Mòdul Professional 4: Anàlisi forense informàtic - Anàlisi GPT

Analitzarem una imatge extreta d'una VM. S'ha extret la taula de particions mitjançant la comanda dd if=/dev/sda of=gpt.raw bs=512 count=33. Per tant tan sols tenim la taula GPT de l'inici de disc (no el backup del final).

Imatge raw de la GPT a analitzar

A partir d'aquí podem utilitzar la comanda gdisk -l gpt.raw per obtenir la informació, però anirem una mica més a baix nivell.

Utilitzant un editor hexadecimal, com hexeditor caldrà que obriu la imatge i localitzeu la informació de cada partició.

Per fer-ho és recomanable que, donat que coneixem l'estructura calculem els offsets de l'informació que ens interesa i amb Ctrl+T ens hi desplaçem directament.

Per exemple, sabem que el LBA 0 serà de 512 bytes i contindrà una taula MBR per compatibilitat amb sistemes antics, per tant la capçalera GPT començarà al byte 513.

GPT_LBA_1.png Estructura de la capçalera GPT, en el sector 1 després del MBR Protective.

La informació que us vaig demanant, caldrà adjuntar captura, offset d'on es troba i la seva interpretació.

Primer de tot, verifiqueu que els primer 8 bytes de la capçalera contenen efectivament la signatura "EFI PART" tal com indica la Wikipèdia. El valor que heu de identificar és: 45 46 49 20 50 41 52 54.

També volem revisar que efectivament la versió o "revisió" de la UEFI és la 1. Aixó o trobarem al byte 512+8 i el camp ocupa 4 bytes.

En les nostes recerques forenses ens pot interesar veure el backup de la GPT. En quina sector es troba?

Per veure les particions ens caldran dues dades importants: La primera partició LBA usable i el tamany que ocupa una partició. Quins són aquests valors i on els trobem?

Finalment, i per equiparar amb l'exerici anterior, detecteu quantes particions tenim, inici i fi (o inici i mida) i digueu quines són arrancables i quines no.

GPT_LBA_2-33.png Estructura de cada partició.

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2022-01-11 dt. 20:38