Identificación de archivos en imágenes forenses con sorter

En la entrada anterior realizamos una introducción a The Sleuth Kit para el análisis de imágenes forenses. En esta entrada hablaremos de la herramienta sorter, una utilidad de TSK para el análisis y recuperación de archivos.

sorter es un script en Perl que forma parte de TSK, sorter analiza el sistema de archivos para organizarlos según el tipo. Básicamente lo que hace es ejecutar el comando file en cada archivo y los organiza con base en una serie de reglas establecidas en los archivos de configuración.

Los archivos de configuración que usa sorter por defecto se encuentran en la ruta donde está instalado TSK, para identificar los archivos de configuración ejecutamos el comando locate sorter

Los archivos de configuración contienen una serie de reglas donde se definen las categorías y los tipos de archivo correspondientes.

Si queremos generar un listado de todos los archivos por tipo con su respectivo hash, ejecutamos:

sorter -o 3096576 -f ntfs -d recovered_files/ -sha1 Case01.raw

Nota: El número de offsed utilizado en este ejercicio lo obtuvimos del ejercicio anterior

-o: el offset
-f: el tipo de sistema de archivos
-d: la carpeta en la cual se almacenarán los resultados (si no existe, hay que crearla)
-sha1 genera un hash SHA-1 de cada archivo

Al ejecutar el comando aparecerá el siguiente mensaje:

sorter creará la siguiente estructura

Los archivos .txt generados contienen el tipo de archivo, el inodo, y el hash

Recuperación de Archivos

Sorter puede recuperar archivos y guardarlos en carpetas asociadas al tipo de archivo, a continuación veremos como se ejecuta el proceso.

Nota: Para ejecutar este proceso asegúrese de que cuenta con espacio suficiente en disco, se recomienda recuperar los archivos en un medio extraíble.

sorter -o 3096576 -f ntfs -d recovered_files/ -sha1 -s Case01.raw

Si pasamos el parámetro -s los archivos serán recuperados en la carpeta indicada. Por lo que la estructura cambiará a:

Los archivos .txt incluirán la ruta y el archivo recuperado

Sorter tiene la capacidad de validar los hashes contra librerías o bases de datos NSRL (National Software Reference Library), para realizar esta comparación es neceario contar con una base se datos las cuales se pueden descargar del sitio de NIST y utilizar el parámetro -n y el nombre de la librería (NSRLFile.txt).

Si queremos que sorter alerte si identifica un hash malicioso agregamos el parámetro -a, cuando realiza esta comparación e identifica un hash que esté referenciado en la librería NSRL genera una entrada en el archivo alerts.txt

En el sitio de NIST se encuentan las instrucciones para procesar el archivo NSRL.

Referencias:

man sorter

Deja un comentario