Montaje de Imágenes Forenses Cifradas Con Bitlocker

Montaje de imágenes forenses cifradas con bitloc... https://dvirus.training/2020/01/22/montaje-de-im...
FORENSICS < HTTPS://DVIRUS.TRAINING/CATEGORY/FORENSICS/>
Montaje de imágenes forenses cifradas con bitlocker
By dvirus < https://dvirus.training/author/dvirus/>
22 enero, 2020 < https://dvirus.training/2020/01/22/montaje-de-imagenes-forenses-

cifradas-con-bitlocker/>
No hay comentarios < https://dvirus.training/2020/01/22/montaje-de-imagenes-

forenses-cifradas-con-bitlocker/#respond>
1 of 10 1/25/20, 3:40 PM
En este artículo les explicaré como montar una imagen forense de

disco en formato EWF cifrada con bitlocker.
Preparación:
Para desarrollar este proceso necesitamos:
La imagen forense en formato ewf (Expert Witness Disk Image

Format )
La clave de recuperación de la unidad de cifrado, esta se genera

cuando se cifra el disco y debe ser suministrada por el dueño o
administrador del equipo.
2 of 10 1/25/20, 3:40 PM
Herramientas
Instalamos dislocker y las herramientas para operar los archivos EWF
sudo apt install ewf-tools dislocker
Montaje:
Creamos una carpeta en la cuál montaremos la imagen forense.
sudo mkdir /mnt/ewfimages
Verificamos la información de la imagen suministrada.
ewfinfo ForensicImage.E01
3 of 10 1/25/20, 3:40 PM
Montamos la imagen en la carpeta creada previamente
sudo ewfmount ForensicImage.E01 /mnt/ewfimages/
listamos el contenido de la carpeta y encontraremos el archivo ewf1
sudo ls -lh /mnt/ewfimages
Validamos la tabla de particiones de la imagen
sudo gparted /mnt/ewfimages/ewf1
gparted nos mostrará una partición con el sistema de archivos

bitlocker, en este caso /mnt/ewfimages/ewf1p4
4 of 10 1/25/20, 3:40 PM
Una vez identificada la partición que está cifrada con bitlocker damos
doble clic.
Copiamos el valor correspondiente al primer sector para calcular el

offset, este valor también lo podemos obtener con fdisk.
sudo fdisk -l /mnt/ewfimages/ewf1
5 of 10 1/25/20, 3:40 PM
Antes de intentar montar la partición analizaremos la metadata de la

partición cifrada, para este propósito usaremos dislocker-metadata, a
este comando le pasamos el offset -o y el volumen -V. El 512
corresponde al tamaño de cada sector, cuál pueden confirmar con el
comando fdisl -l.
sudo dislocker-metadata -o $((1490944*512)) -V

/mnt/ewfimages/ewf1
Hemos confirmado la existencia del volumen cifrado con bitlocker,

ya es hora de montar la partición.
Creamos un punto de montaje para alojar el archivo de dislocker.
sudo mkdir decrypted_volume
Ejecutamos dislocker-fuse para crear un archivo virtual y de esta

forma operar el disco. El archivo virtual creado con FUSE es una
6 of 10 1/25/20, 3:40 PM
representación virtual del volumen descifrado.
sudo dislocker-fuse -p -O $((1490944*512)) -V

/mnt/ewfimages/ewf1 decrypted_volume/
Si la ejecución es correcta, el sistema nos solicitará la clave de

recuperación de bitlocker.
Ingresamos la clave, y si esta es correcta se creará un archivo llamado

dislocker-file.
sudo ls -lh decrypted_volume
Con este archivo podemos ejecutar las actividades forenses usando

Sleuth Kit como lo vimos en este artículo < https://dvirus.training
/2020/01/09/analisis-y-recuperacion-de-archivos-con-tsk/> .
sudo fsstat decrypted_volume/dislocker-file
7 of 10 1/25/20, 3:40 PM
Si queremos montar el sistema de archivos para interactuar con los

archivos, ejecutamos los siguientes comandos.
Creamos una carpeta en un disco con suficiente espacio disponible,

preferiblemente un disco externo.
mkdir Files_Decrypted
Montamos la unidad
sudo mount -o loop,ro decrypted_volume/dislocker-

file Files_Decrypted/
En la carpeta Files_Decrypted se encontrarán todos los archivos. Una

vez finalicemos el análisis forense o la inspección del disco,
desmontamos las unidades.
8 of 10 1/25/20, 3:40 PM
sudo umount Files_Decrypted
rm -rf Files_Decrypted/
sudo fusermount -u decrypted_volume
rm -rf decrypted_volume/
Este procedimiento también se puede realizar para imagenes en crudo

