07/02/14 ADQUISICIN DE FICHEROS BLOQUEADOS ~ ConexionInversa

conexioninversa.blogspot.com.es/2014/01/adquisicion-de-ficheros-bloqueados.html 1/3
"Pure Forensics"
.
ADQUISICIN DE FICHEROS BLOQUEADOS
4:30:00 p. m. 0 comments
Hola lectores,
Uno de los problemas que nos encontramos a la hora de realizar un anlisis forense en la obtencin o
adquisicin de discos y archivos, es encontrarnos con ficheros bloqueados o abiertos por una aplicacin o
dependiendo del caso por el propio sistema operativo.
Las soluciones son sencillas cuando hay que hacer un clonado y podemos apagar el dispositivo a copiar,
pero no lo es tanto cuando el equipo debe de estar encendido. Por ejemplo en Windows un motivo
fundamental para la realizacin de un buen anlisis consiste en la obtencin de ficheros HIVE y los registros
de log del sistema.
Ambos proporcionan datos muy valiosos y pueden esclarecer tanto lo que hizo un usuario y que ocurri en el
sistema. El problema radica cuando se copian, dado que al ser ficheros utilizados por el sistema este los
bloquea.
Bloqueo en la copia de NTUSER.DAT
UTILIDADES AL RESCATE
Para la adquisicin de estos ficheros en un sistema vivo existen varias herramientas que recomiendo
encarecidamente.
FTK IMAGER LITE
http://www.accessdata.com/support/product-downloads
Hemos hablado mucho y muy bien en anteriores post sobre ella. Esta utilidad permite recuperar (entre otras
cosas) cualquier fichero del sistema, incluido la $MFT, $JOURNAL, NTUSER.DAT, etc.
Popular Tags Blog Archives
Pentester.es
Vulnerabilidad en el iBoot de iPhone 4S -
Hace unos pocos das pudimos ver en
Twitter como un conocido Jailbreaker,
*iH8sn0w*, comentaba haber encontrado
una vulnerabilidad en los dispositivos con
Search
QUIEN SOY?
Pedro Snchez Cordero
He trabajado en importantes empresas
como consultor especializado en Computer
Forensics, Honeynets, deteccin de
intrusiones, redes trampa y pen-testing. He
implantado normas ISO 27001, CMMI (nivel
5), PCI-DSS y diversas metodologas de
seguridad especialmente en el sector
bancario durante mas de diez aos.
Tambin colaboro sobre seguridad, peritaje
y anlisis forense informtico con diversas
organizaciones comerciales y con las
fuerzas y empresas de seguridad del
estado, especialmente con el Grupo de
Delitos Telemticos de la Guardia Civil
(GDT), la Brigada de Investigacin
Tecnolgica de la polica nacional (BIT),
INTECO y Ministerio de Defensa.
He participado en las jornadas JWID/CWID
organizadas por el ministerio de defensa,
en donde obtuve la certificacin OTAN
SECRET.
Actualmente soy miembro de la Spanish
Honeynet Project, fundador de Conexin
Inversa y trabajo como Information
Security and Forensics Consultant para dos
grandes compaas como Google Inc. y
SAYTEL.
Tambin soy Perito Judicial Informtico
adscrito a la Asociacin Nacional de
Ciberseguridad y Pericia Tecnolgica.
(ANCITE).
Si quieres saber ms sobre mi pulsa aqu
PRXIMOS CURSOS Y PONENCIAS:
1.- SEMINARIO SOBRE PREVENCIN DEL
FRAUDE, ANLISIS FORENSE Y
CIBERSEGURIDAD, 17 y 18 de Enero, Logroo
2.- FORENSICS DAY, 13 de Febrero, Zaragoza
3.- CONGRESO ANUAL - HACKRON, 28 de
Febrero, Canarias
4.- FORENSICS TRAINING ACCESSDATA, 13
de Marzo, Madrid
MI LISTA DE BLOGS
07/02/14 ADQUISICIN DE FICHEROS BLOQUEADOS ~ ConexionInversa
conexioninversa.blogspot.com.es/2014/01/adquisicion-de-ficheros-bloqueados.html 2/3
Es una utilidad muy til para equipos individuales pero se convierte en tediosa cuando tenemos que
automatizar procesos en mltiples ficheros o diferentes unidades de disco.
