Sitio para la difusión de conocimiento informático. 

Twitter RSS

The Sleuthkit Programs

Qué son “The Sleuthkit Programs”?

The Sleuthkit Programs: Trabajan en Unix y Windows. Son un total de 27 herramientas basadas en el modelo UNIX de pequeñas herramientas especializadas. Están organizadas según las capas del sistema de archivos. Posee herramientas para cada etapa del análisis forense que pueden utilizarse en conjunto con otras herramientas durante la investigación.

Autopsy: Es una servidor HTML que ejecuta los comandos TSK, analiza la salida y la despliega en HTML para cualquier navegador. Actualmente utiliza TSK y otras herramientas Unix estándares Open Source y Free.

Sitio oficial: http://www.sleuthkit.org/

 

Índice:
1.1 Capas de un Sistema de Archivos
2.1 The Sleuthkit según la capa del sistema de archivos
3.1 Ejemplos de Uso

 

1.1 Capas de un Sistema de Archivos

A continuación veremos como podemos dividir un sistema de archivos en capas para ayudar a entender como funciona:

– Capa Física: El controlador.
– Capa de Sistema de Archivos:  Información de Particionamiento.
– Capa de Datos: Donde los datos son almacenados (Bloques o Clusters).
– Capa de Metadatos: Información de la Estructura de archivos, ej. EXT2/3 – Inodo, Fat32 – Directorio de entrada FAT, NTFS – Entrada MFT):
Asignados: (Block o Cluster Usado)
Metadatos: GID, UID, MACTimes, Permisos, etc.
Punteros a Bloques o Clusters.
Sin Asignar: (Block o Cluster Libre)
Metadatos: Pueden estar o no.
Punteros a Bloques o Clusters pueden estar o no.
– Capa de Nombre de Archivos: Nombre del archivo.

Capas_Sistema_Archivos

Qué información aún existe luego de borrar un archivo?

– Generalmente tenemos éxito para recuperar datos borrados: A no ser que alguien haya sobrescrito o wipeado los bloques de datos antes de borrar el archivo. Un solo wipe es necesario para impedir que todas las herramientas forenses puedan recuperar los datos borrados. (NIST Guideline for Media Sanitization).

– Archivos Borrados: Algunos OS borran los links entre el nombre y la metadata. Las distribuciones actuales borran además todos  los punteros a los bloques de datos para borrar  archivos (ext3/ext2). En Windows FAT: (file allocation table) en la capa nombre de archivo FAT12/16/32 remplaza la primer letra del nombre    por 0xe5; en exFAT la entrada es marcada como inactivo. NTFS ($MFT master file table): la entrada del archivo es marcada como “borrado”.

 

2.1 The Sleuthkit según la capa del sistema de archivos

The Sleuth Kit Programs: (Resumen)
Son una colección de herramientas Open Source que pueden utilizarse tanto en Windows y Unix. Se basadas en el modelo Unix de pequeñas herramientas especializadas.
– Capa de Sistema de Archivos:
fsstat: despliega detalles del sistema de archivos.
– Capa de Datos:
blkcat: despliega el contenido de un bloque del disco.
blkls: lista el contenido de bloques borrados del disco.
blkcalc: mapea entra imagen y el resultado de blkls.
blkstat: lista estadísticas asociadas a un bloque específico.
– Capa Metadatos:
ils: despliega detalles del inodo.
istat: despliega información sobre un nodo específico.
icat: despliega el contenido de los bloques asignados a un inodo.
ifind: determina que inodo tiene asignado un bloque.
– Capa Nombre de archivo:
fls: despliega los archivos y directorios de una imagen.
find: determina que archivos tienen asignados un inodo en la imagen.

Sorter: Esta herramienta pertenece al grupo Sleuthkit. Ordena todos los archivos de una imagen y los categoriza según el tipo. Básicamente ejecuta las herramientas “fls -r” y “icat”, los datos son pasados a un archivo y el contenido es identificado. Puede realizar búsquedas contra base de datos hash. También detecta errores de extensión de archivos.

Al finalizar la tarea podremos acceder al directorio donde guardamos todos los datos recuperados, los cuales estarán organizados por tipo de archivo en carpetas y a su vez cada carpeta tiene su archivo HTML correspondiente donde nos detalla información sobre cada archivo y nos permite acceder al mismo.

