Análisis forense digital y los mejores aspectos de las técnicas de recuperación de datos

Introducción a las técnicas de recuperación de datos -

Las técnicas de recuperación de datos son una parte esencial de la ciencia forense digital. No solo es esencial para los hackers éticos y los probadores de penetración, sino también para las personas normales en nuestra vida cotidiana. La mayoría de ustedes incluso puede pensar que una vez que ha formateado su disco duro o su teléfono celular, todos sus datos se han ido. Pero ese no es el hecho real. Los datos se pueden recuperar de cualquier manera. Además, si solo se trata de formatear, las técnicas de recuperación de datos son una tarea fácil y se pueden hacer con herramientas simples y gratuitas disponibles en línea. Pero para las personas novatas que no tienen ni idea de esto, las técnicas de recuperación de datos pueden ser una situación de ruptura.

Es posible que algunos de ustedes ni siquiera sepan qué son las técnicas de recuperación de datos y cuáles son los aspectos del análisis forense digital. Entonces, echemos un vistazo más profundo a eso.

Forense digital

Entonces, la mayoría de ustedes puede pensar que una vez que tienen una unidad de disco duro protegida con contraseña, sus datos están protegidos. Y si eliminas todo y luego lo formateas de nuevo, pensarías que se ha ido, ¿eh? Pero ese no es el caso. Y aquí es donde entra en juego Digital Forensics.

El análisis forense digital es parte de la piratería ética. No solo se ocupa de las técnicas de recuperación de datos, sino también en la manipulación de datos, rastreando la fuente de imágenes, videos y mp3 cargados en la web. El análisis forense digital es una categoría diversa para tratar. También comprende escanear, reparar y recopilar Intel de las unidades de disco duro más corruptas y otros dispositivos como teléfonos celulares, PDA, computadoras portátiles, biometría y muchos más. Por lo tanto, las técnicas de recuperación de datos son una de las partes más esenciales del delito cibernético, ya que suficientes datos sobre un pirata informático / partido específico ayudarían a resolver el crimen fácilmente. Si no es así, al menos los datos recuperados podrían ayudar a identificar el método de trabajo del hacker.

Escenario de la vida diaria

Ahora piensas: Ok, está bien para un probador de penetración y sombrero blanco, pero ¿cómo es eso útil en nuestra vida diaria? Déjame darte un escenario de la vida real.

El escenario I: Nexus 5 Revelation

Durante mis días cuando comencé a aprender sobre piratería y otras cosas, era un fanático de los gadgets. Siempre tuve la costumbre de comprar muchos dispositivos y experimentar con ellos. Pero dado que el dinero es un problema, solía comprar teléfonos celulares de segunda mano vendidos en eBay, olx o vendedores en carretera por la cuarta parte del precio original. No hace mucho tiempo, cuando estaba experimentando con un Nexus 5 que compré en eBay por 8K, perdí muchos datos que tenía dentro. Las cosas pasaron algo como esto:

Cargador de arranque Nexus 5

Después de comprar el Nexus 5, fue completamente formateado por el propietario anterior. Lo rooteé e instalé Cyanogen Mod 11.00 (CM11-KitKat) e instalé un kernel totalmente AK. En realidad funcionaba tan bien que comencé a usarlo como mi conductor diario. Pero cuando intenté overclockearlo, el teléfono en realidad se cortó. La batería se quemó debido a una sobrecarga. Compré otra batería y la solde. Pero cuando comencé la celda, estaba atascada en el bucle de arranque (Bootloop significa carga interminable en la pantalla de carga al inicio). Entonces, tuve que reinstalar todo el sistema operativo. Pero como quería recuperar todos los datos que tenía dentro, tuve que hacer algunos trucos de mono para recuperar todos los datos. No fue una situación directa. Y cuando digo técnicas de recuperación de datos, no me refiero a datos internos. Me refiero a los datos reales del teléfono donde se almacenan las configuraciones y otras cosas. Entonces, comencé a buscar en línea herramientas de capacitación de recuperación de datos gratuitas y encontré la herramienta Safecopy para Linux. Tenía una ventaja en Linux, pero nunca supe nada al respecto. Lo instalé escribiendo:

Cursos recomendados

Curso en línea sobre HTML y HTML5
Curso de prueba de software profesional
Curso de certificación en línea en Drupal 7
Capacitación de certificación en línea en JQuery

$ apt-get instala una copia segura

Una vez instalado, intenté crear una imagen de disco completa de los datos y la partición de caché usando Safecopy con el siguiente comando:

$ safecopy / dev / Nexus5 nexus5.iso

. Toda mi información era de entre 5 y 6 conciertos, pero los datos recuperados parecían ser de alrededor de 14 conciertos. Me sorprendió ver eso. Ahora que estaba desesperado y curioso por recuperar mis datos sin corrupción; También utilicé herramientas ADB (Android Debug Bridge) para hacer la copia de seguridad.

Instalé herramientas ADB en Linux escribiendo:

$ apt-get install android-tools-ADB

Usé el siguiente comando para hacer una copia de seguridad completa de mi teléfono celular:

$ adb backup -apk -shared -all -f /root/temp.ab

Si solo desea hacer una copia de seguridad sin la apk, puede usar cualquiera de los siguientes:

$ adb backup -all -f /root/temp.ab

Sin embargo, puede verificar el comando de ayuda para ver si hay más indicadores y opciones.

Ahora, viene la parte más impactante. Tomó aproximadamente 3-4 horas obtener la copia de seguridad completa del teléfono celular. Una vez hecho, el archivo total que recibí fue de 33 conciertos. Estaba conmocionado cuando vi esto. Todo mi Nexus 5 tenía 16 conciertos, de los cuales solo tenía 12 conciertos disponibles para almacenar cosas, y nuevamente solo usé hasta 5-6 conciertos de eso. Entonces, ¿de dónde diablos vinieron los 26 conciertos restantes? La peor pregunta era ¿dónde estaba todo almacenado? Confundido con esto, usé SQLite Viewer para ver el archivo de respaldo antes de poder restaurarlo nuevamente, y lo que vi fue increíble. No solo tomó una copia de seguridad mía, sino que cuando intenté recuperar los datos, también se restauraron todos los datos que el propietario anterior almacenó. Pude ver los chats de Facebook y los datos de We-chat, así como usar el navegador SQLite y el Visor SQLite. Era solo cuestión de tiempo antes de que pudiera separar los viejos datos de recuperación de mis propios datos. También podría haber recuperado el SMS y la información de los contactos usando el infame Kit de Detective, pero pensé en darle un poco de tiempo antes de que pudiera dominar la recuperación básica de la base de datos. También recuperé la base de datos de Whatsapp, y con un poco de ingeniería social, también pirateé la clave cifrada de la persona a quien le había comprado el teléfono celular. Sin embargo, más tarde, llamé a la persona específica ya que era un hombre humilde y le informé sobre los problemas que podrían haber sucedido si esto cayera en las manos equivocadas.

Escenario II: El Método Kevin Mitnick

Dudo que la mayoría de ustedes hayan oído hablar del infame hacker Kevin Mitnick. Ha escrito montones de libros relacionados con la ingeniería social y la piratería. Estaba en la lista de los más buscados del FBI y también cumplió 5 años de prisión por lo mismo, pero luego fue liberado ya que no se encontraron muchas pruebas en su contra. Puede que se pregunte por qué estoy diciendo esto. La razón de eso es porque; Kevin fue un excelente ingeniero social. Y he usado varios de sus trucos para penetrar en sitios web y organizaciones (legalmente obvio). Lo que solía hacer era muy impresionante, ya que solía hacerse pasar por alguien como él y obtener acceso físico a una organización y luego piratearlo. También solía conducir contenedores de basura a través de los cuales podía obtener acceso a archivos confidenciales tirados como basura en la basura.

