tutoriales.com

Investigación Forense de Sistemas de Archivos: Un Viaje por EXT4 y NTFS

Este tutorial profundiza en las técnicas de investigación forense aplicadas a los sistemas de archivos más comunes: EXT4 (Linux) y NTFS (Windows). Aprenderás a identificar y extraer información crucial, como metadatos de archivos, estructuras de directorios y datos de archivos eliminados, esenciales para cualquier análisis forense digital.

Intermedio25 min de lectura12 views
Reportar error

🚀 Introducción a la Investigación Forense de Sistemas de Archivos

En el ámbito de la ciberseguridad, el análisis forense digital es una disciplina crítica que permite investigar incidentes, descubrir pruebas y reconstruir eventos. Una de las áreas más fundamentales y reveladoras de la informática forense es la investigación de sistemas de archivos. Es aquí donde la mayoría de las interacciones del usuario y del sistema dejan su huella.

Los sistemas de archivos no solo organizan los datos, sino que también almacenan una vasta cantidad de metadatos que pueden ser increíblemente valiosos durante una investigación. Desde cuándo se creó un archivo hasta quién lo modificó por última vez, pasando por los archivos que fueron borrados pero que aún residen en el disco, los sistemas de archivos son una mina de oro para el investigador forense.

Este tutorial te guiará a través de los conceptos clave y las herramientas prácticas para llevar a cabo una investigación forense efectiva en dos de los sistemas de archivos más prevalentes: EXT4 (común en entornos Linux) y NTFS (predominante en sistemas Windows). Comprender sus estructuras internas y cómo interactúan con los datos es esencial para cualquier profesional de la seguridad.

🔥 Importante: El análisis forense siempre debe realizarse sobre una copia bit a bit (imagen forense) del medio original para preservar la integridad de la evidencia. Nunca trabajes directamente sobre el sistema de archivos original.

🔍 Conceptos Fundamentales de Sistemas de Archivos

Antes de sumergirnos en EXT4 y NTFS, es crucial entender algunos conceptos generales aplicables a la mayoría de los sistemas de archivos.

💾 Bloques y Clústeres

Los sistemas de archivos dividen el espacio de almacenamiento físico en unidades más pequeñas. En Linux, se suelen llamar bloques (blocks), mientras que en Windows, se denominan clústeres (clusters). Un archivo, por muy pequeño que sea, siempre ocupará al menos un bloque/clúster. Cuando un archivo es grande, sus datos se extienden a través de múltiples bloques/clústeres, que pueden no ser contiguos.

📊 Inodos y MFT

Los metadatos de un archivo (propietario, permisos, fechas de acceso/modificación/creación, tamaño, ubicación de los bloques de datos, etc.) no se almacenan con los datos del archivo en sí. En sistemas de archivos Unix-like (como EXT4), esta información se guarda en estructuras llamadas inodos (inodes). Cada archivo y directorio tiene un inodo único.

En NTFS, la información de los metadatos y, a veces, incluso los datos de archivos pequeños, se almacenan en la Tabla Maestra de Archivos (Master File Table - MFT). La MFT es el corazón de NTFS y contiene entradas para cada archivo y directorio en el volumen.

📁 Estructura de Directorios

Los directorios son simplemente archivos especiales que contienen listas de entradas de archivos y subdirectorios, junto con sus respectivos inodos o referencias MFT. La organización jerárquica de directorios es fundamental para la navegación y la gestión de archivos.

🗑️ Archivos Eliminados

Cuando un archivo se "elimina" del sistema operativo, rara vez se borran sus datos de inmediato del disco. En la mayoría de los casos, lo que ocurre es que el sistema de archivos marca los bloques/clústeres que ocupaba el archivo como "disponibles" para su reescritura, y la entrada de metadatos (inodo o MFT) se actualiza para reflejar que el archivo ya no existe. Los datos reales permanecen en el disco hasta que otro archivo los sobrescribe. Esta es la base de la recuperación de datos.

💡 Consejo: La velocidad de la recuperación de datos disminuye drásticamente a medida que pasa el tiempo y el disco se sigue utilizando, ya que aumenta la probabilidad de que los datos sean sobrescritos.

🐧 Análisis Forense de EXT4 (Linux)

EXT4 (Fourth Extended Filesystem) es el sistema de archivos por defecto en muchas distribuciones Linux. Es robusto, escalable y ofrece un buen rendimiento. Su estructura está bien documentada, lo que facilita el análisis forense.

🧱 Estructura Básica de EXT4

Un volumen EXT4 se divide en grupos de bloques (Block Groups). Cada grupo de bloques contiene una copia del superbloque (o al menos un puntero a uno, para redundancia), descriptores de grupo de bloques, un mapa de bits de bloques, un mapa de bits de inodos, la tabla de inodos y, finalmente, los bloques de datos.

