Banner 1

Herramientas forense para ser un buen CSI. Parte LIII: MBR

Publicado por Unknown en 9:20 martes, 5 de agosto de 2014 Etiquetas:
 Buenas a todos, en el post de hoy de "Herramientas forense para ser un buen CSI", os hablaremos del Master Boot Record, y de algunas herramientas que os serán de utilidad durante vuestros procesos de análisis pericial.
Del Master Boot Record, o MBR ya os hemos hablado en varias ocasiones en esta cadena de posts. Se trata del primer sector de un dispositivo de almacenamiento, como pueda ser un disco duro, utilizado para el arranque del sistema operativo y suele almacenar la tabla de particiones.

El MBR comprende los primeros 512 bytes (sector 0), y dentro de él se encuentra la tabla de particiones, alojada a partir del byte 446.
La tabla de particiones ocupa 64 bytes, conteniendo 4 registros de 16 bytes, los cuales definen las particiones primarias (estas a su vez pueden tener particiones extendidas). En ellas se almacena toda la información básica sobre la partición: si es arrancable, si no lo es, el formato, el tamaño y el sector de inicio.
El MBR, con la tabla de particiones, podremos recuperarlo con una gran cantidad de software, como por ejemplo la herramienta "dd", nativa en linux (o con su sucesor dc3dd) y que podremos descargar para Windows.
Ya os hemos hablado largo y tendido del software dd, por lo que simplemente a modo de recordatorio os dejamos sus parámetros básicos:
  • if=input file 
  • of=output file 
  • bs=sector 
  • count=nº 
Y os presentamos un ejemplo de clonado del MBR:

  • dd if=/dev/xxx of=mbr.backup bs=512 count=1 
Y un ejemplo sobre su restauración desde un backup del MBR:

  • dd if=mbr.backup of=/dev/xxx bs=512 count=1
Podremos ver con un editor hexadecimal el volcado del MBR. Un truco para ver que está todo correcto es ver si la tabla de particiones finaliza con "55AA".
Existe una herramienta muy útil desarrollada en perl, llamada "mbrparser.pl" y que podéis descargar gratuitamente desde aquí: http://www.garykessler.net/software/.
Mbrparser.pl nos ayudará a interpretar la tabla de particiones de una manera cómoda, cómo podéis ver en la siguiente captura:
Su uso es tan sencillo como lanzar la aplicación pasándole con el parámetro "-i" el volcado del MBR realizado con dd en el ejemplo anterior:
  • mbrparser.pl -i mbr.backup

Eso es todo por hoy, nos vemos en el próximo posts,

Fuente: http://www.flu-project.com/2014/08/herramientas-forense-para-ser-un-buen.html

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Powered by Bad Robot
Helped by Blackubay