lunes, 23 de febrero de 2009

Cosas que ver en /proc

El sistema de ficheros /proc de Linux no es un sistema de ficheros normal. En su lugar se trata de un sistema de ficheros virtual, de forma que todo su contenido no existe físicamente en el disco, sino que habita únicamente en la memoria RAM del sistema.

A lo largo de las siguientes líneas vamos a analizar su contenido centrándonos básicamente en los ficheros y directorios que puedan ser de utilidad en un proceso de respuesta ante incidentes.

El sistema operativo que he utilizado para todas las pruebas es una Fedora Core 10, la cual dispone de un kernel 2.6.27, pero los resultados no deberían variar considerablemente para otras distribuciones, al menos para las que ejecuten un kernel 2.6.

Leer más...

martes, 17 de febrero de 2009

PTK, primeras impresiones

A raíz de este hilo, desarrollado en las tierras de Wadalbertia, renació mi interés por una herramienta que llevaba algún tiempo en mi lista de "juegos", PTK. Se trata de una interfaz web para el uso de los binarios que conforman el sleuthkit. Y quizás algunos os preguntaréis, ¿qué necesidad había si esa funcionalidad ya estaba cubierta por autopsy?

Eso mismo era lo que yo me preguntaba, pero después de probarla y analizarla un poco más a fondo he aprendido a valorarla tal y como se merece, y de eso trata este artículo, de las nuevas características y funcionalidades ofrecidas por PTK, que son muchas y muy potentes.

Sirva como pequeña introducción al uso de las herramientas sleuthkit y autopsy el siguiente documento, el cual escribi hace ya algun tiempo.

Leer más...

domingo, 8 de febrero de 2009

Data carving

Segun la definición del dfrws2006 el data carving sería:

"el proceso de extraer una serie de datos de un gran conjunto de datos. La técnica de data carving se utiliza habitualmente durante una investigación digital cuando se analiza el espacio no ubicado de un sistema de ficheros para extraer archivos. Los archivos son 'desenterrados' del espacio no ubicado utilizando valores para las cabeceras y piés específicos del tipo de archivo. Las estructuras manejadas por el sistema de ficheros no son tenidas en cuenta durante el proceso"

Tal y como se desprende de la anterior definición, un concepto estrechamente relacionado con el data carving sería el de cabecera y pié de fichero. Los ficheros que maneja cualquier sistema operativo no son mas que bloques de datos binarios con un formato determinado. Los ficheros pueden o no tener una extensión (p.e. txt) que se utiliza para identificar el tipo de fichero de que se trata, pero este no es un dato determinante. En su lugar, el tipo de fichero puede identificarse inequívocamente analizando lo que se conoce como magic numbers.

Leer más...