Dudas, Aclaraciones y Comentarios. Taller Forensic II (NTFS)

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Notapor Arakiss » Jue Jun 26, 2008 7:59 pm

Creo que se referia al articulo "entero" tal como tu dices NTFS/FAT.

Un saludo
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Nork » Sab Jun 28, 2008 4:38 pm

Por fin me lo he acabado de leer, es buenísimo! Pero me he quedado un poco sorprendido... dices que cuando borramos un archivo lo único que hacemos es borrar la entrada de la MFT es decir, cambiar el atributo a "00 00" o "02 00". Pero entonces llegaría un momento que el SO marcaría mucho mas espacio del que realmente tiene la unidad, no? :?

También siento curiosidad en como actúa la papelera de reciclaje... tengo una intuición que lo que hace es agrupar las direcciones con los atributos 00 00 o 02 00 y al querer recuperar los archivos les vuelve a cambiar el valor... pero si borramos los archivos de la papelera, ¿que cambio hay en la tabla MFT?

Bueno me lo voy a leer otra vez por si las moscas, lo dicho, muchas gracias por el post! ;)
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor Vic_Thor » Sab Jun 28, 2008 8:46 pm

Nork escribió:... dices que cuando borramos un archivo lo único que hacemos es borrar la entrada de la MFT es decir, cambiar el atributo a "00 00" o "02 00". ...


ejemmm, vale... cuando dije (y es cierto) que se cambia el valor de la entrada en la MFT a 00 00 es correcto, en lo que si tienes razón es que no es eso "únicamente", la verdad es que tenía que haber dicho: "nada mas.. por el momento" :p

Realmente intervienen muchos mas cambios, no lo comento en el post puesto que hay una "práctica" exlusiva del borrado, pero te adelanto algunas de las acciones que se realizan:

1.- Se accede a $boot (que en definitiva es el primer sector (el cero) para determinar el tamaño del cluster, la posición de la MFT, y el tamaño de cada entrada.

2.- Se accede a la MFT y se localiza el atributo $DATA de ella misma

3.- Se busca en el directorio raíz mediante los atributos $INDEX_ROOT y $INDEX_ALLOCATION y se localiza el archivo/directorio a eliminar (también se cambiará la fecha de último acceso que será la del momento en que se elimina el archivo)

4.- Se actualiza la MFT con los valores comentados (00 00), las fechas de creación, de modificación, escritura y acceso.

5.- Se actualiza el atributo $BITMAP que corresponde al archivo y se pone a cero.

6.- Se procesan los atributos no residentes del archivo (si lo hay)

7.- También mediante $BITMAP se localizan los clusteres del contenido del archivo y se marcan como no asignados.

8.- Por cada uno de los pasos anteriores se ha ido registrando todas las acciones y cambios mediante una característica de la que no hemos hablado... "File System Journal" dentro del atributo $LOGFILE de la MFT

Como ves son "muchas cosas" y por ello una práctica "dedicada" cuando llegue el momento.

Nork escribió: Pero entonces llegaría un momento que el SO marcaría mucho mas espacio del que realmente tiene la unidad, no? :?


Hay que acalrar que si una entrada en la MFT está "disponible" (un fichero borrado) puede usarse cuando creamos un nuevo archivo, realmente es curioso puesto que en NTFS podemos recuperar archivos eliminados hace muuucho tiempo (incluso años) y puede resultar mas difícil recuperar uno eliminado antes de ayer... todo dependerá del uso del disco.

Nork escribió: También siento curiosidad en como actúa la papelera de reciclaje... tengo una intuición que lo que hace es agrupar las direcciones con los atributos 00 00 o 02 00 y al querer recuperar los archivos les vuelve a cambiar el valor... pero si borramos los archivos de la papelera, ¿que cambio hay en la tabla MFT?
.....


Cierto, también hay que aprender como actua la papelera de reciclaje, de momento piensa sólo que un archivo en la papelera todavía no ha sido eliminado y esa entrada no se puede utilizar en la MFT y sus clusters no están desasignados todavía..
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor Nork » Sab Jun 28, 2008 10:13 pm

Vale, ahora lo tengo mas claro, pero sigo teniendo una dudilla que no he llegado a deducirla de tu post. Pongo un ejemplo:

Tengo una unidad de 1GB y tengo ocupados 500 MB en el cual hay un archivo que pesa 100MB. Borramos éste archivo por lo que sucede todo lo comentado en tu post anteriormente. Pero el contenido del archivo sigue en el disco ( de aquí que luego con estas técnicas podamos extraerlos) bien, pues ahora el SO marcaría libres 400MB ya que el archivo a dejado de existir para la MFT y no lo "valora" pero como todos aquí sabemos ese archivo sigue estando ahí por lo que ocupara un espacio. En conclusión el SO nos dice que hay libres 600 MB habiendo realmente sólo 500MB...

Lo que estoy pensando ahora es que los clusters que estén ocupados por archivos que no estén en la MFT pueden ser sobrescritos otra vez, es esto?
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor Vic_Thor » Sab Jun 28, 2008 11:15 pm

Si quieres, puedes imaginar un volumen de disco como si fuese el callejero de tu ciudad y la MFT como el índice del mismo.

