gestión de la información - rua: principal · de esta forma sabremos qué buscar y cómo o si ......
TRANSCRIPT
INFORMÁTICA APLICADA
José Manuel Gómez Soriano
Dpto. de Lenguajes y Sistemas Informáticos
TRATAMIENTO DE INFORMACIÓN EN SISTEMAS DE ALMACENAMIENTO
Informática Aplicada
2
PARA EXTRAER LA INFORMACIÓN SE DEBE ALCANZAR
1. Arrancar un ordenador y la BIOS
2. Descubrir las particiones
3. Realizar una copia exacta de una partición
4. Comprobar que las dos copias son iguales
5. Montar la copia de la partición
6. Navegar por la estructura de archivos
7. Encontrar archivos ocultos
8. Recuperar archivos borrados
3
1. ARRANCAR UN ORDENADOR Y LA BIOS
4
ACCESO AL DISCO DURO
Protegido con contraseña
█ En la BIOS
█ En el SO
█ Control de acceso
█ Encriptación del disco
Soluciones
█ Quitar la pila de la placa
█ Instalar el disco duro en otra máquina
█ Usar un Live CD
█ Instalar el disco duro en otra máquina como esclavo
█ Usar herramientas para romper encriptaciones
5
TERMINAL DE LINUX
█ Se utiliza para mandar órdenes al SO
█ Se puede programar secuencia de órdenes mediante scripts
█ Distingue mayúsculas de minúsculas
6
EJEMPLO DE USO DEL TERMINAL
█ Abrir el terminal
█ Applications Accessories Terminal
█ Escribir ls
cd /
ls
find . -name ‘*.jpg’
find /usr -name ‘*.jpg’ | less
7
2. DESCUBRIR LAS PARTICIONES
8
DESCRUBIR PARTICIONES
█ Cuando se tiene engancha un disco duro a un ordenador se tiene que visualizar cuántas particiones y de que tipo tiene
█ Se puede utilizar el GParted
█ Pero esto es muy peligroso porque podemos realizar algún cambio.
█ Se puede utilizar el fdisk
█ De esta forma sabremos qué buscar y cómo o si hay alguna partición escondida
█ También podemos saber si hay algún dispositivo pinchado en una entrada usb
9
COMANDO FDISK
# fdisk -l
Disk /dev/sda: 21.5 GB, 21474836480 bytes
255 heads, 63 sectors/track, 2610 cylinders, total 41943040 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x0002be08
Device Boot Start End Blocks Id System
/dev/sda1 2048 30722047 15360000 83 Linux
/dev/sda2 30722048 32819199 1048576 82 Linux swap / Solaris
/dev/sda3 32819200 41943039 4561920 7 HPFS/NTFS/exFAT
10
EJERCICIO
█ Bajar del CV el material ‘esceptico.zip’ en /media/Windows
█ Descomprimir el archivo █ cd /media/Windows
█ unzip `ls *.zip`
█ Hacemos una búsqueda █ grep -R 'Rajoy con cara de pasmado' *
█ Eliminar algunos archivos █ rm `ls *.zip`
█ rm `grep -R 'Rajoy con cara de pasmado' * | cut -f1 –d':'`
█ Comprobamos que no existe ningún archivo █ grep -R 'Rajoy con cara de pasmado' *
█ Desmontaremos la unidad de windows █ cd
█ umount /media/Windows
11
3. REALIZAR UNA COPIA EXACTA DE UNA PARTICIÓN
12
POR QUÉ REALIZAR UNA COPIA EXACTA
█ Es muy importante conservar el original intacto
█ Siempre se trabajará sobre la copia
█ Se debe comprobar que la copia es igual a la original
█ Para hacer copias de cualquier dispositivo utilizaremos el dd
█ Podremos rastrear desde un disco duro, un pen usb o un CD de la misma forma
13
COMANDO DD
█ Copia exacta █ dd if={dispositivo original} of={fichero o dispositivo destino}