Ahora, cuando leí su libro "El arte del engaño", pensé intentarlo. Y esto fue hace dos años cuando trabajaba en una organización de TI diferente. Sabía que cada 3 años la compañía se mantenía actualizada cambiando parte del hardware, y solía vender estos componentes al mejor postor en eBay por lotes. Aparentemente compré algunos discos duros desde allí. Todo estaba limpio, formateado y lento. Entonces, utilicé esta herramienta conocida como técnicas de recuperación de datos EASEUS para recuperar datos eliminados. En ese momento, no sabía sobre copia segura. Entonces, utilicé este software de entrenamiento de recuperación de datos. Primero utilicé la versión de prueba y encontré muchos archivos, pero sufrí daños graves y no pude recuperarlos. Además, los archivos que se mostraban como 'archivos recuperables' tenían más de 2-3 años. Entonces, tenía un disco en vivo que era Knoppix, el famoso disco en vivo para solucionar cualquier cosa. Pero lo que hice y luego me di cuenta fue que se podía hacer a través de cualquier distribución de Linux y no solo de Knoppix. Usé el comando dd para clonar todo el disco duro y escanearlo sector por sector. dd es una herramienta de copia de utilidades de disco para Linux. Aquí incluso puede especificar casi todo, desde el tamaño del bloque hasta la clonación de una unidad completa.

Usé el siguiente comando para clonar el disco duro:

$ dd if = / dev / sdb1 of = / root / tempclone.iso bs = 2048

Aquí, puede especificar cualquier tamaño de bloque según su deseo, desde 512k hasta 4096 hasta que sepa lo que está haciendo. Aquí dd le está pidiendo a la computadora que verifique si hay una unidad con la etiqueta sdb1, y si está allí, haga una copia de todo el disco en un archivo iso o de imagen, dependiendo de su uso, con un tamaño de bloque de 2048k y luego guárdelo al directorio raíz con el nombre de tempclone.iso. También puede revertir el proceso de convertir un iso clon en un HDD físico escribiendo lo siguiente:

$ dd if = / root / tempclone.iso of = / dev / sdb1 bs = 1024

Aquí, siempre prefiero usar el tamaño de bloque lateral bajo debido a la preferencia personal. Puede aumentarlo si lo desea, pero tuve malas experiencias con él en el pasado. Por lo tanto, el bajo tamaño de bloque.

Entonces, al clonar el HDD, ahora tiene un clon completo de todo el HDD en su computadora. Pero tenga en cuenta que esto no funcionará en un HDD de formato plano ya que no hay nada que clonar. Primero tendría que recuperar los datos dañados, utilizando un buen software de recuperación de disco como EASEUS, incluso si es ilegible, no es un problema. Una vez recuperado, puede clonarlo usando el comando dd. La razón de esto es porque, si su disco duro tiene sectores defectuosos irrecuperables, el disco duro ni siquiera le permitirá leer la porción restante de datos cerca de ese sector. Pero podemos hacer eso, clonando el disco. Una vez clonado, puede usar las siguientes herramientas para identificar y eliminar los sectores defectuosos y guardar solo los sectores buenos y recuperables y luego leerlo:

HDDscan

(http://hddscan.com/)

HDDLLF

(http://hddguru.com/)

Check Flash

(http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en)

Chip Genius

(www.usbdev.ru/files/chipgenius/)

Entonces, al hacer esto, extraje aproximadamente 390 gigas de datos del disco duro de 500 gigas, y de las cuales pude recuperar datos no corruptos de aproximadamente 236 gigabytes. Ahora, este era un problema grave, ya que la información que recibí era extremadamente confidencial. Al examinar los datos, vi que este era el disco duro utilizado por el equipo de Recursos Humanos para ahorrar salario, fondos de previsión y otra información contable. Rápidamente llevé esta información al jefe departamental de TI y le informé sobre esto, pero como se trata de India, no se tomaron las medidas adecuadas. Le recomendé a la compañía que destruyera los discos duros en lugar de venderlos porque esto podría ser una pesadilla si los detalles de la información de la cuenta bancaria caen en las manos equivocadas. Sin embargo, me pidieron que me retirara, pero obtuve un ascenso debido a esto, que es una historia completamente diferente.

