Extracción de metadata con metagoofil

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Extracción de metadata con metagoofil

Notapor Bebbop » Mié Abr 23, 2008 1:32 pm

Antes de nada, por si no lo sabéis, pondré unos enlaces para saber que son los metadata o metadatos.
http://es.wikipedia.org/wiki/Metadato
http://biblioteca.udea.edu.co/~hlopera/metadata.html

Nosotros nos centraremos en los metadatos de los ficheros de office y pdf, esto quiere decir, que extraeremos información sobre el autor del fichero, modificaciones efectuadas, fechas, etc.

¿Para que nos puede servir? Pues a partir de estos datos podemos localizar nombres de usuario, nombres de PC o directorios de instalación.

Para la búsqueda de ficheros y extracción de los metadatos utilizaremos metegoofil.

Podemos descargarla y obtener información en estas páginas:
http://www.s21sec.com/metagoofil/metagoofil.html
http://www.edge-security.com/metagoofil.php

Haciendo un breve resumen de funcionamiento de esta herramienta lo que realiza es una búsqueda en google de los ficheros pdf,doc,xls,ppt,odp,ods del dominio indicado, los descarga a nuestro pc y extrae la información útil para presentarla en un fichero html.

El script esta desarrollado en python asi que los que tengáis Linux simplemente tendréis que descargar e instalar el paquete extract para hacerlo funcionar (apt-get install extract).

Los que tenemos Windows el tema se nos complica, necesitaremos los siguiente:
- Python 2.5.2 para Windows http://www.python.org/ftp/python/2.5.2/python-2.5.2.msi
- El script metagoofil, en los enlaces anteriores se indica cómo se descarga
- GNU libextractor para Windows http://gnunet.org/libextractor/download ... 0.5.18.zip
- Librerías iconv.dll y intl.dll esto lo podemos localizar en http://www.dll-files.com/ y las copiamos a c:\windows\system
- Una vez todo instalado debemos modificar el script metagoofil.py y modificar la línea 25 para quitar el # y colocar la ruta del libextractor en mi caso: extcommand='c:\extractor\\bin\extract.exe -l libextractor_ole2' (he copiado el fichero libextractor_ole2 situado en C:\extractor\lib\libextractor en el mismo directorio donde está el ejecutable) y por ultimo modificar la línea 27 para añadir un # y comentarla.

Ya lo tenemos todo instalado y configurado llega la prueba de fuego.

Intentaremos bajar documentos de la aeat que seguro que tienen muchos.
python.exe c:\metagoofil\metagoofil.py -d aeat.es -f all -l 20 -o aeat.html -t aeat

Lo que acabo de indicarle es:
- d aeat.es : El dominio de donde quiero sacar los documentos
- f all : Todo tipo de documentos antes comentados, si solo queremos los Excel indicaríamos xls
-l 20 : Un máximo de 20 documentos por extensión, a no ser que queramos un mirror de la aeat, jejejeje
-o aeat.html : La salida de la información la genera en el fichero aeat.html
-t aeat : Esto crea un directorio con el nombre aeat donde descargara los documentos.

Esto lanzara un proceso, que no tarda mucho, y nos genera un fichero html. Si consultamos el fichero html veremos la información de los metadatos
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Notapor NeTTinG » Mié Abr 23, 2008 1:45 pm

Hola:

Muchas gracias por la información, Bebbop.

Me queda pendiente de probarlo ;)
Última edición por NeTTinG el Jue Abr 24, 2008 1:12 am, editado 1 vez en total
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Yorkshire » Mié Abr 23, 2008 4:22 pm

Probado y comprobado.

En los doc, xls y ppt, mucha info, sí señor. :badgrin: :badgrin: :badgrin:

Gracias!
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor Bebbop » Mié Abr 23, 2008 5:21 pm

Tened en cuenta que el script no busca en el servidor web los documentos con la extension que le indicamos. Simplemente obtiene la indexacion de google.

Es como si buscaramos:
site:aeat.es filetype:xls
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Notapor Vic_Thor » Mié Abr 23, 2008 7:10 pm

Yorkshire escribió:Probado y comprobado.

En los doc, xls y ppt, mucha info, sí señor. :badgrin: :badgrin: :badgrin:

Gracias!


Pues espérate a que llegue el logging de Windows del Taller Forense... vas a flipar con la cantidad de información que arrojan los metadatos y demás... hasta hay información que se le oculta al administrador :D

Muy bueno Bebbop ;)
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor SLaYeR » Mié Abr 23, 2008 10:19 pm

Probado, pero no he obtenido mucha info, quizás algo mas en algunos PDF y en algunos doc, pero no mucha info.
El caso es que es bastante útil y abre un nuevo vector de ataque... ;)
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor Yorkshire » Jue Abr 24, 2008 8:00 am

Bebbop, lo de google lo sabía. Me miré el script antes. Además, tuve que cambiar la ruta al extract.

Vic, estoy deseando verlo, ;-)

Salu2
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor NeTTinG » Jue Abr 24, 2008 3:40 pm

Y yo... y yo... :badgrin: :badgrin:
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron