ANALISIS FORENSE DIGITAL con KALI LINUX | Recuperar archivos borrados

Avatar de Usuario
admin
Verified
Site Admin
Mensajes: 2089
Registered for: 10 years
10
Ubicación: Ciudad de Córdoba - Argentina
Gender:
Edad: 41
Contactar:

ANALISIS FORENSE DIGITAL con KALI LINUX | Recuperar archivos borrados

#1

Mensaje por admin »

En el siguiente vídeo se explicara el uso de herramientas para poder extraer imágenes de discos duros, USB pen drive y de Flash memory de celulares con android. El propósito de lo mencionado es poder auditar esas imágenes, entender particiones, sistemas de archivos, recuperación de datos entre otras acciones. Vamos a utilizar herramientas conocidas como guymager, dc3dd, Sleuth Kit,
File Carving (recuperación de archivos borrados), Bulk extractor entre otras cosas.


Imagen
 
Imagen
 
LINKS y COMANDOS IMPORTANTES

Código: Seleccionar todo

hdparm -I /dev/sdd

Para obtener info de donde esta montado el disco (antes montarlo via escritorio remoto)

df -h

Comando para crear una  imagen del disco en un dispositvo externo

/dev/sdc1       932G  586M  931G   1% /media/rogerio24/01D894C0531ADA10



dc3dd if=/dev/sda hof=/media/rogerio24/01D894C0531ADA10/pcimg/maquina.img hash=sha512


/media/rogerio24/01D894C0531ADA10/maquina.img


instlar el comando dc3dd

https://installati.one/install-dc3dd-kalilinux/?expand_article=1


-------------------------------------------------------------------------------------------------------------


Obtener  imagen en celular android

Reconocer el equipo conectado al kali (tiene que estar rooteado el equipo y tienen que entrar en el modo recovery boot)
mostrar que dice "recovery"

adb devices

Acceder al shell

adb shell

Tirar comandos

uname -a

ls -l

Tirar el siguiente comando 

ls /data/data


salir del adb y tirar el siguiente comando para copiar toda la data de las apps y base de datos del android a una carpeeta de nuestra pc

adb pull -p /data/data /home/rogerio24/


subir el comando dc3dd a la memoria sd del movil
https://github.com/jakev/android-binaries

adb push dc3dd /external_sd

adb shell

determinamos que disco o flash memory total principal 
mmcblk0 

ls /dev/block

montamos la sdcard para poder ejecuntar el comando que nos permite generar la imagen
el comando como pueden ver esta ela memoria sd del movil

mount -o remount,rw,exec /external_sd/

es el mismo comando que en el disco duro pero con la diferencia
que al tener una memoria sd formateada en fat32, la imagen no pude ser superior
a 4 gigas, el tamaño del archivo, entonces lo dividimos en partes


./dc3dd if=/dev/block/mmcblk0 hofs=movil.img.00 ofsz=3G hash=sha512

si no tenes la porqueria de fat 32 tira este
./dc3dd if=/dev/block/mmcblk0 hof=movil.img hash=sha512

extraer la info de la particion de la data, para saberlo tenemos que ejecutar el siguiente comando

cat /proc/mounts


./dc3dd if=/dev/block/dm-0 hofs=movildata/movildata.img.00 ofsz=3G hash=sha512

adb pull -p /external_sd/flashmemory /media/rogerio24/01D894C0531ADA10/flashmemory  
adb pull -p /external_sd/datapartition /media/rogerio24/01D894C0531ADA10/appsandroid 


Creacion de una imagen de un pendrive with guymager
es una app visual via kali linux


----------------------------------------------------------------------------------------------------------------------------------------------

Analisis de las imagenes con las herramientas
Sleuth kit

------------

Primer caso imagen del sistema operativo

es para determinar la tabla de particiones y ver donde comienza y su tamaño

img_stat maquina.img
mmls maquina.img

Detalles del file system metada de esa particion con ese file system
el numero es el sector donde empieza la particion o el file system de esa particion


fsstat -o 0000239616  maquina.img

fsstat -o 0333686784  maquina.img

Listamos archivos y directorios de esa particion con ese sistema de archivos, algunos son ocultos, vemos 
en resumidas cuentas tambien algo de la  metaadata el file system (en directorio root)

fls -o 0000239616  maquina.img

inode

fls -o 0000239616  maquina.img 565996

fls -o 0333686784  maquina.img

Ver directorios borrrados en esa particicion

fls -o 0000239616 -rdp  maquina.img

fls -o 0333686784 -rdp  maquina.img

mas informacion de la particion
en este caso como esa estructura esta dividida en el dispositivo del almacenamiento

istat -o 0000239616 maquina.img 0

istat -o 0333686784 maquina.img 1


--------------

Imagen del celular

adb pull -p /external_sd /media/rogerio24/01D894C0531ADA10

img_stat movil.img.*
mmls movil.img.*

fsstat -o 0000023808 movil.img.*

fls -o 0000023808 movil.img.*

particion de datos del celular



imagen del pendrive

img_stat pendrivetest.E0*
mmls pendrive.E0*

fsstat -o 0000002048 pendrivetest.E0*

fls -o 0000002048 pendrivetest.E0*


----------------------------------------------------------------------------------------------------

