008 4:21 pm

Ahi van mis resultados para la practica 5:

Código:

00 01 01 00 06 FE 3F 19 3F 00 00 00 5B 5F 06 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 1, Cabeza: 1, Sector: 0
3. Tipo de particion -------------------------> FAT16
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 25
5. Sector de inicio de la particion ----------> (En little endian) 63
6. Tamaño de particion en sectores -----------> (En little endian) 417627

00 00 01 1A 0B FE 3F 2D 9A 3F 06 00 14 E7 04 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 26
3. Tipo de particion -------------------------> FAT32
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 45
5. Sector de inicio de la particion ----------> (En little endian) 63
6. Tamaño de particion en sectores -----------> (En little endian) 417627

00 00 01 2E 05 FE 3F 3A AE 46 0B 00 CD 2F 03 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6

1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 46
3. Tipo de particion -------------------------> EXTENDIDA
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 58
5. Sector de inicio de la particion ----------> (En little endian) 738990
6. Tamaño de particion en sectores -----------> (En little endian) 208845

00 00 01 3B 07 FE 3F 45 7B 76 0E 00 4B B2 02 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 59
3. Tipo de particion -------------------------> NTFS
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 69
5. Sector de inicio de la particion ----------> (En little endian) 947835
6. Tamaño de particion en sectores -----------> (En little endian) 176715

55 AA ----------------------------------------> Final del MBR del Sector 0

00 01 01 2E 06 FE 3F 34 3F 00 00 00 08 B7 01 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 1, Cabeza: 1, Sector: 46
3. Tipo de particion -------------------------> FAT16
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 52
5. Sector de inicio de la particion ----------> (En little endian) 63
6. Tamaño de particion en sectores -----------> (En little endian) 112392

00 00 01 35 05 FE 3F 3A 47 B7 01 00 86 78 01 00
-- -------- -- -------- ----------- -----------
 1        2  3        4           5           6
 
1. Indicador de arranque ---------------------> 0
2. CHS de inicio de particion ----------------> Cilindro: 0, Cabeza: 1, Sector: 53
3. Tipo de particion -------------------------> EXTENDIDA??
4. CHS de final de particion -----------------> Cilindro: 254, Cabeza: 63, Sector: 58
5. Sector de inicio de la particion ----------> (En little endian) 112455
6. Tamaño de particion en sectores -----------> (En little endian)  96390

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ??

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ??

55 AA ----------------------------------------> Final del MBR del Sector 738990



Y ahora unas cuantas preguntas:

¿Por que en el grafico presentado al comienzo de la practica la particion NTFS aparece al final, justo antes del espacio no asignado pero despues de la particion extendida, y en los resultados aparece justo antes de la particion extendida?

¿Por que el tipo de la particion que analizo en ultimo lugar aparece como "EXTENDIDA" y en el grafico dice que es FAT32?

¿Que significan esos 2 bloques de 16 bytes cada uno con todos sus componentes a 0 y que aparecen justo antes de la marca de final del MBR y despues de la particion implicada en la pregunta anterior?

Saludos y gracias por la atencion

Jue May 01, 2008 9:21 pm

Hola,

me alegra que hayas posteado tus resultados, yo no sabía si levantar la liebre :oops:

Un par de apuntes sobre tus resultados, a ver si estás de acuerdo...

Creo que el copia-pega te ha colado en la segunda partición datos de la primera. Concretamente, yo saco los siguientes datos:

Sector inicio particion: 9A 5F 06 00 (417690)
Tamaño particion (sectores): 14 E7 04 00 (321300)

Por otra parte, comentar que el dato del sector de inicio de la partición es relativo al mbr que lo indica (en este caso en el sector 738990), por lo que los sectores de inicio de las dos últimas que indicas quedarían así:

Código:
relativo - absoluto
---------------------
    63     739053
112455     851445


La última partición que indicas es extendida, por lo que habría que volver a buscar un mbr en el sector indicado, igual que como hemos hecho antes. A mí me sale otra partición tal que así:

Código:
Bytes 446-509 del sector 851445:
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


1ª partición (en 2ª recursion de extendidas)
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
 
Indicador de arranque: 00
CHS Inicio particion: 01 01 35
   Cilindro: 1
   Cabeza: 1
   Sector: 53
Tipo de particion: 0B
   0b WIN95 OSR2 FAT32 - Partitions up to 2047GB.
CHS Final particion: FE 3F 3A
   Cilindro: 254
   Cabeza: 63
   Sector: 58
Sector inicio particion: 3F 00 00 00 (63) --> 851508
Tamaño particion (sectores): 47 78 01 00 (96327)


Respecto al orden de las particiones, una cosa es el orden en que te salen al ir decodificando los mbr y otra el orden que ocupan físicamente en el disco. Si miras los sectores de inicio de todas las particiones, el orden coincide con el del gráfico.

Yo creo que los bloques de ceros simplemente indican que esas posibles particiones no están definidas ¿no?

Por cierto, el enlace que pusiste tiene muy buena pinta, aunque me temo que va a tener que esperarse, porque es muy largo :?

