File Carving (recuperación de archivos borrados), Bulk extractor entre otras cosas.
LINKS y COMANDOS IMPORTANTES
Código: Seleccionar todo
hdparm -I /dev/sdd
Para obtener info de donde esta montado el disco (antes montarlo via escritorio remoto)
df -h
Comando para crear una imagen del disco en un dispositvo externo
/dev/sdc1 932G 586M 931G 1% /media/rogerio24/01D894C0531ADA10
dc3dd if=/dev/sda hof=/media/rogerio24/01D894C0531ADA10/pcimg/maquina.img hash=sha512
/media/rogerio24/01D894C0531ADA10/maquina.img
instlar el comando dc3dd
https://installati.one/install-dc3dd-kalilinux/?expand_article=1
-------------------------------------------------------------------------------------------------------------
Obtener imagen en celular android
Reconocer el equipo conectado al kali (tiene que estar rooteado el equipo y tienen que entrar en el modo recovery boot)
mostrar que dice "recovery"
adb devices
Acceder al shell
adb shell
Tirar comandos
uname -a
ls -l
Tirar el siguiente comando
ls /data/data
salir del adb y tirar el siguiente comando para copiar toda la data de las apps y base de datos del android a una carpeeta de nuestra pc
adb pull -p /data/data /home/rogerio24/
subir el comando dc3dd a la memoria sd del movil
https://github.com/jakev/android-binaries
adb push dc3dd /external_sd
adb shell
determinamos que disco o flash memory total principal
mmcblk0
ls /dev/block
montamos la sdcard para poder ejecuntar el comando que nos permite generar la imagen
el comando como pueden ver esta ela memoria sd del movil
mount -o remount,rw,exec /external_sd/
es el mismo comando que en el disco duro pero con la diferencia
que al tener una memoria sd formateada en fat32, la imagen no pude ser superior
a 4 gigas, el tamaño del archivo, entonces lo dividimos en partes
./dc3dd if=/dev/block/mmcblk0 hofs=movil.img.00 ofsz=3G hash=sha512
si no tenes la porqueria de fat 32 tira este
./dc3dd if=/dev/block/mmcblk0 hof=movil.img hash=sha512
extraer la info de la particion de la data, para saberlo tenemos que ejecutar el siguiente comando
cat /proc/mounts
./dc3dd if=/dev/block/dm-0 hofs=movildata/movildata.img.00 ofsz=3G hash=sha512
adb pull -p /external_sd/flashmemory /media/rogerio24/01D894C0531ADA10/flashmemory
adb pull -p /external_sd/datapartition /media/rogerio24/01D894C0531ADA10/appsandroid
Creacion de una imagen de un pendrive with guymager
es una app visual via kali linux
----------------------------------------------------------------------------------------------------------------------------------------------
Analisis de las imagenes con las herramientas
Sleuth kit
------------
Primer caso imagen del sistema operativo
es para determinar la tabla de particiones y ver donde comienza y su tamaño
img_stat maquina.img
mmls maquina.img
Detalles del file system metada de esa particion con ese file system
el numero es el sector donde empieza la particion o el file system de esa particion
fsstat -o 0000239616 maquina.img
fsstat -o 0333686784 maquina.img
Listamos archivos y directorios de esa particion con ese sistema de archivos, algunos son ocultos, vemos
en resumidas cuentas tambien algo de la metaadata el file system (en directorio root)
fls -o 0000239616 maquina.img
inode
fls -o 0000239616 maquina.img 565996
fls -o 0333686784 maquina.img
Ver directorios borrrados en esa particicion
fls -o 0000239616 -rdp maquina.img
fls -o 0333686784 -rdp maquina.img
mas informacion de la particion
en este caso como esa estructura esta dividida en el dispositivo del almacenamiento
istat -o 0000239616 maquina.img 0
istat -o 0333686784 maquina.img 1
--------------
Imagen del celular
adb pull -p /external_sd /media/rogerio24/01D894C0531ADA10
img_stat movil.img.*
