Mòdul Professional 4: Anàlisi forense informàtic - Anàlisi MBR

Analitzarem una imatge extreta d'una VM. S'ha extret la taula de particions mitjançant la comanda dd if=/dev/sda of=mbr.raw bs=512 count=1. Per tant tan sols tenim la taula MBR.

Imatge raw de la MBR a analitzar.

A partir d'aquí podem utilitzar la comanda gdisk -l mbr.raw per obtenir la informació, però anirem una mica més a baix nivell.

Utilitzant un editor hexadecimal, com hexeditor caldrà que obriu la imatge i localitzeu la informació de cada partició.

Per fer-ho és recomanable que, donat que coneixem l'estructura (les seccions i el tamany de cada secció) calculem els offsets de l'informació que ens interesa i amb Ctrl+T ens hi desplaçem directament.

Per exemple, sabem que el codi d'arrencada de MBR ocupa 440 Bytes i que les dades de la primera partició començen 6 bytes més enllà (diagrama) per tant el byte d'estatus que marca si la primera partició és arrancable està en el Byte 446 (0x01BE en hexadecimal). Segons la documentació de Microsoft, aquest byte pot ser 0x00 si NO és arrencable i 0x80 si SI és arrencable.

La informació que cal que extregueu, tot adjuntant captures demostratives d'on la localitzeu dins del editor hexadecimal i del offset exacte, junt amb l'interpretació, són:

• Quins offsets contenen el byte d'estatus (arrencable o no) de les particions 1, 2, 3 i 4? Quines són arrancables i quines no?
• Tipus de partició de cadascuna d'elles?

• Inici, final i mida de cada partició. (consulteu els valors LBA i mida de la partició).

  ATENCIÓ: Tant el sector d'inici de cada partició (LBA) com la seva mida estàn en format Littel Indian, a efectes pràctics vol dir que els bytes es llegeixen a l'inversa. Per exemple el inici de la partició 1 normalment serà a 00 08 00 00 per tant es llegirà com a 0x00000800. Una mida de 00 F8 DF 00 són 0x00DFF800 sectors, per tant 16252928 sector * 512 bytes per sector unes (unes 7,5 GB).

Ens han passat aquest USB donat que es suspita que s'estigui utilitzant per exfiltrar informació de l'empresa. Examineu-lo per veure si això és possible. On pot haver amagat la informació? Quanta informació poden exfiltrar "en cada viatge"? De fet, per anar un pas més enllà…. quin tipus d'arxius han exfiltrat.

Tota la imatge del USB tan sols cal per contestar l'última pregunta (tipus d'arxiu exfiltrat), si voleu mentre descarregueu podeu avançar descarregant directament la taula MBR del USB. si no voleu descarregar tot el USB.

• StackEchange: Inici de la primera partició.
• PcMinistry: Interpretació de la taula MBR.
• AsecuritySite: Magic Numbers.
• PcMinistry: Codis dels tipus de taules de particions.