Browse Source

File Recovery initial commit

Jose Ortiz 9 years ago
commit
f7644c4739

+ 358
- 0
README.md View File

@@ -0,0 +1,358 @@
1
+
2
+[English](#markdown-header-file-system-file-recovery) | [Español](#markdown-header-systema-de-archivos-recuperacion-de-archivos)
3
+
4
+# Sistema de Archivos - Recuperación de Archivos
5
+##Objetivos
6
+
7
+1. Entender la implementación de los inodes, bloques de datos y otros conceptos de sistemas de archivos a través de la recuperación de archivos borrados utilizando la herramienta sleuthkit.
8
+
9
+### Pre-Modulo
10
+
11
+Antes de trabajar en este modulo el estudiante debe
12
+
13
+1. Haber repasado conceptos de sistemas de archivos como inode, atributos de los archivos y bloques de datos.
14
+2. Tener disponible una máquina virtual o una computadora con el sleuthkit instalado.
15
+    - http://atackpr.ccom.uprrp.edu/vms/sleuthkit.tar.gz
16
+
17
+## Aprendiendo conceptos de sistemas de archivos a través de la recuperación de un archivo borrado 
18
+
19
+Normalmente cuando un archivo es removido del sistema de archivos, los datos de el archivo se mantienen en los bloques de datos del sistema de archivos hasta que estos son reclamados por otro archivo.
20
+
21
+Conocer como los archivos están organizados en un sistema de archivos es esencial para la informática forense por que esto permite recuperar archivos que han sido borrados o escondidos dentro del sistema de archivos.
22
+
23
+Como debió aprender en el curso, la mayoría de los sistemas de archivos tienen una estructura jerarquica organizada como un árbol de arriba hacia abajo donde las hojas de los árboles son los archivos y los directorios vacíos, y los nodos que forman el camino a las hojas son directorios.  
24
+
25
+![](images/fs_tree.png)
26
+
27
+Específicamente el sistema de archivos Unix, es una colección de archivos y directorios que tienen las siguiente propiedades:
28
+
29
+* Un directorio (/) raíz 
30
+* Cada archivo y directorio tiene un nombre y un identificador único, tipicamente llamado el inode.
31
+* El directorio raíz tienen el número de inode 2.  Los números 0 y 1 no estan asignados a los inodes.
32
+
33
+El medio de almacenamiento está lógicamente divido en bloques. Los bloques son divididos en bloques de datos y en los inodes.
34
+
35
+Los bloques de datos contienen los datos dentro de los archivos.
36
+
37
+Hay dos tipo de inodes:
38
+
39
+* Inodes de directorio que contienen los nombres de los archivos y sub directorios dentro del directorio y un apuntador (número de inode) a el inode de el archivo o directorio.
40
+    
41
+    ![](images/directory_inode.png)
42
+
43
+* Inodes de archivo que contienen los atributos de los archivos, y apuntadores a los bloques de datos del archivo.
44
+
45
+    ![](images/file_inode.png)
46
+
47
+Cuando un usuario remueve un archivo, los bloques de datos del archivo estan listados como bloques libres, y el inode del archivo como no localizado. Entonces si no han sido escritos por encima los datos de los archivos están todavías presente.
48
+
49
+Para recuperar archivos borrados podemos buscar a través de los inodes no localizados, y de la información del inode obtener los bloques de datos que contienen los datos del archivo.
50
+
51
+En este laboratorio aprenderemos como recuperar archivos utilizando el sleuthkit[1] que tiene comandos que permiten a los usuarios interactuar con los inodes del sistema de archivos.  Estaremos usando una imagen de una partición ext2 de Unix creados con el comando `dd`.  El nombre de la images es `recover_fs.dd`.
52
+
53
+Los comandos principales que serán usados en este laboratorio son:
54
+
55
+* `file` - Te permite conocer el tipo de sistema de archivos de una imagen. Una alternativa es usar `fstsat` que provee información mas detallada sobre los grupos de inodes, tamaño de bloques, etc.
56
+
57
+* `fls` - Lista los nombres de archivos y directorios en una imagen de disco.
