ExifTool - Dcdd3 - Análisis Forence Informático




Bueno en este pequeño post vamos a hablar un poco de analisis forense, y voy a presentar dos herramientas que son muy útiles al momento de querer inmiscuirnos en la información que nos puede mostrar archivos, images...etc... ^_^...Pues bueno comenzemos.....


ExifTool 

Pues ExifTool es una plataforma independiente de la biblioteca Perl, más una aplicación de línea de comandos para leer, escribir y editar la información de meta en una amplia variedad de archivos . ExifTool es compatible con muchos formatos diferentes, incluyendo los metadatos EXIF , GPS , IPTC , XMP , JFIF , GeoTIFF , ICC Profile , Photoshop IRB , FlashPix , AFCP y ID3 , así como las notas de autor de muchas cámaras digitales.

ExifTool también está disponible como un ejecutable independiente de Windows y un paquete de Macintosh OS X : (Tenga en cuenta que estas versiones contienen el ejecutable solamente, y no incluyen la documentación de HTML u otros archivos de la distribución completa más arriba).
El ejecutable de Windows independiente no requiere de Perl. Sólo tienes que descargar el archivo un-zip y luego hacer doble click en "exiftool (-k). Exe" para leer la documentación de la aplicación, arrastrar y soltar los archivos y carpetas para ver la información de metadatos, o cambiar el nombre a "exiftool.exe" para uso de línea de comandos. Funciona en todas las versiones de Windows (incluyendo Window 7)

El paquete OS X  se instala la aplicación de línea de comandos ExifTool y las bibliotecas en / usr / bin. Después de la instalación, escriba "exiftool" en una ventana de terminal para funcionar exiftool y posteriormente lea la documentación de la aplicación.


Características :

  • Potente, rápido, flexible y personalizable.
  • Soporta un gran número de diferentes formatos de archivo.
  • Lee EXIF, GPS, IPTC, XMP, JFIF, MakerNotes, GeoTIFF, ICC Profile, Photoshop IRB,  FlashPix, AFCP, ID3 y más ...
  • Escribe EXIF, GPS, IPTC, XMP, JFIF, MakerNotes, ICC Profile, Photoshop IRB, AFCP y más ...
  • Lee y escribe notas del fabricante de muchas cámaras digitales.
  • Decodifica un acertijo envuelto en un misterio dentro de un enigma.
  • Numerosas opciones de salida de formato (incluyendo delimitado por tabuladores, HTML, XML y JSON).
  • Salida de Multi-idioma (cs, de, en, en-ca, es-es, es, fi, fr, it, ja, ko, nl, pl, ru, sv, tr, zh-CN o zh-tw).
  • Geoetiquetas imágenes de archivos de registro de seguimiento de GPS (con corrección de deriva vez!).
  • Genera registros de trazado de imágenes georeferenciadas.
  • Cambia los valores de fecha / hora de fijar las marcas de tiempo en imágenes.
  • Cambia el nombre de los archivos y organiza en directorios (por fecha o por cualquier otra meta información).
  • Extrae imágenes en miniatura, vista previa de imágenes, y las grandes imágenes JPEG desde archivos RAW.
  • Copias meta información entre los archivos (incluso los archivos de diferente formato).
  • Lee / escribe datos XMP estructurada.
  • Elimina la información meta individualmente, en grupos o en conjunto.
  • Establece la fecha de modificación del archivo (y la fecha de creación de Windows) de la información EXIF.
  • Compatible con etiquetas en idiomas alternativos XMP, PNG, ID3, Font, QuickTime, ICC Profile, MIE y la información MXF.
  • Todo Procesos árboles de directorios.
  • Crea el archivo de salida de texto para cada archivo de imagen.
  • Crea binario formato de metadatos de sólo archivos (MIE) para copias de seguridad de metadatos.
  • Realiza automáticamente copias de imagen original al escribir.
  • Organiza la producción en grupos.
  • Procesos condicionalmente archivos basado en el valor de la información meta.
  • Posibilidad de añadir etiquetas definidas por el usuario personalizados.
  • El apoyo a las recomendaciones GTM (Grupo de Trabajo de Metadatos).
  • Reconoce miles de diferentes etiquetas.
  • Probado con imágenes de miles de diferentes modelos de cámara.
  • Advanced detallado y salidas de volcado hexadecimal en formato HTML.
Bueno para esta ocasión voy a utilizar el Exiftools que ya esta predeterminado en BaCkTraCk5R3 .... =)
Aquí lo podemos observar en Forensic Analysis Tools ---> exiftool
Bueno lo seleccionamos y listo....=)

A continuación vamos a observar las opciones que nos proporciona esta herramienta.....Pero para poder utilizarla dichas opciones vamos a presionar la tecla Q.



En este paso voy a analizar una foto que acabo de tomar con mi "celular".....Bueno para poder extraer la información de la imagen vamos a ingresar lo siguiente. (Mi imagen se encuentra en el escritorio y lleva el nombre de carro y se encuentra en formato jpg)

# ./exiftool /root/Desktop/carro.jpg



Por último aquí podemos ver la información que hemos podido extraer de la imagen, cabe resaltar que tambien podemos extraer la ubicación exacta (Geolocalización) de donde fue tomada-capturada la fotografía, pero para esto el aparato que hemos utilizado debe de tener poseer esas características.(Este proceso es como si el aparato firmara todos sus datos en la imagen, ahora nosotros vamos a extraer esa supuesta firma.)



Dcdd3 



Dc3dd es una versión modificada de dd, y tiene como función darnos el control de las funciones de disco de bajo nivel. Dc3dd contiene características que son de gran utilidad a la investigación forenses, incluyendo características que ayudan a proteger el disco original de la copia.Suele ser muy útil al momento de querer hace una imagen de disco de gran tamaño en partes pequeñas, esto puede suceder cuando se trata de archivos de imágenes que son pesados para una traslado mas sencillo.


Tengan en cuenta que la copia de imágenes crudas (bit a bit) de medios que luego pueden ser empleadas en análisis forense. En este campo de la investigación forense  la captura de imágenes crudas sigue siendo lo más recomendable cuando se analiza un medio, ya que el espacio no asignado puede contener trazas útiles para la investigación que serían obviadas si empleamos utilidades de copia inteligente.

Bueno a continuación vamos hacer una pequeña prueba de esta fascinanente herramienta... =)....Claro esta que esta herramienta se encuentra disponible en BaCkTraCk5R3, pues comenzemos.. ^_^




Solo tendriamos que seleccionarlo de Forensec imaging Tools - dc3dd.




Bueno ahora voy hacer una pequeña prueba de como podemos crear una copia de una imagen forense, claro esta que ustedes pueden ya hacer mas cosas con esta herramienta, como por ejemplo Obtencipon de imagen y cálculo MD5,SHA256...^_^




Bueno creo que eso es topo por el momento, espero que este post les sea de utilidad al momento de hacer una copia en Ram de por ejemplo un USB sospechoso, para sus posterior análisis de sus archivos.