█ Ejemplo
█ Comprobar qué particiones tenemos █ fdisk -l
█ Realizar una imagen de la partición de Windows █ dd if=/dev/sda3 of=/media/Linux/windows.iso
14
4. COMPROBAR QUE LAS DOS COPIAS SON IGUALES
15
COMANDOS SHA1SUM Y MD5SUM
█ sha1sum █ sha1sum {dispositivo} && sha1sum {imagen}
█ md5sum █ md5sum {dispositivo} && md5sum {imagen}
█ Ejemplo
█ Comprobamos con sha1sum █ sha1sum /dev/sda3 && sha1sum /media/Linux/windows.iso
█ Comprobamos con sha1sum █ md5sum /dev/sda3 && md5sum /media/Linux/windows.iso
16
5. MONTAR LA COPIA DE LA PARTICIÓN
17
COMANDO MOUNT
█ Crear una carpeta █ mkdir {carpeta}
█ Montar una imagen en una carpeta █ mount -t auto -o loop {imagen} {carpeta}
█ Ver qué está montado █ mount
█ Ejercicio
█ Creamos una carpeta dónde se montará la imagen █ mkdir forense
█ Listamos la imagen █ ls /media/Linux/
█ Montamos la imagen en la carpeta █ mount -t auto -o loop /media/Linux/windows.iso forense/
█ Comprobamos que aquí tampoco están los archivos borrados █ cd forense
█ grep -R 'Rajoy con cara de pasmado' *
18
6. NAVEGAR POR LA ESTRUCTURA DE ARCHIVOS
19
SISTEMAS DE ARCHIVOS
█ Windows
█ NTFS, Fat32, Fat16
█ Unidad CarpetaArchivo
█ Contiene las carpetas y los archivos de una partición
█ Sólo para sistemas de archivos de Windows
█ Unix (Linux, Mac, FreeBSD, Solaris, …)
█ Ext4, Ext3, Ext2, ReiserFS, ZFS
█ CarpetaArchivo
█ En sistemas Unix una unidad se debe montar en un directorio
20
CARPETA O DIRECTORIO
█ Puede contener otras carpetas y archivos
█ Se utiliza para agrupar la información
█ Por ejemplo:
█ Música/
█ Películas/
█ Mis Documentos/
█ Mis Documentos/Trabajo
█ Mis Documentos/Fotos
█ Escritorio/
21
EXPLORADORES DE ARCHIVOS
█ Aplicaciones que te permiten navegar entre lo distinto directorios y abrir ficheros
22
ARCHIVOS
█ Son los que contienen realmente la información
█ Son de distintos tipos
█ Archivos de sonido
█ Vídeos
█ Presentaciones PowerPoint
█ …
█ En Windows el tipo se determina por su extensión
█ .jpg, .wma, .mp3, .ppt, .pptx, .exe, .com…
█ En Linux el tipo de archivo se determina:
█ Por su extensión, permisos, cabecera
23
ARCHIVOS COMPRIMIDOS
█ Son archivos cuya información es parte de una estructura de un sistema de archivos
█ No es un directorio aunque algunos sistemas los traten como tales
█ Distintos formatos:
█ .zip, .rar, .gz, .tgz. .7z
24
EXTENSIONES
█ En Windows las extensiones son cruciales
█ Determinan el tipo de archivo
█ Windows, por defecto, las oculta
█ Esto genera problemas de seguridad
█ La gente puede cambiar el nombre y la extensión de un archivo para que pienses que es un archivo inocuo
█ Mostrar extensiones
█ Inicio Panel de Control Apariencia y personalización Opciones de carpetas
█ Desactivar la opción Ocultar las extensiones de archivo para tipos de archivo conocidos
25
ALGUNOS COMANDOS DE LA CONSOLA DE LINUX
█ Conocer la carpeta actual █ pwd
█ Ver el contenido de una carpeta █ ls
█ Ver las carpetas y archivos ocultos █ ls -a
█ Entrar en una carpeta █ cd carpeta
█ Salir de una carpeta █ cd ..