58
+
59
+    Usaremos fls  <image> <inode>, si no se provee un inode el utilizará el inode raíz por defecto.  Para ext2 y ext3 el número del inode raíz is es 2.
60
+
61
+* `ils` - Lista la información de un inode
62
+
63
+* `istat` - Desplega detalles del inode (mas fácil de leer que ils)
64
+
65
+* `icat` - Enseña el contenido de un archivo basado en su númer de inode.
66
+
67
+**Nota** Las imagenes y archivos en el sistema de archivos usados en este laboratorio están listados en la referencias.
68
+
69
+**Note** Hay otras herramientas que facilitan la recuperación de archivos como autopsy que es una interface web para el sleuthkit, foremost, y Test-Disk. 
70
+
71
+### Listando directorios 
72
+
73
+```
74
+fls recover_fs.dd
75
+```
76
+
77
+o 
78
+
79
+```
80
+fls recover_fs.dd 2
81
+```
82
+
83
+![](images/fls_2.png)
84
+
85
+Nota los tres directorios y presta atención a los directorios `Documents` inode 16065 y `images` 46185
86
+
87
+```
88
+fls recover_fs.dd 16065
89
+```
90
+
91
+![](images/fls_16065.png)
92
+
93
+Nota los dos archivos pdf, uno tiene * el otro no. También nota que el número de inode es 0.
94
+
95
+```
96
+fls recover_fs.dd 46185
97
+```
98
+
99
+![](images/fls_46185.png)
100
+
101
+Nota todos los archivos con `*` (borrados), el directorio `jokes` con inode 36722.
102
+
103
+### Obteniendo la información del inode
104
+
105
+Vamos a obtener la información del archivo borrado en el directorio  `Documents`, archivo `rooter.pdf`
106
+
107
+Corre 
108
+
109
+```
110
+ils recover_fs.dd -A 
111
+```
112
+
113
+para listar todos los inodes no localizados.
114
+
115
+![](images/ils_A.png)
116
+
117
+Recuerda que el número de inode de el directorio `Documents` es 16065, y que el número de inode más cercano (primer campo de las entradas) en los inodes no localizados es 16067.
118
+
119
+### Mirando dentro del inode de un archivo
120
+
121
+Run 
122
+
123
+```
124
+ils recover_fs.dd 16067
125
+```
126
+
127
+para ver los atributos del inode, tales como id del usuario y grupo, y los tiempos de Acceso, Moficado, y Borrado.
128
+
129
+![](images/istat_16067.png)
130
+
131
+y la segunda parte del inode `Direct blocks` y `Indirect Blocks`
132
+
133
+![](images/istat_16067_2.png)
134
+
135
+Nota que el primer bloque directo (Direct block) se encuentra en el bloque de datos 70657, y el ultimo bloque directo es 79749, y que también apunta a un bloque indirecto 70679 que implica que el archivo es lo suficientemente grande para necesitar tener un bloque indirecto con direccion para otros bloques directos.
136
+
137
+### Recuperando el archivo
138
+
139
+```
140
+icat recover_fs.dd 16067 > recover1
141
+```
142
+
143
+Va a obtener los datos de los bloques de datos del archivo referenciado por los bloques directos e indirectos en el inode y los almacena en nuestro sistema de archivos con el nombre recover1.
144
+
145
+Corriendo
146
+
147
+```
148
+file recover1
149
+```
150
+
151
+revelará el tipo del archivo.
152
+
153
+## Ejercicio 1: Recoveperando un archivo
154
+
155
+1. Cuales son los atributos de tiempo para el inode 46186?
156
+2. Cuales son el primer y el ultimo bloque directo?
157
+3. Tiene bloques indirectos? Cual?
158
+4. Recuper el archivo en el inode 46186.
159
+5. Que tipo de archivo recuperaste?
160
+
161
+## Ejercicio 2: Recuperando todos los archivos borrados
162
+
163
+Recupera todos los archivos restantes con inodes no localizados.
164
+
165
+## Referencias
166
+
167
+[1] http://www.sleuthkit.org/sleuthkit/
168
+
169
+[2] SCIgen - An Automatic CS Paper Generator, http://pdos.csail.mit.edu/scigen/
170
+
171
+[3] http://fc09.deviantart.net/fs70/f/2014/079/1/9/sonic\_the\_hedgehog\_2006\_pose\_by\_mintenndo-d7axbgr.png
172
+
173
+[4] http://engineering.vanderbilt.edu/images/dept-slide-show/eecs-slide-4.jpg
174
+https://s-media-cache-ak0.pinimg.com/736x/af/56/fa/af56fa5603e4e57922996dc76bc0aad3.jpg
175
+
176
