Mòdul Professional 4: Anàlisi forense informàtic - Anàlisi MBR

Analitzarem una imatge extreta d'una VM. S'ha extret la taula de particions mitjançant la comanda dd if=/dev/sda of=mbr.raw size=512 count=1. Per tant tan sols tenim la taula MBR.

Imatge raw de la MBR a analitzar.

A partir d'aquí podem utilitzar la comanda gdisk -l mbr.raw per obtenir la informació, però anirem una mica més a baix nivell.

Utilitzant un editor hexadecimal, com hexeditor caldrà que obriu la imatge i localitzeu la informació de cada partició.

Per fer-ho és recomanable que, donat que coneixem l'estructura (les seccions i el tamany de cada secció) calculem els offsets de l'informació que ens interesa i amb Ctrl+T ens hi desplaçem directament.

MBR_2.jpeg

Per exemple, sabem que el codi d'arrencada de MBR ocupa 440 Bytes i que les dades de la primera partició començen 6 bytes més enllà (diagrama) per tant el byte d'estatus que marca si la primera partició és arrancable està en el Byte 446 (0x01BE en hexadecimal). Segons la documentació de Microsoft, aquest byte pot ser 0x00 si NO és arrencable i 0x80 si SI és arrencable.

MBR_3.jpeg

La informació que cal que extregueu, tot adjuntant captures demostratives d'on la localitzeu dins del editor hexadecimal i del offset exacte, junt amb l'interpretació, són:

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2022-01-11 dt. 13:25