RAWCOPY
http://reboot.pro/files/download/318-rawcopy/
Ofrece un enfoque ms sencillo y ms seguro. Se trata de una herramienta basada en la consola. Es de
cdigo abierto y copia archivos NTFS mediante el acceso a disco en bajo nivel, por encima de todas las
restricciones habituales. Si el archivo est bloqueado por una aplicacin y Windows no tiene los permisos
necesarios, no hay problema: RawCopy lo copiar independientemente.
Lo importante de utilizar esta herramienta es no equivocarse con la sintaxis exacta. El parmetro de origen
debe incluir una ruta completa (no relativa), el destino no puede incluir un nombre de archivo, debe ser slo
una ruta y como de costumbre con programas de la consola, si los parmetros de origen o de destino
contiene espacios, entonces hay que poner comillas.
Por ltimo y no por ello la ms importante tenemos a HDD Raw Copy Tool.
HDD RAW COPY TOOL
http://hddguru.com/software/HDD-Raw-Copy-Tool/
Esta herramienta crea una copia sector por sector de todas las reas del disco duro (MBR, registros de
arranque, todas las particiones, as como espacios intermedios) sin preocuparse del sistema operativo ni
particiones (incluyendo las ocultas).
Adems, HDD Raw Copy puede crear una copia exacta (dd) o imagen comprimida de la totalidad de los
dispositivos de disco.
Entre sus usos se puede encontrar:
Recuperacin de datos: permite realizar una copia de la unidad daada e intentar la recuperacin
con la copia.
Recuperacin de datos: permite copiar un disco duro daado y omitir los sectores defectuosos.
Migracin: migrar completamente de un disco duro a otro.
Copia de seguridad final: Hacer una copia exacta del disco duro para usos futuros.
Copia de seguridad: crear una imagen de un USB y copiar / restaurar en cualquier momento.
Duplicar / Clonar / Guardar imagen completa de todo tipo en cualquier dispositivo.
...
Hace 5 horas
Security By Default
Ms de un tercio de las aplicaciones de tu
mvil pueden geolocalizarte - Demoledor
estudio de Bitdefender y Zscaler sobre
privacidad en aplicaciones mviles, que
pone encima de la mesa un montn de
datos bastante interesantes a...
Hace 8 horas
Un informtico en el lado del mal
RootedLabs, RootedCon, CiberGuerra,
Hacrkon y ms - A partir de la semana que
viene se me acelera el calendario hasta
mediados del mas de Marzo con un
montn de eventos, conferencias y cursos
que me van a te...
Hace 9 horas
SANS Computer Forensics,
Investigation, and Response
"FOR526 (Memory Forensics) Course
Updates - Live at DFIRCON!" - Alissa
Torres and Jake Williams recently updated
the material in FOR526 just in time for
DFIRCON. Previously, FOR526 focused
largely on malware investigati...
Hace 4 das
Windows Incident Response
Book Review: Cloud Storage Forensics - I
had an opportunity to review Cloud Storage
Forensics recently, and I wanted to provide
my thoughts on the contents of the book. I
generally don't find ...
Hace 2 semanas
Blog
Securzame, patrocinador de las I
Jornadas de Prevencin del Fraude y del
Cibercrimen - Desde Securzame, junto a
nuestro partner Conexin Inversa,
tenemos el placer de anunciar el
patrocinio de las I Jornadas de Prevencin
del Fraude y del Ci...
Hace 3 semanas
InfoSpyware
IFS (InfoSpyware First Steps) - IFS
(InfoSpyware First Steps) es nuestra
pequea herramienta de primeros pasos,
desarrollada para generar un reporte de
informacin de diferentes puntos ...
Hace 3 meses
Neo System Forensics
Analizando un trozito de memoria - El
contenido de este artculo se corresponde
con mi propuesta de solucin a la prueba
de anlisis forense planteada por el
inteco. Los ficheros correspondien...
Hace 7 meses
El diario de Juanito
Webcast: Anlisis de Malware con
Sysinternals - Hola a tod@s! La semana
que viene, ms concretamente el martes
24 de Julio a las 16:00, tendr el gusto de
dar otro Webcast sobre anlisis de
Malware orien...
Hace 1 ao
Blog Archive
Aceptar Leer ms
Uso de cookies
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y la utilizamos
con fines estadsticos, como por ejemplo el nmero de accesos al blog. Si contina
navegando, consideramos que acepta su uso. Puede obtener ms informacin, o bien
conocer cmo cambiar la configuracin, en nuestra Poltica de cookies