(RAW) en ese caso no hay que ejecutar los primeros pasos y se inicia
desde la identificación del offset.
Referencias:
Practical Forensic Imaging, Bruce Nikkel 2016
← Análisis < < Solución →

estático dehttps://dvirus.trai https://dvirus.trai de error
binarios ning/2020/01 ning/2020/01 al
PE desde /18/analisis-de- /23/solucion-de- graficar
linux binarios-pe- error-al-graficar- funciones
desde-linux/> funciones-en- en IDA
ida/>
9 of 10 1/25/20, 3:40 PM
© 2020 D-Virus | DFIR < Powered by WordPress < To the

https://dvirus.training/> https://wordpress.org/> top ↑
10 of 10 1/25/20, 3:40 PM

Montaje de Imágenes Forenses Cifradas Con Bitlocker

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Montaje de Imágenes Forenses Cifradas Con Bitlocker

Încărcat de

Drepturi de autor:

Formate disponibile

Montaje de imágenes forenses cifradas con bitloc... https://dvirus.training/2020/01/22/montaje-de-im...

FORENSICS < HTTPS://DVIRUS.TRAINING/CATEGORY/FORENSICS/>

Montaje de imágenes forenses cifradas con bitlocker

By dvirus < https://dvirus.training/author/dvirus/>

22 enero, 2020 < https://dvirus.training/2020/01/22/montaje-de-imagenes-forenses-

No hay comentarios < https://dvirus.training/2020/01/22/montaje-de-imagenes-

En este artículo les explicaré como montar una imagen forense de

Para desarrollar este proceso necesitamos:

La imagen forense en formato ewf (Expert Witness Disk Image

La clave de recuperación de la unidad de cifrado, esta se genera

Instalamos dislocker y las herramientas para operar los archivos EWF

sudo apt install ewf-tools dislocker

Creamos una carpeta en la cuál montaremos la imagen forense.

sudo mkdir /mnt/ewfimages

Verificamos la información de la imagen suministrada.

Montamos la imagen en la carpeta creada previamente

sudo ewfmount ForensicImage.E01 /mnt/ewfimages/

listamos el contenido de la carpeta y encontraremos el archivo ewf1

sudo ls -lh /mnt/ewfimages

Validamos la tabla de particiones de la imagen

sudo gparted /mnt/ewfimages/ewf1

gparted nos mostrará una partición con el sistema de archivos

Copiamos el valor correspondiente al primer sector para calcular el

sudo fdisk -l /mnt/ewfimages/ewf1

Antes de intentar montar la partición analizaremos la metadata de la

sudo dislocker-metadata -o $((1490944*512)) -V

Hemos confirmado la existencia del volumen cifrado con bitlocker,

Creamos un punto de montaje para alojar el archivo de dislocker.

sudo mkdir decrypted_volume

Ejecutamos dislocker-fuse para crear un archivo virtual y de esta

representación virtual del volumen descifrado.

sudo dislocker-fuse -p -O $((1490944*512)) -V

Si la ejecución es correcta, el sistema nos solicitará la clave de

Ingresamos la clave, y si esta es correcta se creará un archivo llamado

sudo ls -lh decrypted_volume

Con este archivo podemos ejecutar las actividades forenses usando

sudo fsstat decrypted_volume/dislocker-file

Si queremos montar el sistema de archivos para interactuar con los

Creamos una carpeta en un disco con suficiente espacio disponible,

sudo mount -o loop,ro decrypted_volume/dislocker-

En la carpeta Files_Decrypted se encontrarán todos los archivos. Una

sudo umount Files_Decrypted

sudo fusermount -u decrypted_volume

Este procedimiento también se puede realizar para imagenes en crudo

Practical Forensic Imaging, Bruce Nikkel 2016

← Análisis < < Solución →

© 2020 D-Virus | DFIR < Powered by WordPress < To the

S-ar putea să vă placă și