Scribd
Cargar
146 vistas31 páginas

Taller - The Sleuth Kit

El documento describe las herramientas The Sleuth Kit, que permiten el análisis forense de sistemas de archivos. Incluye herramientas para examinar metadatos, unidades de datos y estructuras de gestión de medios. Se explican las herramientas mmls, fls, mactime, icat y cómo usar TSK junto con netcat para recuperar archivos.

Cargado por

Jeler Vásquez Cobos
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
146 vistas31 páginas

Taller - The Sleuth Kit

El documento describe las herramientas The Sleuth Kit, que permiten el análisis forense de sistemas de archivos. Incluye herramientas para examinar metadatos, unidades de datos y estructuras de gestión de medios. Se explican las herramientas mmls, fls, mactime, icat y cómo usar TSK junto con netcat para recuperar archivos.

Cargado por

Jeler Vásquez Cobos
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 31

Taller

The Sleuth Kit

Ing. Jeler Vásquez


The Sleuth Kit

◼ Antecedentes
◼ Introducción
◼ mmls y mstat
◼ fls, mactime e icat
◼ TSK y netcat
◼ tsk_recover e icat
Antecedentes

◼ Metadatos
❖ Los metadatos son “datos sobre datos”, esto quiere
decir que son datos que a primera vista no son
visibles pero que si se revisan se pueden obtener.
❖ Información que incluye:
✓ Nombre del archivo
✓ Extensión del archivo
✓ Tamaño del archivo
✓ Valor hash
✓ Fecha del ultimo acceso
✓ Fecha de creación
✓ Fecha de la ultima modificación
Antecedentes

◼ MAC Times:
❖ Cada entrada del Sistema de Archivo mantiene tres

fechas y horas de todas las entradas que se


encuentran en este (archivos, directorios, links, etc.).
❖ Éstos son muy importantes en el análisis de
máquinas comprometidas o analizadas.
MAC Times Descripción
Modificación (Modification) Cambios en el archivo o directorio a nivel de
su contenido
Acceso (Access) Acciones de lectura, escritura (puede no
implicar cambio), etc
Cambio (Change) Cambio a nivel de las características del
archivo (permisos, usuario propietarios, etc.)
Antecedentes

mtime - modificación

atime - ultimo acceso Creación de archivo


ctime - cambio

mtime - modificación

atime - ultimo acceso Visualización de


archivo
ctime - cambio

mtime - modificación

atime - ultimo acceso Modificación de


archivo
ctime - cambio

mtime - modificación

atime - ultimo acceso Cambio de permisos


de archivo
ctime - cambio
Antecedentes
Antecedentes

md5sum /dev/sdc

md5sum /dev/sdb

md5sum imagen.dd

Evidencia
The Sleuth Kit

◼ Antecedentes
◼ Introducción
◼ mmls y mstat
◼ fls, mactime e icat
◼ TSK y netcat
◼ tsk_recover e icat
Introducción

The Sleuth Kit


Colección de herramientas de análisis forense de
sistemas de archivos para sistemas UNIX y
Windows. Las herramientas permiten al investigador
ver los datos borrados y las estructuras de bajo
nivel en el sistema de archivos.

Las herramientas están organizadas en las capas


de un sistema de archivos básico, y la primera letra
de cada herramienta corresponde a la capa a la que
pertenece.
Herramientas TSK

Capa Sistema de Archivos


Llevan a cabo el tratamiento general de los datos de los sistemas
de archivos, incluyendo el diseño y las estructuras de asignación
fstat: Muestra detalles del sistema de archivos y
estadísticas, incluyendo el diseño, tamaño y
etiquetas.
ffind Busca nombres de archivos asignados y no
asignados desde un punto en la estructura de
metadatos.
fls listas los nombres de archivos y directorios de una
imagen analizada.
Herramientas TSK

Capa Unidad de Datos


Realiza el procesamiento de las unidades de datos en la que el
contenido del archivo se guardan (clusters FAT y NTFS, y UFS,
bloques/fragmentos EXT2 y EXT3).
blkcat Extrae el contenido de una unidad de archivo.
blkls Lista detalles acerca de las unidades de datos y puede
extraer el espacio no asignado de un sistema de
archivos.
blkstat Muestra las estadísticas acerca de una unidad de
archivo en el formato de lectura humana.
blkcalc Calcula donde los datos de una imagen los espacios
no asignados (generados a partir de un archivo DLL)
están en la imagen original.
Herramientas TSK

Herramientas Metadatos
Llevan a cabo el procesamiento de la estructura de metadatos,
almacenamiento de los detalles sobre los archivos.
icat Extractos unidades de datos desde un archivo
especificado por una dirección de metadatos (número
de i-nodo).
ifind Búsquedas de una estructura de metadatos.
ils Muestra una estructura de metadatos y su contenido
en un formato delimitado por tubería.
istat Muestra las estadísticas y los detalles de un
metadatos.
Herramientas TSK

Herramienta Gestión de Medios


Estas herramientas reciben una imagen de disco como entrada y
analizan la estructura de gestión en los que se organizan.
mmls Muestra un diseño de disco, incluyendo espacios no
asignados. La salida identifica un tipo de partición y
su tamaño, con el fin de facilitar el uso de dd para
extraer particiones. La salida se clasifica sobre la
base de un sector de arranque con el fin de facilitar la
identificación de la disposición.
hfind Utiliza un algoritmo de clasificación binaria para
encontrar hashes.
Herramientas TSK

Herramienta Gestión de Medios


Estas herramientas reciben una imagen de disco como entrada y
analizan la estructura de gestión en los que se organizan.
mactime Usa las herramientas de salida fls e ils como entrada
para crear una línea de tiempo de actividad de un
archivo.
sorter Clasifica los archivos en función de su tipo y realiza
comprobaciones de extensión y controles de base de
datos de hash.
The Sleuth Kit

◼ Antecedentes
◼ Introducción
◼ mmls y mstat
◼ fls, mactime e icat
◼ TSK y netcat
◼ tsk_recover e icat
mmls y mstat
mmls y mstat
The Sleuth Kit

◼ Antecedentes
◼ Introducción
◼ mmls y mstat
◼ fls, mactime e icat
◼ TSK y netcat
◼ tsk_recover e icat
fls, mactime e icat
fls, mactime e icat
fls, mactime e icat
fls, mactime e icat
The Sleuth Kit

◼ Antecedentes
◼ Introducción
◼ mmls y mstat
◼ fls, mactime e icat
◼ TSK y netcat
◼ tsk_recover e icat
TSK y netcat
TSK y netcat
TSK y netcat
TSK y netcat
The Sleuth Kit

◼ Antecedentes
◼ Introducción
◼ mmls y mstat
◼ fls, mactime e icat
◼ TSK y netcat
◼ tsk_recover e icat
tsk_recover e icat
tsk_recover e icat
Host: RedHat 7 Host: SIFT3

Transferencia
Netcat

192.168.1.10 192.168.1.12

También podría gustarte