Filecarving

de la imagen del pendrive

ver archivos borrados

fls -o 0000002048 -rdp pendrive.E0*

los sectores del disco que ocupa

istat -o 0000002048 pendrive.E0* 60112435

y recuperar el archivo exe

icat -o 0000002048 -r pendrive.E0* 60112435 > test.exe

exiftool test.exe

Usaremos la imagen de la particion del movil para recuperar 
archivos

foremost -o recovery -i movildata.img.*

rm -r recovery

foremost -o recovery -i movildata.img.* -t pdf

rm -r recovery


foremost -o recovery -i movildata.img.* -t jpeg

rm -r recovery

scalpel -o prueba46 movildata.img.*



bulk_extractor -o probando movildata.img.*


links

https://s3.amazonaws.com/acmelabs-galleries/48/0000/2352/forensic_cheatsheet.pdf
http://www.sleuthkit.org/sleuthkit/man/fls.html
VIDEO TUTORIAL




Digital Forensics Analysis with Kali Linux: Recovering Deleted Files | Professional Tutorial Guide,Digital Forensics Analysis using Kali Linux,Recovering Deleted Files: A Forensic Approach with Kali Linux,Kali Linux for Digital Forensics: Tips and Techniques,Mastering Digital Forensics on Kali Linux ,Uncovering Hidden Evidence: A Guide to Digital Forensics with Kali Linux ,Advanced Techniques for File Recovery on Kali Linux ,The Power of Kali Linux in Digital Forensic Investigations ,Analyzing and Retrieving Deleted Data with Kali Linux ,Navigating the World of Digital Forensics with Kali Linux ,Examining Deleted Files: A Step-by-Step Guide on Kali Linux,Recovering Deleted Files: A Professional Guide Using Kali Linux,Uncovering Deleted Data: An In-Depth Look at Kali Linux for Digital Forensics,Cyber Investigations Made Easy with Kali Linux’s Digital Forensics Tools,The Power of Kali Linux in Digital Forensics: Recovering Deleted Files ,Enhance Your Digital Forensics Skills with Kali Linux ,Unveiling Deleted Data: A Step-by-Step Guide Using Kali Linux ,Taking a Deep Dive into Digital Forensics with Kali Linux,Forense Informático,Recuperación De Datos,Herramientas Forenses,Como crear una  imagen del disco,Auditoría De Imágenes,Sistemas De Archivos,Análisis De Datos,Informática Forense,TecnologíDigital,Seguridad Informática,Cybersecurity,Ciberseguridad,Como extraer o generar una imagen de un dispositivo de almacenamiento | Memoria Flash,Introduction to Digital Forensics,Forensic Imaging,Drive Imaging,Android Drive Imaging,Image Acquisition with Guymager,File Analysis Tools,Extracting Data,Introducción a la ciencia forense digital,Imágenes forenses,Imágenes de unidad,Imágenes de unidad Android,Adquisición de imágenes con Guymager,Herramientas de análisis de archivos,Extrayendo datos,Kali Linux Tutorial,Herramientas Forenses,Guymager Tutorial,SleuthKit Explicado,FileCarving Técnica,Auditoría Digital,Particiones De Disco Exploradas,Forense Informática Explicada,Análisis De Sistemas De Archivos,Tecnología Forense,Ciberseguridad Explicada,InformáticaLegal,Curso de Informática Forense,proceso de recopilar, analizar y preservar datos electrónicos ,Investigacion forense,Digital forensics is a branch of forensic science that focuses on identifying, acquiring, processing, analysing, and reporting on data stored electronically,La ciencia forense digital es una rama de la ciencia forense que se centra en identificar, adquirir, procesar, analizar e informar sobre datos almacenados electrónicamente.,What is Digital Forensics,Understanding Digital Forensics

Enlace:
BBCode:
HTML:
Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Responder

Create an account or sign in to join the discussion

You need to be a member in order to post a reply

Create an account

Not a member? register to join our community
Members can start their own topics & subscribe to topics
It’s free and only takes a minute

Registrarse

Sign in

  • Temas similares
    Respuestas
    Vistas
    Último mensaje

Volver a “Redes/Networking”

¿Quién está conectado?

Usuarios navegando por este Foro: No User AvatarGoogle [Bot] y 1 invitado