Sokratica Análisis de malware - DFIR - Writeups - Herramientas

Herramientas | Forense | Windows

En esta guía veremos cómo se usa, y bajo qué escenarios, la herramienta forense WinHex funciona. Junto con un ejemplo básico, pero ilustrativo de esta herramienta.

Tags: Herramientas forenses, WinHEx, Windows

Índice

  1. Escenario
  2. Descripción
  3. Guía
    3.1 Paso 1 y 2
    3.2 Paso 3: FTK Imager
    3.3 Paso 4: Verificación con Autopsy
    3.4 Paso 5: Recuperación con WinHex

Preámbulo

Info Descripción
Herramietas WinHex
Creador X-Ways
Link web oficial WinHex Editor

Escenario

Este pequeño post, que sirva como guía, prueba de concepto, explicación, de una herramienta forense bastante importante, al igual quie poderosa para llevar a cabo nuestras investigaciones.

Lo que voy a hacer es meter una carpeta con imágenes del último writeup que subí a este blog (el reto “Mr. Gamer”), luego borrarlas para usar la herramienta en cuestión para recuperar esas imágenes.

Los pasos serán los siguiente:

1. Crear la carpeta con imágenes dentro de la USB donde haré la prueba.

2. Eliminar esa carpeta.

3. Hacer una imagen forense completa de la USB con el FKT Imager.

4. Comprobar qué archivos eliminados nos muestra el Autopsy.

5. Recuperar esas imágenes con el WinHex.

Descripcipon de la herramienta y conocimientos previos

¿Por qué funciona esta herramienta?

De manera general, y breve, cuando eliminamos de manera estándar un archivo de cualquier unidad de almacenamiento, lo que de hecho estamos haciendo es indicar que los sectores de memoria, que apuntan al espacio físico de nuestra unidad, están disponibles. Esto quiere decir que el contenido de ese espacio no está vacío sino que está disponible para que se sobreescriba su contenido.

Es decir, cuando hay algo almecenado en ese espacio, el sector está configurado como “ocupado”, cuando borramos algo aparece como “disponible”. Esto hace que el contenido esté disponible, y pueda ser recuperado, hasta que otra información ocupe ese espacio.

La información almacenada ocupa un espacio en la unidad de almacenamiento desde el sector X hasta el sector Y. Esa información sigue almacenada en los registros del sistema de ficheros hasta que se sobreescriba.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Guía

Paso 1 y 2: Preparación de la USB

Lo primero que vamos a hacer es preparar nuestra USB de prueba. Voy a meter las imágenes contenidas del post del ejercicio “Mr. Gamer”:

winhex

Después las voy a eliminar, como podrás ver sólo además sólo tengo el ejecutable del WinHex:

winhex

Paso 3: Copia forense con FTK Imager

Una vez habiendo hecho lo anterior, vamos a hacer una imagen del dispositivo USB. Yo elegí la opción que indica que la fuente de nuestra información es un dispositivo físico y que la copia se haga en formato E01. Una vez esto, sólo queda esperar:

winhex

winhex

winhex

Siempre hay que verificar que los hashes del dispositivo de almacenamiento de origen y nuestra copia sean los mismos; de lo contrario, lo que sea que hagamos con nuestra copia quedará invalidada en cualquier investigación real. Es decir, no importa qué bien hagamos nuestro trabajo forense, si las copias no son iguales toda evidencia queda invalidada por la ley.

winhex

Paso 4: Verificación con Autopsy Forensics

Lo siguiente que haremos es ver lo que nos dice el Autopsy Forensic sobre los archivos eliminados que quedaron registrados en nuestra copia. Como podemos ver, nos registra que hay 29 archivos que fueron eliminados y que esta herramienta puede recuperar.

Indagando en estos archivos, podemos ver que el de nombre “_5.png” es la siguiente imagen:

winhex

En la carpeta original, la imagen correspondiente con ese nombre es la siguiente:

winhex

Coinciden. Desde el Autopsy se pueden recuperar estos archivos tan solo dando click derecho en la imagen y en “Extract File(s)”:

winhex

Paso 5: Recuperación de los archivos eliminados con WinHex

Sin embargo, nosotros estamos aquí pata probar la herramienta WinHex. Una vez instalada esta herramienta, hay que importar nuestra copia desde “File/Open”:

winhex

Elegimos nuestra copia y nos vamos a la sección de “Tools/ImageTools/Recover Files by Type” y elegimos el tipo de archivos que queremos recuperar:

winhex

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Escrito el June 15th, 2024 by I.

También te podría gustar: