PDF de programación - Recuperación de Datos: Data Carving y Archivos Fragmentados

Recuperación de Datos:
Data Carving y Archivos
Fragmentados

Daniel A. Torres Falkonert
[email protected]

Johany A. Carreño Gamboa
[email protected]

Motivación

Recuperación de Datos en Sistemas de Archivos

1. Recuperación de Datos
1. Recuperación de Datos

2. Perdida de Metadatos de
2. Perdida de Metadatos de
Sistemas de Archivos
Sistemas de Archivos

3. Técnicas Antiforenses
3. Técnicas Antiforenses

2

Fundamentos de File Carving

Recuperación de Datos:
File Carving y Archivos Fragmentados

Definición.

Identificación y Recuperación de Archivos basados en
las características de formato de los archivos sin el
conocimiento de las estructuras del sistema de archivos

3

Fundamentos de File Carving

Recuperación de Datos:
File Carving y Archivos Fragmentados

File Carving es una poderosa herramienta porque permite:

1.

Identificar y recuperar archivos de interés, que hayan sido borrados,
o se encuentren en un sistema de archivo dañado, memoria, o
información que se encuentra en el archivo de paginación y tráfico
de red

2. Asistir en la recuperación de archivos y datos que no son tenidos en

cuenta por el sistema operativo y el sistema de archivos

3. Asistir en un proceso forense de recuperación de archivos y datos,

así como en un proceso normal de recuperación de datos

4

Limitaciones

Recuperación de Datos:
File Carving y Archivos Fragmentados

•

•

•

•

•

La mayoría de herramientas solo pueden recuperar archivos que no se
encuentran fragmentados en el disco

Se producen un gran número de falsos positivos, las herramientas no
realizan una validación exhaustiva del archivo recuperado

Se puede recuperar el contenido de los archivos pero no sus metadatos ni
la estructura de directorios

Es relativamente simple engañar a las herramientas (Técnicas
Antiforenses)

Es un proceso muy lento y requiere mucho espacio

5

Metodología

Recuperación de Datos:
Data Carving y Archivos Fragmentados

•

Identificación

• Validación

• Extracción

6

Identificación

Recuperación de Datos:
File Carving y Archivos Fragmentados

En general, los archivos de diferentes formatos poseen características

invariantes

Ejemplo.
Archivos JPG:

Encabezado(header)
\\xffxff\\xd8xd8\\xffxff\\xe0xe0\\x00x00\\x10x10

Fin de archivo (footer)
\\xffxff\\xd9xd9

7

Identificación

Recuperación de Datos:
File Carving y Archivos Fragmentados

Para recuperar un archivo JPEG:
a.
b.

Encontrar la información de encabezado y fin de archivo
En general, las técnicas actuales solo analizan el encabezado y el final del archivo

e0 00 10 4a 46 49 46 00 01 01 00 00 01 |......JFIF......|

Hexdump de atlantis.jpg
Encabezado
00000000 ffff d8 d8 ffff e0 00 10
00000010 00 01 00 00 ff db 00 43 00 1f 15 17 1b 17 13 1f |.......C........|
00000020 1b 19 1b 23 21 1f 24 2e 4d 32 2e 2a 2a 2e 5e 43 |...#!.$.M2.**.^C|
00000030 47 38 4d 6f 62 75 73 6d 62 6c 6a 7b 8a b1 96 7b |G8Mobusmblj{...{|
00000040 83 a7 84 6a 6c 9a d1 9c a7 b6 bc c6 c8 c6 77 94 |...jl.........w.|
00000050 d9 e8 d7 c0 e6 b1 c2 c6 be ff db 00 43 01 21 23 |............C.!#|
00000060 23 2e 28 2e 5a 32 32 5a be 7f 6c 7f be be be be |#.(.Z22Z..l.....|
00000070 be be be be be be be be be be be be be be be be |................|

Fin de archivo
000001b0 1a 25 a9 88 c7 3a 0a d5 df 73 ce 81 eb 9f ed f9 |.%...:...s......|
000001c0 6a a6 2e 42 7b 4d 49 10 08 1f 2a 58 7d 98 c7 de |j..B{MI...*X}...|
000001d0 a6 6e 89 0b 07 7c 7e 55 2b b2 ee 13 d9 20 50 a8 |.n...|~U+.... P.|
000001e0 8e 19 42 3d 28 74 b5 1e a3 ba 48 6d b8 20 0d 3c |..B=(t....Hm. .<|
000001f0 a8 14 c5 c1 96 59 1e 5f 90 a8 51 2e 6e 50 a7 d0 |.....Y._..Q.nP..|
00000200 b6 b5 28 06 c2 4f 69 9c c6 69 66 a3 b5 4e af 0c |..(..Oi..if..N..|
00000210 89 ac 57 46 f5 2e 0c de a1 2d 2f 42 41 c9 d5 24 |..WF.....-/BA..$|
00000220 d0 d9 b9 5b 28 d2 90 98 99 c8 a2 5e 12 a0 85 13 |...[(......^....|
00000230 90 00 a5 c0 91 54 53 4f ffff d9 d9

|.....TSO..|

8

Archivos
Fragmentados

Recuperación de Datos:
File Carving y Archivos Fragmentados

•

•

•

•

Si se encuentra una referencia del sistema de archivos (metadatos)
a la cadena de clusters del archivo puede no ser necesario realizar
Data Carving

Los sistemas de archivos modernos evitan al máximo la
fragmentación, sin embargo esta es inevitable

Los sistemas de archivos actuales optimizan el uso en disco
evitando al máximo la fragmentación, incluso llegan a reubicar
archivos que han cambiado su tamaño

Utilizando las herramientas adecuadas es posible forzar la
fragmentación

9

Verificación

Recuperación de Datos:
File Carving y Archivos Fragmentados

Programa en ANSI C que utiliza la librería libsndfile

V.1.0.11 para verificar el formato de un archivo PCM
WAV.

Se utiliza la función sf_command con el flag

SFC_GET_LOG_INFO. Esto lee e imprime los metadatos
del archivo wav

10

Verificación

Recuperación de Datos:
File Carving y Archivos Fragmentados

11

Verificación

Recuperación de Datos:
File Carving y Archivos Fragmentados

Script en perl que utiliza el la herramienta que verifica la integridad
de un archivo con formato PCM WAV y segun la respuesta lo
clasifica en una de las 3 Categorías:

. Erróneo .Incompleto .Completo

12

Verificación

Recuperación de Datos:
File Carving y Archivos Fragmentados

13

Construcción de Casos

Recuperación de Datos:
File Carving y Archivos Fragmentados

Creación del espacio de pruebas

dcfldd ifif=/=/devdev//urandom
dcfldd

urandom ofof==fs.random.dd

fs.random.dd bsbs=1M

=1M count

count=45=45

Creación de los fragmentos

split --b 4k
split

b 4k --d d atlantis.jpg
atlantis.jpg

14

Construcción de Casos

Recuperación de Datos:
File Carving y Archivos Fragmentados

Archivo sin fragmentación

dd if=x00 of=fs.random.dd bs=4k seek=100 count=1 conv=notrunc
dd if=x01 of=fs.random.dd bs=4k seek=101 count=1 conv=notrunc
dd if=x02 of=fs.random.dd bs=4k seek=102 count=1 conv=notrunc
dd if=x03 of=fs.random.dd bs=4k seek=103 count=1 conv=notrunc

Archivo bi-fragmentado

dd if=x00 of=fs.random.dd bs=4k seek=200 count=1 conv=notrunc
dd if=x01 of=fs.random.dd bs=4k seek=201 count=1 conv=notrunc
dd if=x02 of=fs.random.dd bs=4k seek=202 count=1 conv=notrunc
dd if=x03 of=fs.random.dd bs=4k seek=206 count=1 conv=notrunc

15

Construcción de Casos

Recuperación de Datos:
File Carving y Archivos Fragmentados

Archivo incompleto

dd if=x00 of=fs.random.dd bs=4k seek=100 count=1 conv=notrunc
dd if=x01 of=fs.random.dd bs=4k seek=101 count=1 conv=notrunc

Archivo multi-fragmentado

dd if=x00 of=fs.random.dd bs=4k seek=200 count=1 conv=notrunc
dd if=x01 of=fs.random.dd bs=4k seek=202 count=1 conv=notrunc
dd if=x02 of=fs.random.dd bs=4k seek=204 count=1 conv=notrunc
dd if=x03 of=fs.random.dd bs=4k seek=206 count=1 conv=notrunc

16

Construcción de Casos

Recuperación de Datos:
File Carving y Archivos Fragmentados

Archivo secuencial con fragmentos en orden inverso

dd if=x03 of=fs.random.dd bs=4k seek=100 count=1 conv=notrunc
dd if=x02 of=fs.random.dd bs=4k seek=101 count=1 conv=notrunc
dd if=x01 of=fs.random.dd bs=4k seek=102 count=1 conv=notrunc
dd if=x00 of=fs.random.dd bs=4k seek=103 count=1 conv=notrunc

Archivo con fragmentos muy dispersos

dd if=x00 of=fs.random.dd bs=4k seek=300 count=1 conv=notrunc
dd if=x01 of=fs.random.dd bs=4k seek=350 count=1 conv=notrunc
dd if=x02 of=fs.random.dd bs=4k seek=400 count=1 conv=notrunc
dd if=x03 of=fs.random.dd bs=4k seek=450 count=1 conv=notrunc

Casos Patológicos

17

Fragmentación

Recuperación de Datos:
File Carving y Archivos Fragmentados

Volumen (C:)

Tamaño del volumen
Tamaño de clúster
Espacio utilizado
Espacio libre
Porcentaje de espacio disponible

Fragmentación del archivo

Cantidad de archivos
Tamaño promedio de archivo
Cantidad de archivos fragmentados
Cantidad de fragmentos en exceso
Promedio de fragmentos por archivo

= 35,00 GB
= 4 KB
= 18,92 GB
= 16,08 GB
= 45 %

= 263 KB

= 107.736
= 11.884
= 59.574
= 1,55

La fragmentación ocurre naturalmente

18

Estado del Arte

Recuperación de Datos:
Data Carving y Archivos Fragmentados

-Smart Data Carving

-Análisis de entropía (para encontrar límites entre archivos)

-In Place Carving

-Fast Object Validation

-Network Traffic Carving

-…

19

Herramientas

Recuperación de Datos:
Data Carving y Archivos Fragmentados

- Foremost

- Scalpel

- Encase

- WinHex

- FTK

- Entre otras…

20

Conclusiones

Recuperación de Datos:
Data Carving y Archivos Fragmentados

Los ejemplos, técnicas y demás mostrados en ésta conferencia, no son la
última palabra ni los únicos métodos prácticos para detectar tipos de archivos
en el mundo real. Sin embargo, la información suministrada pretende motivar
a los presentes a unir esfuerzos y proveer información para la generación de
futuros estudios

Se debe dar crédito a la idea que todos los patrones asociados a los datos
son una manera futura de identificar los formatos de archivos esperados

Se hace necesario modelar y construir mecanismos automatizados para que
las redes puedan reconocer ciertos tipos de patrones según los metadatos
asociados a los archivos

La técnicas anti-forenses están evolucionando a un ritmo muy acelerado

21

Trabajo Futuro

Recuperación de Datos:
Data Carving y Archivos Fragmentados

- Automatización en la identificación de formatos de
archivos utilizando machine learning(Técnicas de
Minería de Datos, Redes Neuronales, entre otros)

-Semantic Carving

-Identificación y reconstrucción de fragmentos basados
en el análisis de los mismos

22

Referencias

1. G.G. Richard III, V. Roussev, L. Marziale, "In-place File Carving," Research

Advances in Digital Forensics III, Springer, 2007.
http://www.cs.uno.edu/~golden/Stuff/ifip2007-final.pdf Consultado en mayo de
2007

2. G. G. Richard III,