Superbloque (copia) Descriptores de Grupo Mapa de Bits de Bloques Mapa de Bits de Inodos Tabla de Inodos Bloques de Datos
  • Superbloque: Contiene información global del sistema de archivos, como el número total de inodos, bloques, tamaño de bloque, estado del sistema de archivos, etc.
  • Descriptores de Grupo de Bloques: Indican dónde se encuentran los distintos componentes (mapas de bits, tabla de inodos) dentro de cada grupo.
  • Mapa de Bits de Bloques (Block Bitmap): Un mapa que indica qué bloques están en uso y cuáles están libres.
  • Mapa de Bits de Inodos (Inode Bitmap): Similar al anterior, pero para inodos.
  • Tabla de Inodos (Inode Table): Almacena los inodos, cada uno con metadatos de un archivo o directorio.
  • Bloques de Datos: Donde se almacena el contenido real de los archivos.

🛠️ Herramientas para EXT4

Varias herramientas de código abierto son indispensables para el análisis forense de EXT4:

  1. debugfs: Una utilidad nativa de Linux para depurar y examinar sistemas de archivos EXT2/3/4. Permite navegar por el sistema de archivos, examinar inodos, bloques y directorios, incluso si el sistema de archivos está dañado o no montado.
sudo debugfs /dev/sdXn
# debugfs: ls -l
# debugfs: stat <inode_number>
# debugfs: cat <inode_number>
# debugfs: dump <inode_number> output_file

<div class="callout note">📌 <strong>Nota:</strong> Reemplaza `/dev/sdXn` con la ruta de tu imagen forense o partición.</div>

2. fsstat: Parte de e2fsprogs, esta herramienta muestra estadísticas detalladas de un sistema de archivos EXT2/3/4 o de inodos específicos.

sudo fsstat /dev/sdXn
sudo fsstat /dev/sdXn <inode_number>
  1. The Sleuth Kit (TSK) y Autopsy: TSK proporciona herramientas de línea de comandos como ils (listar inodos), icat (extraer contenido de inodo), fls (listar archivos), blkls (listar bloques asignados), etc. Autopsy es una interfaz gráfica para TSK, muy potente para una visión global y correlación de datos.
# Ejemplo con TSK para listar inodos borrados
sudo ils -f ext4 -d /path/to/image.dd
# Ejemplo para listar archivos y directorios (incluyendo borrados)
sudo fls -r -d -D -m /path/to/image.dd

📝 Ejemplo Práctico: Recuperación de Archivos Eliminados en EXT4

Imagina que tenemos una imagen forense de un disco EXT4 y sospechamos que se eliminó un archivo importante. Usaremos TSK.

  1. Listar archivos eliminados y sus inodos:
sudo fls -d -u /path/to/ext4_image.dd

Esto mostrará una lista de archivos y directorios, incluyendo los eliminados (marcados con `*`), junto con sus números de inodo. Busca el nombre del archivo que te interesa o patrones de inodos eliminados.

2. Recuperar el contenido del inodo: Una vez que identificamos el inodo (por ejemplo, 12345) de un archivo eliminado, podemos intentar recuperar sus datos usando icat.

sudo icat -r /path/to/ext4_image.dd 12345 > recovered_file.bin

Esto volcará el contenido del inodo `12345` al archivo `recovered_file.bin`. Es posible que el archivo esté fragmentado o parcialmente sobrescrito, pero a menudo se puede recuperar una porción significativa.

3. Analizar el tipo de archivo recuperado: Usa la herramienta file para identificar el tipo de contenido recuperado, lo que puede ayudar a darle un sentido.

file recovered_file.bin
¿Por qué es importante el journaling en EXT4?El journaling (registro por diario) en EXT4 es un mecanismo que registra los cambios en los metadatos del sistema de archivos antes de aplicarlos. Esto mejora la fiabilidad, ya que permite recuperar el sistema de archivos a un estado consistente después de un fallo (como un corte de energía), sin necesidad de una comprobación completa de disco. Forensicamente, el journal puede contener un rastro de operaciones recientes, aunque su análisis directo es complejo y no siempre se considera persistente para la evidencia como los metadatos normales.

🪟 Análisis Forense de NTFS (Windows)

NTFS (New Technology File System) es el sistema de archivos por defecto en los sistemas operativos Windows desde Windows NT. Es un sistema de archivos muy avanzado con características como seguridad a nivel de archivo, journaling, compresión, cifrado y enlaces duros/blandos.

📜 Estructura Clave de NTFS: La MFT

El componente más crítico de NTFS para el análisis forense es la Tabla Maestra de Archivos (MFT). La MFT es una base de datos de entradas, donde cada entrada corresponde a un archivo o directorio en el volumen NTFS. Incluso la propia MFT es un archivo dentro del sistema NTFS (el $MFT).

