https://cybercamp.es

Recuperación de ficheros borrados, a través del análisis forense de discos

José Carlos Sancho NúñezCátedra INSA-UEx “Seguridad y Auditoría

de Sistemas Software"

jcsanchon@unex.es @Totemoheda

¿Quién soy?José Carlos Sancho Núñez

Cátedra INSA‐UEx‘Seguridad y Auditoría de Sistemas Software’

Ingeniería de Sistemas Informáticos y TelemáticosUniversidad de Extremadura

Ingeniero Informático Ingeniero Técnico en Informática de Gestión Máster en Dirección TIC Máster en Ingeniería Informática Doctorando en Tecnologías Informáticas

3

Agenda1. Origen del reto.2. Demanda Social.3. ¿Cuál es el reto?4. Preservación de pruebas.

a. Clonado de discos.5. Localización de archivos.

a. Escaneo de archivos eliminados.b. Recuperación de archivos borrados.c. Restauración de extensiones.

6. Resumen del reto.7. Reto superado.

andresc@unex.es @_AndresCaro_

Origen del reto

Andrés Caro LindoProfesor Titular Universidad de Extremadura

Ingeniería de Sistemas Informáticos y Telemáticos

Auditoría y Legislación Informática Grados en Ingeniería Informática Personas sin conocimientos iniciales Entorno Windows ‐> Linux Resultado aplicado a alta demanda social

MEJOR RETO

Demanda Social

Reto resuelto en:

¿Has borrado un fichero por error? Fotos de grandes recuerdos Vídeos de la infancia de nuestros 

hijos Documentos imprescindibles Ficheros de contraseñas

¿Cuál es el reto? Borrar memoria extraíble de forma segura. Copiar 10 archivos con diferentes extensiones. Renombrar los ficheros con nombres genéricos (opcional) Eliminar las extensiones ‐> Dificultar su identificación De los 10 ficheros (nombres genéricos y sin extensión) 

Eliminamos 5 ficheros.

Técnicas clásicas del análisis forense de 

discos

Preservación de pruebas

Clonado de disco duro

Técnicas clásicas de análisis forense

Preservación de pruebasClonado de disco duro

Preparación USB

Preparación ficheros

Creación Live Flash USB

Clonado USB

Montar imagen

Preservación de pruebas

Preparación USB

Método de borrado seguro Gutmann:    35 pasadas Escribe 35 patrones diferentes de datos

Clonado de disco duro

Eraser

Preservación de pruebas

Preparación de ficheros

Clonado de disco duro

Partimos de 10 ficheros de distintos tipos Borramos 5 ficheros y eliminamos su extensión

Preservación de pruebas

Creación Live Flash USB

Clonado de disco duro

1. Seleccionar memoria.

2. Marcar “Write to UFD”

3. Seleccionar OSFClone.bin

4. Pulsar en “Write”

Preservación de pruebas

Clonado USB

Clonado de disco duro

Arrancar USB Live.

Formato  de la copia

Preservación de pruebas

Clonado USB

Clonado de disco duro

Seleccionamos: Disco origen Disco destino

Asegura una clonación idéntica

Preservación de pruebas

Montar imagen

Clonado de disco duro

Localización de archivosEscaneo de archivos eliminadosRecuperación de archivos borradosRestauración de extensiones

Localización de archivosEscaneo de archivos eliminadosRecuperación de archivos borrados

Autopsy

Localización de archivosRecuperación de archivos eliminados

Localización de archivosRecuperación de archivos eliminados

Localización de archivosRecuperación de archivos eliminados

Autopsy

Localización de archivosRecuperación de archivos eliminados

Localización de archivosRecuperación de archivos eliminados

Comand: • dd_rescue• md5sum• foremost

Localización de archivosRestauración de extensiones

3700 tipos de ficheros

P10XB

Detección de extensionesautomática

Localización de archivosRestauración de extensiones

Recuperamos 8 extensiones de los 10 ficheros

trid F:\* ‐ae

Localización de archivosRestauración de extensiones

Ejecutable Base de datos

P10XB

Utilizar como complemento a TrID

Resumen del reto

2

Reto superado

‐ A veces son aquellos de quienes no te imaginas nada quienes hacen aquello 

que nadie puede imaginar.

Descrifrando Enigma

https://cybercamp.es @CyberCampEs#CyberCamp15

jcsanchon@unex.es @Totemoheda

¿¿Preguntas??Muchas gracias!!