█ Descomprimir un archivo █ unzip archivo
█ Ver contenido archivo comprimido █ unzip -l archivo
█ Borrar un archivo █ rm archivo
█ Crear una carpeta █ mkdir carpeta
█ Borrar una carpeta vacía █ rmdir carpeta
█ Borrar una carpeta llena █ rm -r carpeta
█ Buscar un archivo █ find carpeta -name 'patrón'
█ Patrones:
█ inicio* - Busca un archivo que empiece con la palabra ‘inicio’
█ *fin - Busca un archivo que termine con la palabra ‘fin’
█ *medio* - Busca un archivo que contenga la palabra ‘medio’
█ Ver resultados paginado █ comando | less
█ Ayuda de un comando █ man comando
26
BÚSQUEDAS DENTRO DE LOS ARCHIVOS
█ Buscar archivos con cierto contenido █ grep -R 'expreg' directorio
█ Buscar que no contenga algo █ grep -vR 'expreg' directorio
█ Expresiones regulares
█ . - Cualquier carácter
█ + - Uno o más elementos
█ * - Cero o más elementos
█ \? - Opcional
█ \| - Una opción u otra
█ \(\) - Agrupar
27
CONCATENAR RESULTADOS
█ En linux la salida de un comando se puede incluir como entrada de otro utilizando | (tubería)
█ Ejemplo: █ Contar resultados
█ grep -R 'homeopatía' | wc -l
█ Ver los documentos en que aparezca ‘homeopatía’ pero no ‘acupuntura’ █ grep -R 'homeopatía' | grep -v 'acupuntura'
█ Contar el número de resultados de la búsqueda anterior █ grep -R 'homeopatía' | grep -v 'acupuntura' | wc -l
█ Paginar los resultados █ grep -R 'homeopatía' | grep -v 'acupuntura' | less
█ Ignorar mayúsculas o minúsculas █ grep -i
28
7. ENCONTRAR ARCHIVOS OCULTOS
29
ARCHIVOS OCULTOS
█ Son archivos que por defecto están ocultos
█ Archivos del sistema
█ Para asegurar que por accidente el usuario no los modifica
█ Windows
█ Inicio Panel de Control Apariencia y personalización Opciones de carpetas
█ Mostrar todos los archivos y carpetas ocultos
█ Linux
█ Todos los archivos que empiezan por .
█ Administrador de archivos View View hidden files
30
ARCHIVOS DEL SISTEMA
█ Ubicados en C:\Windows
█ Es muy peligroso si se modifican
█ Son archivos del SO
█ Aplicaciones del SO
█ Aplicaciones
█ Drivers
█ Bibliotecas de software
31
COMANDO LS
█ Muestra los archivos
█ ls
█ Muestra los archivos ocultos
█ ls -a
█ Muestra más información sobre los archivos
█ ls -l
█ Muestra más información con medidas humanas
█ ls -lh
█ Además, muestra los ocultos
█ ls -lha
32
8. RECUPERAR ARCHIVOS BORRADOS
33
¿DÓNDE VAN LOS ARCHIVOS BORRADOS?
█ Papelera de reciclaje
█ Se marcan como borrados
34
PAPELERA DE RECICLAJE
█ Realmente no se borran
█ Se mueven a una carpeta especial llamada “Papelera”
█ Es muy fácil recuperarlos
█ Normalmente cuando
█ Su ubicación real es:
█ Windows
█ C:\RECYCLE
█ Windows Vista/7
█ C:\$Recycle.Bin
█ Información sobre los borrados
█ Windows
█ C: \RECYCLE\INFO
█ Windows Vista/7
█ Cada archivo borrado tiene un archivo que empieza por $IVxxxxx.ext con información sobre dicho archivo
35
SE MARCAN COMO BORRADOS
█ Realmente no se borran
█ Se marcan como borrados
█ Los sectores que ocupan se marcan como libres
█ Si no se añaden más archivos esa información se puede recuperar
36
LA INFORMACIÓN NO SE PIERDE, SE OCULTA
37
Sistema de archivos (NTFS, Ext4, …)
Archivo 3 (Pos 6)
Archivo 2 (Pos 4)
Archivo 1 (Pos 1)
…
Borro el archivo 2
LA INFORMACIÓN NO SE PIERDE, SE OCULTA
38
Sistema de archivos (NTFS, Ext4, …)
Archivo 3 (Pos 6)
Archivo 1 (Pos 1)
…
Inserto un archivo nuevo
Archivo 4 (Pos 4)
¡A menos que escribamos algo nuevo en el mismo sitio!
¿CÓMO BORRAR DEFINITIVAMENTE?