 

3.1 Ejemplos de Uso

– Creación de una línea de tiempo usando The Sleuthkit:

La creación de la línea de tiempo consiste en dos pasos:
1 – Crear un bodyflie: es un archivo generado con los datos de todos los archivos de la imagen (asignados, no asignados, borrados).
2 – Crear un archivo legible por el humano ordenado por el timestamp de cada archivo de menor a mayor.

1 – Crear bodyfile de un sistema de archivos:
fls –m E: -r image.dd > image.bodyfile

2 – Crear línea de tiempo:
mactime –b image.bodyfile –z EST5EDT > timeline.image.txt

Luego podemos editar el archivo resultante “timeline.image.txt” con cualquier editor de texto para determinar el contexto en el que se dio el incidente.

– Reglas MACB:

Linux:
Movimiento: –C
Copiado: MAC
Acceso: -A-
Modificado: M-C
Creado: MAC

Windows:
Fecha de Modificación: se mantiene si el archivo es copiado o movido.
Fecha de Creación: depende si fue copiado o movido.
NO Cambia si:
Movido de C:\FAT a D:\NTFS
Movido de C:\FAT a C:\FAT\subdir – Movido de D:\NTFS a D:\NTFS\subdir
Cambia si:
– Copiado de C:\FAT a D:\NTFS
Copiado de C:\FAT a C:\FAT\subdir
Copiado de D:\NTFS a D:\NTFS\subdir

 

– Capa Sistema de Archivos: Descripción de la imagen del disco:

Comando “fsstat”:
Nos muestra estadísticas de la capa sistema de archivos.

fsstat  -f “type” “imagefile.dd”

 

– Capa de Datos: Estado del Bloque, Asignado o Sin Asignar?

Herramienta “blkstat”: Nos muestra estadísticas sobre un bloque de datos.
blkstat image.dd “nro. bloque”

Busco el ínodo (metadatos):
Herramienta “ifind”: Nos devuelve el ínodo correspondiente a el bloque de datos.
ifind image.dd “nro. bloque”
– Capa Metadatos: Recupero un archivo:

Información sobre el ínodo (metadatos):
Herramienta “istat”: Nos muestra estadísticas sobre un inodo.
istat image.dd “nro. inodo”

Herramienta “icat”: Copia archivos por inodo. Opera en disco e imágenes de discos.
icat –r image.dd “numero” > “archivo.ext”

Sorter: Ordena todos los archivos de una imagen y los categoriza según el tipo. Básicamente ejecuta las herramientas “fls -r” y “icat”, los datos son pasados a un archivo y el contenido es identificado.
sorter “opción” -d output_direcotry imagefile.dd

Opción:
– e: solo errores de extensión.
– s: guardar los datos a directorio por categoría.
– d: directorio donde guardar los datos.
– c: archivo de configuración.
– m: punto de montaje.
– E: solo indexación por categoría.
– l: lista detalles a la salida estándar.
– h: crea categoría de archivos en HTML.

sorter -h -m C: -s -d /sorter-output disc_C_off.dd

Herramientas para automatizar la recuperación de Archivos:
Comparación de base de datos Hash: Bases de datos de hashes MD5 y SHA-1 pueden ser utilizadas para detectar “archivos buenos conocidos” (los cuales puede no interesarnos) o “archivos malos conocidos” (los cuales puede ser útil resaltar). Las bases de datos más conocidas soportan los siguientes formatos: md5sum, National Software Reference Library (NSRL), y Hashkeeper.
Como creo una base de “archivos buenos conocidos”:
– Md5deep: recorre el sistema de archivos de forma recursiva calculando los hashes de los archivos.
md5deep -r directorio_raíz > archivodesalida_hash.txt

– Hfind: indexa el archivo resultante de la herramienta md5deep y permite su integración con la herramienta sorter u otras.
hfind -i index_type archivodesalida_hash.txt
index_type: md5sum, hk (hashkeeper), nsrl-md5, nsrl-sha1.

– sorter + md5deep/hfind:
Opciones:
-a: lista de hash que disparan una alerta (archivos malos conocidos).
-x: lista de hash que se excluirán (archivos buenos conocidos).
-n: base de datos NSRL (archivos buenos conocidos).

sorter + md5deep/hfind: sorter -h -m C: -s -d /sorter-output -a bad_hash.txt -x good_hash.txt disc_C_off.dd

 
Home Forensics The Sleuthkit The Sleuthkit Programs