mmls movil.img.*
fsstat -o 0000023808 movil.img.*
fls -o 0000023808 movil.img.*
particion de datos del celular
imagen del pendrive
img_stat pendrivetest.E0*
mmls pendrive.E0*
fsstat -o 0000002048 pendrivetest.E0*
fls -o 0000002048 pendrivetest.E0*
----------------------------------------------------------------------------------------------------
Filecarving
de la imagen del pendrive
ver archivos borrados
fls -o 0000002048 -rdp pendrive.E0*
los sectores del disco que ocupa
istat -o 0000002048 pendrive.E0* 60112435
y recuperar el archivo exe
icat -o 0000002048 -r pendrive.E0* 60112435 > test.exe
exiftool test.exe
Usaremos la imagen de la particion del movil para recuperar
archivos
foremost -o recovery -i movildata.img.*
rm -r recovery
foremost -o recovery -i movildata.img.* -t pdf
rm -r recovery
foremost -o recovery -i movildata.img.* -t jpeg
rm -r recovery
scalpel -o prueba46 movildata.img.*
bulk_extractor -o probando movildata.img.*
links
https://s3.amazonaws.com/acmelabs-galleries/48/0000/2352/forensic_cheatsheet.pdf
http://www.sleuthkit.org/sleuthkit/man/fls.html
Digital Forensics Analysis with Kali Linux: Recovering Deleted Files | Professional Tutorial Guide,Digital Forensics Analysis using Kali Linux,Recovering Deleted Files: A Forensic Approach with Kali Linux,Kali Linux for Digital Forensics: Tips and Techniques,Mastering Digital Forensics on Kali Linux ,Uncovering Hidden Evidence: A Guide to Digital Forensics with Kali Linux ,Advanced Techniques for File Recovery on Kali Linux ,The Power of Kali Linux in Digital Forensic Investigations ,Analyzing and Retrieving Deleted Data with Kali Linux ,Navigating the World of Digital Forensics with Kali Linux ,Examining Deleted Files: A Step-by-Step Guide on Kali Linux,Recovering Deleted Files: A Professional Guide Using Kali Linux,Uncovering Deleted Data: An In-Depth Look at Kali Linux for Digital Forensics,Cyber Investigations Made Easy with Kali Linux’s Digital Forensics Tools,The Power of Kali Linux in Digital Forensics: Recovering Deleted Files ,Enhance Your Digital Forensics Skills with Kali Linux ,Unveiling Deleted Data: A Step-by-Step Guide Using Kali Linux ,Taking a Deep Dive into Digital Forensics with Kali Linux,Forense Informático,Recuperación De Datos,Herramientas Forenses,Como crear una imagen del disco,Auditoría De Imágenes,Sistemas De Archivos,Análisis De Datos,Informática Forense,TecnologíDigital,Seguridad Informática,Cybersecurity,Ciberseguridad,Como extraer o generar una imagen de un dispositivo de almacenamiento | Memoria Flash,Introduction to Digital Forensics,Forensic Imaging,Drive Imaging,Android Drive Imaging,Image Acquisition with Guymager,File Analysis Tools,Extracting Data,Introducción a la ciencia forense digital,Imágenes forenses,Imágenes de unidad,Imágenes de unidad Android,Adquisición de imágenes con Guymager,Herramientas de análisis de archivos,Extrayendo datos,Kali Linux Tutorial,Herramientas Forenses,Guymager Tutorial,SleuthKit Explicado,FileCarving Técnica,Auditoría Digital,Particiones De Disco Exploradas,Forense Informática Explicada,Análisis De Sistemas De Archivos,Tecnología Forense,Ciberseguridad Explicada,InformáticaLegal,Curso de Informática Forense,proceso de recopilar, analizar y preservar datos electrónicos ,Investigacion forense,Digital forensics is a branch of forensic science that focuses on identifying, acquiring, processing, analysing, and reporting on data stored electronically,La ciencia forense digital es una rama de la ciencia forense que se centra en identificar, adquirir, procesar, analizar e informar sobre datos almacenados electrónicamente.,What is Digital Forensics,Understanding Digital Forensics