Saludos!!

Jue May 01, 2008 11:18 pm

Hola

ramandi escribió:me alegra que hayas posteado tus resultados, yo no sabía si levantar la liebre :oops:


Es que asi aprendemos todos ;)

ramandi escribió:Un par de apuntes sobre tus resultados, a ver si estás de acuerdo...


ok

ramandi escribió:Creo que el copia-pega te ha colado en la segunda partición datos de la primera. Concretamente, yo saco los siguientes datos:

Sector inicio particion: 9A 5F 06 00 (417690)
Tamaño particion (sectores): 14 E7 04 00 (321300)


Exacto, despues de revisarlo me salen los mismos resultados que indicas.

ramandi escribió:Por otra parte, comentar que el dato del sector de inicio de la partición es relativo al mbr que lo indica (en este caso en el sector 738990), por lo que los sectores de inicio de las dos últimas que indicas quedarían así:

Código:
relativo - absoluto
---------------------
    63     739053
112455     851445



:oops: Gracias por la aclaracion

ramandi escribió:La última partición que indicas es extendida, por lo que habría que volver a buscar un mbr en el sector indicado, igual que como hemos hecho antes. A mí me sale otra partición tal que así:

Código:
Bytes 446-509 del sector 851445:
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


1ª partición (en 2ª recursion de extendidas)
00 01 01 35 0B FE 3F 3A 3F 00 00 00 47 78 01 00
 
Indicador de arranque: 00
CHS Inicio particion: 01 01 35
   Cilindro: 1
   Cabeza: 1
   Sector: 53
Tipo de particion: 0B
   0b WIN95 OSR2 FAT32 - Partitions up to 2047GB.
CHS Final particion: FE 3F 3A
   Cilindro: 254
   Cabeza: 63
   Sector: 58
Sector inicio particion: 3F 00 00 00 (63) --> 851508
Tamaño particion (sectores): 47 78 01 00 (96327)



De nuevo darte las gracias por la aclaracion. Acabo de calcularlos y me salen los mismos que a ti.

ramandi escribió:Respecto al orden de las particiones, una cosa es el orden en que te salen al ir decodificando los mbr y otra el orden que ocupan físicamente en el disco. Si miras los sectores de inicio de todas las particiones, el orden coincide con el del gráfico.


ok

ramandi escribió:Yo creo que los bloques de ceros simplemente indican que esas posibles particiones no están definidas ¿no?


Ahi seguro nos ayudara Vic_Thor, aunque lo que dices tiene bastante sentido.

ramandi escribió:Por cierto, el enlace que pusiste tiene muy buena pinta, aunque me temo que va a tener que esperarse, porque es muy largo :?


Yo llevo unos dias leyendolo como complemento al taller y esta muy bien. Cuando saques tiempo intenta echarle un ojo.

Saludos

Sab May 03, 2008 5:00 am

Ahora me surgen a mí dudas parecidas...

¿Las particiones deben estar definidas en orden según su disposición física en el disco?

¿Las particiones extendidas simplemente nos permiten aumentar el número de particiones que podemos definir, independientemente de su disposición, o deben contener las particiones que se definen dentro de ellas? Obviamente en el ejemplo se daba el segundo caso, y parece un funcionamiento lógico, pero ¿debe ser así?

Dicho de otro modo, ¿puedo ocupar el espacio sin asignar al final del disco definiendo otra partición en los mbr de los sectores 738990 ó 851445, o debería rehacer toda la distribución de particiones?

Mar May 13, 2008 6:36 pm

Pues al respecto del Encase, la cosa va mas o menos bien. Solo hay una cosa que me pone negro, y es que
cada cierto tiempo de operar con el, me sale el cartelito de "este programa ha realizado una operación
inválida y se cerrará".
Y no te quedan mas narices que dejar que se cierre, porque el programa ya se ha "detenido".
Tienes que cerrar, volverlo a abrir, y volver a ponerlo todo tal como lo tenías antes de la interrupción,
porque el no se acuerda de nada. :x . Y asi cada x minutos.
Tampoco puedes ir guardando cada cierto tiempo, ya que el salir del programa o intentar guardar algo
del trabajo parece que aumenta con mucho la posibilidad de que te aparezca el fallo y no consigas nada.

Tengo las dos descripciones de windows para este problema:

Código:
 Unhandled exception en encase.exe (unicows.dll)
0x0000005 Access violation.

Código:
 Encase provocó un error de página no válida en el módulo unicows.dll de 0167:7f2d414a


¿Alguien tiene este problema?, o lo ha tenido y sabe como solucionarlo. ¿Me podeis aconsejar?.

Ah, se me olvidaba. El programa está corriendo en un Windows 98. (2ª ed. 4.10.2222 A)

Mar May 13, 2008 6:52 pm

Mi respuesta no creo que te ayude con nada,pero no es de extrañar que el programa no te funcione correctamente yo lo probe en un XP y sin problemas,con Windows 98 es bastante normal teniendo en cuenta de que el EnCase esta hecho para sistemas un poco mas modernos.

Saludos
Publicar una respuesta