Técnicas forenses digitales y de recuperación de datos: secuelas

Pero el punto aquí es que las técnicas de recuperación de datos no solo son aplicables a todas las demás organizaciones, sino también a las personas normales que usan dispositivos electrónicos para almacenar datos confidenciales. Podría seguir y seguir sobre esto, pero eso no importa. Lo importante es saber cómo destruir la evidencia forense digital. Los hackers hoy en día usan el cifrado LUKS para destruir datos si alguien los manipula, lo que sobrescribe cada byte con ceros en lugar de cualquier otro número hexadecimal. Sin embargo, esto hace que las técnicas de recuperación de datos sean inútiles. Pero, de nuevo, no es un juego de niños para todos usar el cifrado LUKS. Además, el uso del cifrado LUKS tiene la gran desventaja de que si olvida la contraseña de los datos almacenados, no se puede recuperar sin importar qué. Estarás atrapado para siempre. Pero obviamente, es mejor que nadie tenga acceso a los datos, en lugar de que algún ladrón los use con fines maliciosos.

Las técnicas de recuperación de datos y el análisis forense digital son otra razón importante por la cual los piratas informáticos normalmente destruyen todos los datos con una eliminación segura de la computadora víctima o esclava una vez que se realiza su trabajo para que no se pueda rastrear hasta ellos. Siempre hay más de lo que parece. Las técnicas de recuperación de datos, como cualquier otra cosa en el planeta, son una bendición y una maldición. Son dos caras de la misma moneda. No puedes salvar a uno mientras destruyes al otro.

Primera fuente de imagen: Pixabay.com

Artículos recomendados:-

Aquí hay algunos artículos que lo ayudarán a obtener más detalles sobre el análisis forense digital y los Aspectos importantes de las técnicas de recuperación de datos, así que solo vaya al enlace.

Potente plan de campaña de marketing digital
5 estrategias simples de marketing digital para el éxito empresarial
11 habilidades importantes que un gerente de marketing digital debe tener
¿Cómo va el aprendizaje digital a cambiar la educación?
Guía adecuada sobre Drupal vs Joomla
Drupal 7 vs Drupal 8: características
ACCA vs CIMA: Funciones

Análisis forense digital y los mejores aspectos de las técnicas de recuperación de datos

Tabla de contenido:

Introducción a las técnicas de recuperación de datos -

Forense digital

Escenario de la vida diaria

El escenario I: Nexus 5 Revelation

Cargador de arranque Nexus 5

$ apt-get instala una copia segura

$ safecopy / dev / Nexus5 nexus5.iso

$ apt-get install android-tools-ADB

$ adb backup -apk -shared -all -f /root/temp.ab

$ adb backup -all -f /root/temp.ab

Escenario II: El Método Kevin Mitnick

$ dd if = / dev / sdb1 of = / root / tempclone.iso bs = 2048

$ dd if = / root / tempclone.iso of = / dev / sdb1 bs = 1024

Técnicas forenses digitales y de recuperación de datos: secuelas

Artículos recomendados:-

Color de 8 bits frente a color de 16 bits: trabajar con imágenes de 16 bits en Photoshop

Cómo hacer que su imagen de Photoshop por defecto del editor En Windows

Formatos de archivo de Photoshop - Guía rápida

Texto de fuego ardiente en Photoshop

Cómo cambiar el tamaño de las imágenes en Photoshop

Líneas de referencia de Tableau - Cómo usar las líneas de referencia y su forma

Tabla en SQL - ¿Aprenda cómo crear, descartar, eliminar, cambiar el nombre de la tabla en SQL?

Las 10 preguntas y respuestas más importantes de la entrevista de Talend (Actualizado para 2019)

Tableau Workbook - ¿Cómo crear un libro de trabajo en Tableau?

Talend Open Studio - Conozca los beneficios, aplicaciones y componentes

Herramientas de edición de video - Los 6 mejores softwares de edición de video para principiantes

Vistas en MySQL - ¿Cómo crear vistas en MySQL?

Diagrama de Venn en Excel - ¿Cómo crear un diagrama de Venn en Excel?

Cuál es el mejor ? Computación en la nube o técnicas de virtualización

Los 7 mejores y más útiles reseñas de libros de Python violentos (capítulos)