+[5] http://3.bp.blogspot.com/-d_8I7GWbTxI/Unh9urYh2TI/AAAAAAAAB2k/LRhRQ-tkhZc/s1600/Screenshot+2013-11-05+00.03.27.png
177
+
178
+[6] http://xkcd.com/327/
179
+
180
+----
181
+
182
+[English](#markdown-header-regular-expressions-sql-injection) | [Español](#markdown-header-expresiones-regulares-inyeccion-de-sql)
183
+
184
+# File System - File Recovery
185
+##Objectives
186
+
187
+1. Understand the implementation of the file systems inodes, data blocks, and other file system concepts by recovering deleted files using the sleuthkit tool kit.
188
+
189
+### Pre-Module
190
+
191
+Before working in this module the student must 
192
+
193
+1. Have reviewed file systems concept such as inode, file attributes, and data blocks.
194
+2. Have availanle a virtual machine or a computer with the sleuthkit installed
195
+    - http://atackpr.ccom.uprrp.edu/vms/sleuthkit.tar.gz
196
+
197
+## Learning file system concepts by recovering a deleted file
198
+
199
+Normally when a file is removed from the file system, the data of the file still remains in the file system data blocks until those blocks are claimed again by another file.  
200
+
201
+Knowing how files are organized in the file system is essential to computer forensics because it allows to recover files that are deleted or hidden inside the file system.   
202
+
203
+As you should have learned in the course, most file systems have a hierarchical structure organized as upside down trees where the leaves of the trees are the files or empty directories, and the nodes that form the path to the leaves are directories.
204
+
205
+![](images/fs_tree.png)
206
+
207
+Specifically the Unix file system, is a collection of files and directories that have the following properties:
208
+
209
+* A root (/) directory 
210
+* Each file and directory has a name and an unique identifier, typicalled called the inode.
211
+* The root directory has the inode number 2.  Numbers 0 and 1 are not assigned to inodes.
212
+
213
+The storage media is logically divided in blocks.  The blocks are divided into data blocks and the inodes. 
214
+
215
+The data blocks contain the actual data inside the files.
216
+
217
+There are two type of inodes:
218
+
219
+* Directory inodes that contains the names of files and sub directories inside the directory and a pointer (inode number) to the inode of the file or directory.
220
+    
221
+    ![](images/directory_inode.png)
222
+
223
+* File inodes that contain the attributes of the files, and pointers to the data blocks of the files.
224
+
225
+    ![](images/file_inode.png)
226
+
227
+When a user remove a file the data blocks of the file are listed as free blocks, and the inode of the file as unallocated.  Thus if they have not been overwritten the data of the files is still there.  
228
+
229
+To recover deleted files you can search through the unallocated inodes, and from the inode information obtain the data blocks that contains the data of the file. 
230
+
231
+In this laboratory we will learn how to recover files using the sleuthkit[1] that have commands that let the users to interact with the file system inodes. We will be using an image of a Unix ext2 partition created with the dd command.  The name of the image is `recover_fs.dd`.
232
+
233
+The main commands that will be used in this laboratory are:
234
+
235
+* `file` - Let you know what type of file system from an image.  Alternatively you could use `fsstat` which will provide more detailed information on the inode groups, block size, etc.
236
+
237
+* `fls` - List file and directory names in a disk image.
238
+
239
+    We will use fls <image> <inode>, if no inode number is given it will use the root inode by default.   For ext2 and ext3 the root inode number would be 2.
240
+
241
+* `ils` - List inode information
242
+
243
+* `istat` - Display details of the inode (easier to read than ils)
244
+
245
+* `icat` - Outputs the content of a file based on its inode number.