Cada entrada de la MFT ($MFT Entry) contiene una serie de atributos que describen el archivo o directorio. Estos atributos pueden contener:

  • $STANDARD_INFORMATION: Fechas de creación, modificación, acceso, MFT entry change (MACB), permisos, propietario.
  • $FILE_NAME: Nombres de archivo (puede haber múltiples, por ejemplo, nombre corto DOS y nombre largo de Windows).
  • $DATA: Contenido del archivo. Para archivos pequeños, los datos pueden almacenarse directamente dentro de la MFT (residente). Para archivos grandes, este atributo contendrá punteros (runlists) a los clústeres donde se encuentran los datos (no residente).
  • $BITMAP: Para directorios, indica qué entradas de la MFT están siendo utilizadas por archivos dentro de ese directorio.
  • $INDEX_ROOT / $INDEX_ALLOCATION: Para directorios, organizan la lista de archivos y subdirectorios.
Registro de la MFT (Entrada NTFS) $STANDARD_ INFORMATION $FILE_NAME $DATA Otros Atributos ($SECURITY_DESC...) Residente El contenido se guarda dentro de la MFT No Residente VCN / LCN (Runlist) Clusters Externos Tamaño fijo: 1024 Bytes por entrada

🛠️ Herramientas para NTFS

El análisis forense de NTFS se beneficia de herramientas potentes:

  1. The Sleuth Kit (TSK) y Autopsy: Al igual que con EXT4, TSK/Autopsy son excelentes para NTFS. Permiten examinar la MFT, recuperar archivos borrados, ver metadatos y mucho más.
# Listar contenido de un volumen NTFS (incluyendo borrados)
sudo fls -f ntfs -r -d -D /path/to/ntfs_image.dd
# Extraer contenido de un archivo usando su número MFT (si está disponible)
sudo icat -f ntfs /path/to/ntfs_image.dd <mft_entry_number> > recovered_file.bin
  1. ntfs-3g utils (para Linux): Proporciona utilidades para trabajar con NTFS. ntfsinfo puede mostrar información detallada sobre un volumen NTFS y sus archivos. ntfscat puede mostrar el contenido de un archivo.
sudo ntfsinfo -f /path/to/ntfs_partition # Reemplaza con la partición o imagen

  1. dumpcfg (de nfi.exe de Microsoft - ya descontinuado, pero el concepto es válido): Herramientas más antiguas de Microsoft ofrecían la capacidad de volcar la MFT. Hoy en día, las herramientas de terceros son más comunes.

  2. Recuperación de datos específicos: Herramientas como Foremost o Scalpel son útiles para la recuperación de archivos basada en firmas (file carving). Escanean el disco byte a byte en busca de cabeceras y pies de página de tipos de archivo conocidos (JPG, DOCX, PDF, etc.), sin depender de los metadatos del sistema de archivos.

foremost -t jpg,pdf -i /path/to/ntfs_image.dd -o /path/to/output_directory

📝 Ejemplo Práctico: Análisis de la MFT y Atributos

Vamos a usar TSK para explorar una imagen NTFS.

  1. Obtener información general del sistema de archivos:
sudo fsstat -f ntfs /path/to/ntfs_image.dd

Esto te dará detalles como el tamaño del clúster, la ubicación de la MFT, etc.

2. Listar las entradas de la MFT y sus atributos: TSK no tiene una herramienta directa como debugfs para ver todos los atributos de una entrada MFT de forma interactiva en la línea de comandos, pero istat puede ser útil para un inodo/entrada MFT específico.

sudo istat -f ntfs /path/to/ntfs_image.dd <mft_entry_number>

Esto mostrará los atributos principales (fechas, tamaño, etc.) del archivo o directorio asociado a ese número de entrada MFT. El número de entrada MFT se puede obtener con `fls`.

3. Análisis de fechas MACB: Una de las fuentes de información más ricas en NTFS son las fechas MACB ($STANDARD_INFORMATION). Estas fechas (Modificación, Acceso, Creación, Entrada MFT Modificada) son cruciales para establecer líneas de tiempo de actividad. Autopsy proporciona una interfaz excelente para visualizar y filtrar archivos por estas fechas, permitiendo al investigador reconstruir la secuencia de eventos.

90% Comprensión Básica de NTFS

🕵️ Consideraciones Forenses Avanzadas

El análisis de sistemas de archivos no se limita a recuperar archivos eliminados y ver metadatos. Hay capas más profundas de información que un experto forense debe considerar.

