Sleuthkit

De whats Wiki

Dreceres ràpides: navegació, cerca


      2. Intro als fs

- Qu� �s un fs - Principals tipus de dades (directoris/arxius/enlla�os) - Organitzaci� del disc (blocs) - vfat i extX (buscar al server) 

   - vfat:
       - Taula vfat
   - extX:
       http://www.linuxhq.com/guides/TLK/fs/ext2.gif
       http://www.linuxhq.com/guides/TLK/fs/ext2_inode.gif
       ext2: http://www.linuxhq.com/guides/TLK/fs/filesystem.html
       - Inodes
       - Enlla�os
           - Diferencies entre hard linkx i soft links

- Estructura dels fitxers en el disc - Qu� passa quan es borra un fitxer



      2. Eines principals

- tct 

   - unrm (copia els blocs de dades eliminats per tal de...)
   - lazarus (intenta extreure d'una imatge o una partici� els arxius que estan dins)

- sleuthkit (dir sistemes de fitxers usats) 

   - fls (mostra els fitxers i directoris d'una imatge)
   - ils (mostra els inodes i la seva info)
   - icat (mostra el contingut d'un fitxer que es troba en un inode en concret)
   - mactime (mostra informaci� dels fitxers + inodes a partir d'una data)
   - fsstat (mostra detalls del sistema de fitxers de la imatge)

   - img_stat (mostra detalls de la imatge)
       - mac-robber (per obtenir info de sistemes de fitxers no soportats)



       - hfind (busca el hash d'un arxiu a una base de dades)
       - dls (per obteir una imatge de l'espai lliure que conte el sistema de fitxers)
       - dcat (printa el contingut d'un bloc de dades)
       - ffind (printa el nom de l'inode)
       - istat (printa tota l'informacio que conte un inode)
       - ifind (busca un inode que apunti a un bloc de dades)
       - dcalc (calcula el bloc de dades de la imatge que fa referencia un bloc de dades de l'espai lliure)
       - jls (llista el contingut del journaling)
       - jcat (mostra el contingut d'un bloc del journaling)
       - mmls (per mostrar la taula de particions d'una imatge o una slice e bsd)
       - mmstat (per mostrar  info sobre el tros de dades d'informacio de volum)
       - srch_strings (com la comanda strings, pero mes rapida, pot buscar nomes en la seccio de dades de l'imatge)
       - sigfind (busca patrons binaris dins d'una imatge)
       - disk_stat (busca si existeix una  Host Protected Area (HPA) al disc)
       - disk_sreset (en cas de que existeixi, la borra)
       - sorter (busca arxius dins d'una imatge, seleccionant per tipus)
       - datastat (mostra info sobre un bloc de dades)


- foremost



        2. LINKS

http://www.sleuthkit.org

      2. Passos imatge albert.sda7 (ext3)

- dd if=/dev/sda7 of=imatge.sda7.dd - fls -lr imatge.sda7.dd - ils imatge.sda7.dd - fls -r -m <directori> imatge.sda7.dd > fls_ils.out - ils imatge.sda7.dd >> fls_ils.out - mactime -b fls_ils.out <data> - recuperar arxiu per inode: icat imatge.sda7.dd <inode> - recuperar arxiu sense inode, no+ string (copia espai buit): dls imatge.sda7.dd |strings -dt > dls.out - seleccionar un offset mirant la sortida del dls.out - trobar tamany de bloc de la imatge: fstat imatge.sda7.dd - dividir l'offset seleccionat pel tamany de bloc: offset/tamany_bloc = blocs fins a l'aparici - calcular el bloc on comen�a l'aparici� dins la imatge - recuperar aparici�: dcat imatge.sda7.dd <inode> - buscar inode que apunta a un bloc (per si �s un arxiu + gran que el tamany de bloc): ifind -d <bloc> -a imatge.sda7.dd - obtenir info d'un inode: istat imatge.sda7.dd <inode> - obtenir el nom d'un fitxer a partir d'un inode: ffind imatge.sda7.dd <inode>



      2. Maneres de borrar

- fwipe


      2. Exemples

1.- Esborrar un executable 

 - Fer una imatge
 - Recuperar executable
 - Mirar si funciona l'executable

2.- Crear una imatge amb 3 zips 

 - Borrar-ne 2 i un no
 - Probar de recupara'ls amb el foremost

3.- albert.sda7 



ls -li
http://biatchux.dmzs.com/ (distro de forencics)
http://www.linux-forensics.com/links.html (links bons)

gpart debugfs autopsy



Explicarem una mica el ext ja que es el que usarem. Explicar superbloc


Directori:

Contiene informaci�n sobre los archivos 

       atributos
               tipo de archivo
               fechas de creaci�n, acceso, modificaci�n, ...
               propietario
               permisos
               tama
               ...

       ubicaci�n en el dispositivo de almacenamiento


Es un archivo especial gestionado por el Sistema 

               no accesible directamente por los usuarios

Permite traducir los nombres simb�licos de los ficheros a su ubicaci�n en el sistema de ficheros


TRANSPARENCIA 16 (blocs sectors? els blocs son fixos, pero es poden triar e tamany)

TRANSPARENCIA 24 (FAT)

TRANSPARENCIA 26 + o - extX o millor a partir de la 43

Obtingut de "http://www.wekk.net/wiki/Sleuthkit"