Buscar este blog

miércoles, 4 de noviembre de 2015

No hay tabla de particiones? No hay problema.


Advertencia: forenses Veteranos profesionales probablemente ya saben estas cosas.

Así que tienes un disco o tal vez sólo la imagen de un disco y tus herramientas forenses dicen que no hay particiones en ella. ¿Ahora qué? Windows no va a montarlo, así que ¿Cómo podemos saber si los archivos están en el disco? Algunas herramientas forenses basadas ​en Windows (X-Ways Forense), probablemente será capaz de identificar las particiones perdidas en el disco, pero todavía no se puede montar de forma nativa. Afortunadamente, hay maneras de conseguir los datos, si están allí en valor absoluto.




El disco duro en que estoy trabajando es de la computadora de un amigo. Me pidió que le solucionara su problema ya que había dejado de repente de arrancar. El martes de parches, la instalación de Avast Antivirus marcó algunos archivos como rootkits y pidió eliminarlos, y mi amigo los eliminó nomás. Avast le notificó que debía reiniciar con el fin de terminar la desinfección. Al reiniciar, el equipo se detiene después de la pantalla de POST y aconseja no hay ningún dispositivo de arranque.





En Windows, la  Administración de discos en la consola de administración mostró todo el disco como sin asignar. Hice una imagen espejo de la unidad y estoy investigando la causa. Como parte de eso, quería montar la imagen con el fin de realizar un análisis antivirus, ya que Avast había informado de rootkits.

Desde la computadora de mi amigo era incapaz de encontrar el sistema operativo al intentar arrancar, he cargado la imagen en WinHex y navegado al desplazamiento de bytes 446 a mirar la tabla de particiones. He encontrado toda la tabla se había ido, hasta el 55AA que normalmente se encuentran en el extremo de la mesa en el offset 510 y 511.

Por lo tanto, se pierde toda esperanza? No. En WinHex, busqué NTFS para tratar de encontrar el inicio de una partición. Como era de esperar, me encontré con la partición anteriormente activa en el Sector 63.

Abrí SANS Forense SIFT Workstation (Ver. 2.14) en VMware Workstation 12 y conecté el disco, la imagen se almacenó en ella a través de la opción de carpetas compartidas. La estación de trabajo SIFT, para los que no saben, es un entorno de trabajo forense ya hecha en una máquina virtual de VMware. Un archivo .iso para crear un CD Live, también está disponible.

Conocer la partición comenzado en el Sector 63, sabía que debería ser fácil de montar en Linux y así fue. En la línea de comandos, navegué en el disco donde se encontraba mi imagen como esta:

cd / home / sansforensics / Escritorio / Compartido VMware-Drive / disco

Allí me encontré con mi imagen, llamada image.001. Antes de intentar montar, me decidí a utilizar la herramienta MMLS del Kit Sleuth para ver si podía reconocer una partición en la imagen. Incluso el uso de la opción de compensación del sector, MMLS todavía no había  encontrado ninguna partición.

Así que decidí que era hora de intentar montar la partición que sabía era de la imagen. En la línea de comandos, escribí lo siguiente:

mount -t ntfs-3g -o loop, ro, show_sys_files, streams_interface = ventanas, offset = 32256 ./image.001 / mnt / windows_mount

Para aquellos no familiarizados con el comando mount, puede parecer extraño que se especifica un desplazamiento de 32 256 en lugar de 63. El comando mount no funciona con sectores. Más bien, se trabaja con bytes. Sabiendo que cada sector era más probable que sea de 512 bytes y que la partición se inició el sector 63, se debe multiplicar el número de sectores por las veces el bytes: 512 x 63 = 32256.

También, show_sys_files le permite ver todos los archivos "meta" de Windows.

El streams_interface = opción de ventanas permite ver Alternate Data Streams en Linux utilizando el controlador ntfs-3g como lo haría en Windows.

La ubicación de montaje he especificado, / mnt / windows_mount es un lugar ya existente en la estación de trabajo SIFT para montaje de imágenes. Una de las grandes ventajas acerca de esto es las carpetas / mnt y la carpeta / que en ambos casos son compartidos a través de la red y se puede acceder a ellos desde el equipo host como ubicaciones de red.

De todos modos, el procedimiento descrito anteriormente trabajó excelente. La partición se montó de inmediato y me encontré que el sistema de archivos dentro de esa partición estaba intacto. Tuve la oportunidad de navegar en Linux, así como acceder a él a través de la red desde mi máquina Windows.

Le he asignado una letra de unidad en mi anfitrión en el directorio / mnt para que pudiera acceder fácilmente a esta partición, ya sea del SIFT o ejecutar otras herramientas basadas en Windows en él desde la máquina host. Lo bueno de esto es que era capaz de correr log2timeline-tamizar en el entorno SIFT en mi imagen durante la exploración de la imagen montada con el antivirus de la máquina Windows anfitrión, todo al mismo tiempo.

Ahora, como he dicho, no hay manera de montar este disco (o imagen) de forma nativa en Windows, al menos hasta donde yo sé. Sin embargo, se puede hacer con otras herramientas. Traté FTK Imager, ya que normalmente es capaz de montar particiones dentro de archivos de imagen. Sin embargo, fue incapaz de montar éste sin la tabla de particiones que está presente. IMDisk, una herramienta gratuita fantástica, permite montar imágenes como ésta y especificar el desplazamiento de la partición de bytes, al igual que el comando mount de Linux. Se trata de una interfaz gráfica de usuario basada en Windows y es extremadamente fácil de usar. La he probado y monté la imagen con éxito a una letra de unidad accesible. Probablemente hay otras herramientas que funcionarían, pero yo no tenía ninguna otra para