autopsy-01

Cuando borramos datos en nuestro disco (ya sea intencional o accidentalmente), lo que estamos haciendo en realidad es marcar los sectores que antes ocupaban como espacios libres. Es por eso que si nos damos cuenta a tiempo que esta acción no era adrede, es posible recuperar parte de los archivos eliminados con la ayuda de alguna herramienta de análisis forense como por ejemplo, Autopsy Forensic Browser. Claro que para que este tipo de herramientas sea funcional, no deberíamos seguir escribiendo en la unidad a recuperar para evitar pisar el espacio libre con nuevos archivos. Es por eso que lo primero que debemos hacer es crear una imagen del disco y trabajar sobre dicha imagen.

Entonces antes que nada lo que debemos hacer es crear la imagen de disco, para lo cual no existe mejor herramienta que el comando dd de linux.

$ dd if=/dev/sdd of=/media/hd/imagen_a_recuperar.dd

Si no contamos aún con Autopsy, procedemos a su instalación descargando la aplicación desde el sitio web o desde los repositorios propios de cada distribución y luego ejecutando la misma desde la linea de comandos y accediendo desde un browser vía http://localhost:9999/autopsy .

$ sudo aptitude install autopsy
$ autopsy
 
============================================================================
 
                       Autopsy Forensic Browser 
                  http://www.sleuthkit.org/autopsy/
                             ver 2.24 
 
============================================================================
Evidence Locker: /var/lib/autopsy
Start Time: Thu Apr  4 15:26:19 2013
Remote Host: localhost
Local Port: 9999
 
Open an HTML browser on the remote host and paste this URL in it:
 
    http://localhost:9999/autopsy
 
Keep this process running and use <ctrl-c> to exit

Una vez que accedemos a la interfaz, se debe crear un nuevo caso y agregar la imagen del disco a recuperar. Los siguientes pasos son bastante intuitivos, en donde debemos elegir la unidad a analizar, y luego los archivos que encontramos y los borrados que se puedan recuperar. Toda esta información tiene varias formas de revisión (ascii, hexa) y desde la misma herramienta se pueden generar reportes con la información general, los meta-datos y el contenido de los archivos.

autopsy-02

autopsy-03

autopsy-04

autopsy-05

autopsy-06

autopsy-07

autopsy-08

autopsy-09

autopsy-10

Generación de reportes

Por cada evidencia encontrada Autopsy genera un completo reporte sobre el estado, atributos, características y contenido de dicha evidencia. Estos reportes son de gran ayuda en el momento del análisis de la evidencia y como elemento probatorio, en caso de que exista un proceso legal llevado a juicio. El reporte permite visualizar el estado de MD5 y SHDA1, con el fin de comprobar que la evidencia examinada desde una copia no ha sido modificada o alterada con respecto a la evidencia que reside originalmente.

autopsy-11

Escuchando los gritos del disco!

Generalmente antes de perdidas de datos por falla en el disco, este nos avisa pero hay que estar atentos y saber escuchar. Para identificar estos avisos podemos utilizar SmartMonTools, quien nos señalará los errores de I/O de la unidad.

Al igual que Autopsy, SmartMonTools se encuentra en los repositorios de casi todas las distribuciones de GNU/Linux, sino se puede instalar descargando desde la página web oficial.

$ sudo aptitude install smartmontool

Descomentamos y editamos las siguientes lineas del archivo de configuración /etc/default/smartmontools:

enable_smart="/dev/sda /dev/sdb"
start_smartd=yes

e iniciamos el servicio:

$ sudo /etc/init.d/smartmontool start

Para verificar que funciona correctamente usaremos el siguiente comando

$ sudo smartctl -i /dev/sda
smartctl 5.41 2011-06-09 r3365 [x86_64-linux-3.0.0-32-generic] (local build)
Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net
 
=== START OF INFORMATION SECTION ===
Model Family:     Western Digital Caviar SE16 Serial ATA
Device Model:     WDC WD2500KS-00MJB0
Serial Number:    WD-WCANKK622193
Firmware Version: 02.01C03
User Capacity:    250.059.350.016 bytes [250 GB]
Sector Size:      512 bytes logical/physical
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   7
ATA Standard is:  Exact ATA specification draft version not indicated
Local Time is:    Thu Apr  4 17:13:40 2013 ART
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

Para proceder al test de un disco duro de los listados anteriormente, ejecutamos

$ sudo smartctl -d scsi -H /dev/sda

Y si todo va bien, en ese disco duro deberíamos obtener un mensaje parecido a éste:

smartctl 5.41 2011-06-09 r3365 [x86_64-linux-3.0.0-32-generic] (local build)
Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net
 
SMART Health Status: OK