El callejero siempre tendrá (1000 pág. por ejemplo, igual que en tu ejemplo la unidad será siempre de 1GB)

Cuando quieres consultar donde está la "plaza del ayuntamiento" no recorres las mil páginas del callejero, buscas en edl índice la situación en el plano y te dice, por ejemplo, página 452 sector D4 (452 sería la localización y D4 un atributo), mas bien vas al índice y buscas esos valores (el índice sería la MFT)

De igual forma, cuando decides borrar "la Plaza del Ayuntamiento" no arrancas la hoja o borras su situación en el plano, lo que haces es eliminar la referencia en el índice de tal forma que cuando vuelves a buscar esa Plaza, "no está" porque ya no figura en ese índice, sin embargo la Plaza como tal sigue existiendo pero no se puede acceder a ella siguiendo el indice.

Cuando se escribe un archivo o directorio nuevo en un volumen NTFS, el sistema de archivos recorre la MFT "de arriba abajo" y cuando encuentra una posición libre y/o marcada como disponible asigna esa entrada al nuevo fichero.

La ocupación de los clusteres del archivo borrado puede sobreescribirse o no... depende de muchos factores, por ejemplo si se hace al primer ajuste, al peor ajuste, al mejor ajuste, etc... luego es perfectamente posible que aunque la antigua entrada de la MFT ya no exista los datos "antíguos" sigan intactos, si bien, para el Sistema "no está".

Es mas, imagina una MFT con 23000 entradas, y haces un borrado de 3000 archivos, como las nuevas asignaciones se hacen de "arriba a abajo" puede ocurrir que archivos eliminados hace muchos días, meses, años... sigan existiendo y sus entradas en la MFT simplemente marcadas como disponibles.

Cuanto mas grande es el disco mayores probabilidades de recuperar.... cuanto "menos se toque" en un disco mayores probabilidades de recuperar....

Siguiendo con el ejemplo, imagina que después de borrar esos 3000 archivos, creas 800 nuevos (800 entradas que se usaron de las 3000 borradas) y luego de esos 800 nuevos, eliminas 300.... y escribes 200 nuevos...

¿que ocurre?

Pues que como se consulta de "arriba-abajo" los úlrimos 300 que eliminastes sólo los 100 últimos tienen mas posibilidades de recuperarse, sin embargo, los 2200 que sobraron de los 3000 borrados en el inicio aun siendo mucho mas antiguos que los 800 y los 300 siguen estando en la MFT.

Por eso decía que dependiendo del uso de un disco, es mas fácil recuperar archivos muy antiguos y puede ser mas difícil recuperar otros mas modernos.

Si los clusters que ocupaban (o parte de ellos) se asignaron a otro archivo la cosa se complica, ya no podrás recuperar "todo" el archivo, pero es posible recuperar una parte... que para el análisis forense puede ser muy importante, no contamos con toda la información pero parte de ella puede revelar datos o evidencias de un delito.

Espero que te haya quedado mas claro ahora...
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor Nork » Sab Jun 28, 2008 11:50 pm

Perfecto, te has explicado muy bien :badgrin:

Gracias! ;)
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Notapor AnimAlf » Lun Jun 30, 2008 9:51 am

Esto va a seguir muy pendiente, si se tiene en cuenta el vacio en el que se conserva el disco, sobre todo si lo que realmente interesa es recuperar los datos. O por precaución, aprender bien estos temas.

x 4 k
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor vlan7 » Vie Jul 11, 2008 9:30 pm

Bua Vic_Thor eres realmente bueno, me lo apunto como tema pendiente.

Solo hacerte una pequeña correccion. ¿El limite en NTFS esta en 2TB? Bueno, depende. Depende de la tabla de particiones que uses. Con el mitico MBR si. Pero puedes usar GPT y el limite de 2TB ya no lo tienes. Eso se puede hacer en Win2k3 Server SP1, XP_64 y Vista. Y sigue siendo NTFS.

Me parecia adecuada la correccion ya que hablamos de analisis forense, campo que siempre trata todo al mas bajo nivel posible.

Pero eso es una chorrada, solo es una imagen. Lo que realmente me gustaria decirte es que yo por lo menos te agradeceria que en alguna parte del taller comentaras algo sobre esto que dijiste en este hilo:

Si los clusters que ocupaban (o parte de ellos) se asignaron a otro archivo la cosa se complica, ya no podrás recuperar "todo" el archivo, pero es posible recuperar una parte... que para el análisis forense puede ser muy importante, no contamos con toda la información pero parte de ella puede revelar datos o evidencias de un delito.

Eso estaria de puta madre Vic_Thor.

Gracias!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor vlan7 » Sab Jul 12, 2008 4:18 am

Hola.

A mi me surge una pregunta.

Si yo quiero digamos leer el $MFT, o repararlo gracias al $MFTMirr, en una particion NTFS esta claro. Pero yo me pregunto ¿y en un RAID? Concretamente no lo tengo muy claro para un RAID stripped, RAID-0 o RAID-5. ¿Si la info esta stripped, el $MFT imagino que ya se ha roto no?

Hablo de lo que me dice el sentido comun, que como todos sabemos, en ocasiones es el menos comun de los sentidos.

Nada mas.

Eres bueno Vic_Thor, realmente bueno tio. Me quito el sombrero.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Anterior

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron