Antes de empezar, he de aclarar que era "mi primera vez" en temas de informática forense, por tanto, seguramente hay opciones mejores (mejor software), pero después de leerme tropecientos cosas, esta fue mi solución al reto que había propuesto flu sobre BarceLOnas.
"""
Antes de continuar aquí tenéis la solución propuesta por ellos:
Antes de continuar aquí tenéis la solución propuesta por ellos:
"""
Como novato en la temática, ya he comentado que me ha
tocado leer bastante para saber por donde empezar. Entre las
recomendaciones de aplicaciones había una recurrente, ésta era
autopsy (en
kali ya viene instalada).
Su utilización no ha sido
excesivamente compleja, lo lanzamos desde la terminal (es decir,
lanzamos el servidor) y después desde el navegador nos
conectamos:
http://localhost:9999/autopsy
En esta aplicación creamos un nuevo caso y le asociamos un nombre.
A continuación pulsamos en add
host dos veces sin tocar nada hasta que nos preguntara por la
imagen a cargar. Aquí pulsamos en add image file y
especificamos la ruta de la imagen y en type marcamos particion.
Por último pulsamos add y seleccionando la partición sobre la que trabajaremos pulsamos en analyze.
En esta zona, a partir del submenú de arriba interaccionamos con la aplicación.
Pulsando en File Analisis nos
mostrará todos los archivos que ha encontrado junto con los
eliminados (éstos marcados en rojo). Estos últimos son los que nos
interesarán.
El que nos llama mas la atención es
Ututumbu.doc, ya que en la preview ofrecida por la aplicación
distinguimos la cadena "xl/media/Contabilidad.jpg".
Acto seguido vamos a recuperar el
archivo doc eliminado, para ello pulsamos en export y ya
lo tendremos disponible.
Al abrirlo con win-rar vemos una estructura de archivos, y si avanzamos en esta a la ruta que habíamos visto antes nos encontraremos con la imagen contabilidad.jpg la que nos muestrá dos direcciones con los regalos de nuestro amigo BarceLOnas ;)
He aquí los regalos ;)
Comparando ambas soluciones yo me deje dos cosas, la primera fue el contenido (el texto) del archivo doc que en realidad era un xlsx. Puesto que yo lo abrí sobre Kali (GNU/Linux) con Libreoffice y no con Office en Windows éste no me mostró ningún error y me abrió el archivo con Calc. Ya que no vi nada raro, tampoco preste atención al texto pues estaba buscando algo mas rebuscado, así que se me pasó :D
El segundo dato que ignoré fue la imagen de la casa, concretamente ésta:
De un primer momento sabia que la casa era "El palacio Real de Pedralbes" pues arrastrándolo a Google Imágenes ya mostraba esa información:
Pero claro, no iba a ser tan "obvio" y, puesto que recientemente me había estado empapando de temas similares, supuse que se trataba de File Carving. Dicha técnica consistía en esconder fragmentos de datos dentro de otros, dicho brútamente, meter archivos dentro de otros.
Leyendo más sobre el tema, resulta que la imagen contenedora podría sufrir fragmentación y perder calidad, un resultado muy similar a la imagen que teníamos, con lo que llegué a la irrefutable conclusión de que la imagen contenía otro archivo con los datos restantes para el reto y con esto, buscando dentro de la imagen "en busca del arca perdida" gasté horas, para obviamente no encontrar nada :D
En resumen, he aprendido mucho, he gastado una cantidad considerable de horas, pero muy divertido el reto. Espero en el próximo no pecar de novato.
Nos leemos en breve ;)
Aetsu
No hay comentarios:
Publicar un comentario