👻 Espacio No Asignado y Slack Space

  • Espacio No Asignado (Unallocated Space): Son los bloques o clústeres del disco que el sistema de archivos marca como libres. Sin embargo, como mencionamos, pueden contener datos de archivos previamente eliminados que aún no han sido sobrescritos. Es un objetivo principal para la recuperación de datos.
  • Slack Space: Es el espacio residual dentro del último bloque o clúster asignado a un archivo, si el tamaño del archivo no es un múltiplo exacto del tamaño del bloque/clúster. Por ejemplo, si un bloque es de 4KB y un archivo tiene 3KB, los 1KB restantes del bloque son slack space. Este espacio puede contener fragmentos de datos de archivos anteriores que ocuparon ese mismo bloque, lo que puede ser una fuente inesperada de evidencia.

📊 Atributos NTFS Menos Conocidos pero Cruciales

NTFS es complejo y ofrece atributos que a menudo se pasan por alto:

  • Alternate Data Streams (ADS): Una característica de NTFS que permite asociar múltiples flujos de datos a un único archivo sin que sean visibles en las herramientas de exploración de archivos convencionales. Los atacantes y el malware a menudo abusan de los ADS para ocultar datos o código.
# Para listar ADS en un archivo (en Linux con ntfs-3g)
# Nota: Esto es complejo sin herramientas específicas de forense. 
# Autopsy puede detectar ADS automáticamente.
# Ejemplo de uso desde Windows CMD (para entender el concepto): 
# echo "contenido oculto" > secret.txt:hidden.txt
  • Journal ($LogFile): NTFS mantiene un journal que registra cambios transaccionales en el sistema de archivos. Aunque principalmente para la recuperación de fallos, puede contener metadatos sobre operaciones recientes que pueden ser útiles forensicamente.
  • $USN Journal ($Extend$UsnJrnl): El Update Sequence Number (USN) Journal registra todos los cambios en archivos y directorios en un volumen NTFS. Proporciona una línea de tiempo detallada de la actividad, incluyendo creaciones, modificaciones, eliminaciones y reubicaciones. Es una mina de oro para la reconstrucción de eventos.

🔗 Enlaces Duros y Simbólicos

  • Hard Links: Permiten que múltiples entradas de directorio apunten al mismo inodo (EXT4) o entrada MFT (NTFS). Eliminar un enlace duro no elimina el archivo hasta que todos los enlaces que apuntan a él son eliminados.
  • Soft Links (Enlaces simbólicos): Son archivos especiales que contienen la ruta a otro archivo o directorio. Son más flexibles pero si el destino original se borra, el enlace simbólico apunta a la nada (enlace roto).

Entender cómo funcionan estos enlaces es vital para comprender la verdadera estructura de archivos y evitar errores al determinar la existencia o eliminación de un archivo.

⚠️ Advertencia: La complejidad de los sistemas de archivos modernos requiere un conocimiento profundo y un uso cuidadoso de las herramientas. Un análisis incorrecto puede llevar a conclusiones erróneas o la pérdida de evidencia.

📝 Consejos para un Análisis Forense Exitoso

  1. Preservación de la Evidencia: Siempre crea una imagen forense bit a bit del medio original antes de cualquier análisis. Utiliza herramientas como dd o FTK Imager.
  2. Documentación Exhaustiva: Registra cada paso, cada comando ejecutado, cada resultado obtenido. Una cadena de custodia impecable es fundamental.
  3. Herramientas Múltiples: No confíes en una sola herramienta. Diferentes herramientas pueden revelar diferentes aspectos del sistema de archivos o tener capacidades de recuperación únicas.
  4. Conocimiento del OS: Un buen forense digital no solo entiende los sistemas de archivos, sino también cómo interactúan con el sistema operativo (procesos, registro, servicios, etc.).
  5. Análisis de Línea de Tiempo: Correlaciona eventos y metadatos de diferentes fuentes para construir una cronología precisa de los hechos. Herramientas como Autopsy son excelentes para esto.
Paso 1: Adquisición Forense: Crear una imagen forense del disco (dd, FTK Imager).
Paso 2: Montaje Seguro (Si Necesario): Montar la imagen de solo lectura o usar herramientas que trabajen directamente sobre la imagen sin montarla.
Paso 3: Identificación del Sistema de Archivos: Determinar si es EXT4, NTFS, exFAT, HFS+, etc. (uso de `fdisk -l`, `mmls`, `fsstat`).
Paso 4: Análisis de Metadatos: Examinar inodos/MFT para fechas MACB, permisos, propietarios.
Paso 5: Recuperación de Datos Eliminados: Utilizar herramientas como `fls`, `icat`, `foremost`, `scalpel`.
Paso 6: Búsqueda de Artefactos Específicos: ADS, journal, $UsnJrnl, registros de eventos, etc.
Paso 7: Correlación y Línea de Tiempo: Unir toda la información para reconstruir el incidente.

El campo de la informática forense es vasto y en constante evolución. La investigación de sistemas de archivos es una de las habilidades más fundamentales y poderosas que un analista puede poseer.

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!