246
+
247
+**Note** The images and files in the file system used in this laboratory are listed in the references.
248
+
249
+**Note** There are other tools that facilitate the recovering of files like autopsy which is a web GUI for the sleuthkit, foremost, and Test-Disk.
250
+
251
+### Directory listing
252
+
253
+```
254
+fls recover_fs.dd
255
+```
256
+
257
+or 
258
+
259
+```
260
+fls recover_fs.dd 2
261
+```
262
+
263
+![](images/fls_2.png)
264
+
265
+Note the three directories and pay attention to the directories `Documents` inode 16065 and `images` 46185
266
+
267
+```
268
+fls recover_fs.dd 16065
269
+```
270
+
271
+![](images/fls_16065.png)
272
+
273
+Note the two pdf files, one has an * the other doesn't. Also note that the inode number is 0.
274
+
275
+```
276
+fls recover_fs.dd 46185
277
+```
278
+
279
+![](images/fls_46185.png)
280
+
281
+Note all the files with `*` (deleted), the directory `jokes` with inode 36722. 
282
+
283
+### Getting inode information
284
+
285
+Lets get the inode information of the deleted file in directory `Documents`, file `rooter.pdf`
286
+
287
+Run 
288
+
289
+```
290
+ils recover_fs.dd -A 
291
+```
292
+to list all the unallocated inodes.  
293
+
294
+![](images/ils_A.png)
295
+
296
+Recall that the inode number of the directory `Documents` is 16065, and that the closest inode number (first field of the records) in the unallocated inodes list is 16067.
297
+
298
+### Looking inside a file inode
299
+
300
+Run 
301
+
302
+```
303
+ils recover_fs.dd 16067
304
+```
305
+
306
+to see the inode attributes, such as the user and group id of the file, and times of Access, Modified, and Deleted.
307
+
308
+![](images/istat_16067.png)
309
+
310
+and the second part of the inode `Direct blocks` and `Indirect Blocks`
311
+
312
+![](images/istat_16067_2.png)
313
+
314
+Note that the first direct block is found in data block 70657, and the last direct block is 70749, and that it also points to an indirect block 70679 which implies that the file is large enough to need to have and indirect block with address for other direct blocks.
315
+
316
+### Recovering the file 
317
+
318
+```
319
+icat recover_fs.dd 16067 > recover1
320
+```
321
+
322
+Will retrieve the data from the data blocks of the file referenced by the direct blocks and indirect blocks in the inode and store it in our file system with name recover1.  
323
+
324
+Running
325
+
326
+```
327
+file recover1
328
+```
329
+
330
+will reveal the type of file.
331
+
332
+## Exercise 1: Recovering a file
333
+
334
+1.  What are the time attributes for inode 46186?
335
+2.  What are the first, and last direct blocks?
336
+3.  Does it has indirect blocks? Which one?
337
+4.  Recover the file in inode 46186.
338
+5.  What is the type of the file recovered?
339
+
340
+## Exercise 2: Recovering all deleted files
341
+
342
+Recover all the remaining files with unallocated inodes.
343
+
344
+
345
+## References
346
+
347
+[1] http://www.sleuthkit.org/sleuthkit/
348
+
349
+[2] SCIgen - An Automatic CS Paper Generator, http://pdos.csail.mit.edu/scigen/
350
+
351
+[3] http://fc09.deviantart.net/fs70/f/2014/079/1/9/sonic\_the\_hedgehog\_2006\_pose\_by\_mintenndo-d7axbgr.png
352
+
353
+[4] http://engineering.vanderbilt.edu/images/dept-slide-show/eecs-slide-4.jpg
354
+https://s-media-cache-ak0.pinimg.com/736x/af/56/fa/af56fa5603e4e57922996dc76bc0aad3.jpg
355
+
356
+[5] http://3.bp.blogspot.com/-d_8I7GWbTxI/Unh9urYh2TI/AAAAAAAAB2k/LRhRQ-tkhZc/s1600/Screenshot+2013-11-05+00.03.27.png
357
+
358
+[6] http://xkcd.com/327/

BIN
images/directory_inode.png View File


BIN
images/file_inode.png View File


BIN
images/fls_16065.png View File


BIN
images/fls_2.png View File


BIN
images/fls_46185.png View File


BIN
images/fs_tree.png View File


BIN
images/ils_A.png View File


BIN
images/istat_16067.png View File


BIN
images/istat_16067_2.png View File


BIN
recover_fs.dd View File