█ Borrado definitivo █ dd if=/dev/zero of={dispostivo para borrado}
█ Borrado irrecuperable █ dd if=/dev/random of={dispositivo para borrado}
█ Ejemplos █ dd if=/dev/zero of=/dev/sda3
█ dd if=/dev/random of=/dev/sda3
39
COMANDO FOREMOST
█ Se utiliza para recuperar todos los archivos de tipos reconocidos aunque se hayan borrado █ foremost -T -t {tipo} -i {imagen}
█ No se basa en el sistema de ficheros sino en la lectura a bajo nivel de todo el disco duro
█ Crea una carpeta llamada output_<fecha> con los archivos
█ Ejemplo █ Obtener ayuda sobre foremost
█ man foremost
█ Extraer todos los archivos █ foremost -T -t all –i /media/Linux/windows.iso
█ Extraer sólo los archivos jpg █ foremost -T -t jpg –i /media/Linux/windows.iso
█ Buscar en los archivos recuperados algo perdido
40
EJERCICIOS
41
EJERCICIOS
1. Desplazarte hasta tu carpeta de usuario, después entra en la carpeta ‘forense’ y en la de ‘www.escepticos.es’.
2. Muestra la ruta actual
3. Buscar archivos que empiecen por ‘node’ y después contarlos
4. Buscar archivos que terminen por ‘.zip’
5. Buscar archivos que contengan la palabra ‘reiki’ y muestra cuántos resultados hay
6. Buscar archivos que contengan la palabra ‘reiki’ u ‘homeopatía’ y cuéntalos
7. ¿Cómo puedo hacer la consulta anterior para capturar también las palabras sin acentos, es decir, tanto ‘homeopatía’ como ‘homeopatia’
8. Si te fijas en las soluciones del ejercicio 7, la primera solución da un resultado más, ¿sabrías descubrir la causa?
9. Realiza la búsqueda del ejercicio 6 pero ignorando las mayúsculas y minúsculas
10. Borra de forma irrecuperable la partición de windows
11. Intentar recuperar información de la partición de windows
42
SOLUCIÓN DE LOS EJERCICIOS
43
SOLUCIÓN DE LOS EJERCICIOS 1. cd
cd forense/www.escepticos.es
2. pwd
3. find . -name 'node*' find . -name 'node*' | wc -l
4. find . -name '*.zip'
5. grep -R 'reiki' * grep -R 'reiki' * | wc -l
6. grep -R 'reiki\|homeopatía' * | wc -l
7. Una de estas soluciones grep -R 'reiki\|homeopat.a' * | wc -l grep -R 'reiki\|homeopatía\|homeopatia' * | wc –l grep -R 'reiki\|homeopat\(i\|í\)a' * | wc -l
8. grep -R 'homeopat.a' * | grep -v 'homeopat\(í\|i\)a' | less
9. grep -Ri 'reiki\|homeopatía' * | wc -l
10. dd if=/dev/zero of=/dev/sda3 dd if=/dev/random of=/dev/sda3
11. foremost –T –t all –i /dev/sda3
44
DOS PEQUEÑOS TRUCOS
45
RESTABLECER CONTRASEÑA WINDOWS
1. Arrancar con un disco de Ubuntu o alguna distribución que soporte NTFS
2. Colocarte en c:\windows\system32
3. Renombrar sethc.exe por sethc.old
4. Copiar cmd.exe en el escritorio y renombrarlo por sethc.exe
5. Cortar sethc.exe del escritorio a c:\Windows\System32
6. Reiniciar con Windows vista
7. En la ventana de inicio de sesión de usuario en Windows, presionamos 5 (cinco) veces la tecla SHIFT del lado izquierdo, de esta forma habilitamos una ventana de comando.
8. Tecleas lo siguiente: c:\windows\system32\control userpasswords2
9. Al aparecer la ventana con las opciones de las cuentas existentes en la pc, bastará solo seleccionar la cuenta que queramos cambiar y/o modificar y pulsar en la opción REESTABLECER CONTRASEÑA.
10. Dejar en blanco los campos de contraseña y ACEPTAR.
11. Cerrar las ventanas (la de comando tecleando exit).
12. Reiniciar la máquina
46
EL AUTORUN.INF
█ Un archivo especial de Windows que ejecuta automáticamente aplicaciones cuando se conecta un dispositivo
█ Ejemplo: [autorun]
open=setup.exe
icon=setup.exe,0
label=My install CD
█ Un archivo muy peligroso
█ Permite ejecutar aplicaciones de forma automática con sólo insertar un dispositivo
█ Se puede evitar creando una carpeta con ese nombre en nuestros USB
47
MOVER ARCHIVOS A DISTINTAS CARPETAS/UNIDADES
█ Dentro de una misma partición
█ No se mueve realmente
█ Se indica que cambia de directorio
█ En distintas particiones o unidades
█ Se copia
█ Y se borra el original
54