RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Monday, November 10. 2008

Ślad po sdelete

Informacja, że coś zostało usunięte jest informacją przydatną. Jeśli to coś zostało usunięte przy pomocy narzędzi typu sdelete (i innych mających na celu uniemożliwienie odzyskania usuniętych danych), to jest to kolejna interesująca informacja. Sam fakt, że narzędzie sdelete istnieje w systemie wcale nie świadczy o tym, że było wykorzystane. Przykład: Forensic Practical #2.

Jeden z komentujących zwraca uwagę na narzędzie sdelete, przy czym dodatkowo pisze:

1/30/08 9:41:22am sdelete.exe was created in the LST folder. No prefetch for this executable, cannot say if it was executed or not (Last Access was 1 second later, so maybe it was). Userassist does not show it executing. MUICache does not show it as having been executed. Shows up as having a window size of 800x600 in the ShellNoRoam BAGs key - application once ran with that window size, but cannot show it ran then.

Jest więcej śladów (albo raczej więcej "braków śladów"), że narzędzie to było uruchomione. Po pierwsze od pewnego czasu użycie narzędzi z Sysinternals wiąże się z akceptacją EULA. Po akceptacji EULA przez użytkownika tworzony jest klucz w rejestrze, w wypadku sdelete klucz HKEY_CURRENT_USER\Software\Sysinternals\SDelete, a w nim wartość EulaAccepted, której w tym przykładzie nie ma.

Po drugie sdelete usuwa (nadpisuje) zawartość pliku, oraz wielokrotnie nadpisuje nazwę tego ostatniego, przy czym na końcu nazwa ta wygląda mniej więcej tak: ZZZZ.ZZZ. Jeśli na dysku są pliki o nazwach tego typu (a właściwie były, bo zostały usunięte), można zakładać, że zostały one usunięte przy pomocy narzędzia sdelete.

Po trzecie zawartość tak usuniętego pliku. Nadpisanie pliku odbywa się wartościami losowymi, a więc entropia danych będzie duża. Trzeba pamiętać, że istnieją pliki "normalne" o dużej entropii (np. pliki szyfrowane, pliki skompresowane). Jeśli kogoś ten temat interesuje, może łatwo sprawdzić entropię wybranych przez siebie plików za pomocą narzędzia CryptTool (zresztą może przeprowadzić z nim więcej ciekawych eksperymentów).

Oczywiście, jeśli narzędzie sdelete było użyte "dużo wcześniej", to ślady po jego użyciu mogły już zostać nadpisane przez kolejne nowo tworzone pliki.

Ślady
Brak Śladów
Komentarze
Brak komentarzy
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Tamagotchi XIV: Logexts
Wednesday, 11 June 2008
PDF w piaskownicy - Adobe Reader X
Sunday, 21 November 2010
Backtrack i Ralink
Wednesday, 23 August 2006
Aż boli...
Monday, 21 October 2019
Bootcamp II(c|d): hinty
Saturday, 18 February 2012
Co z tego, że Secure?
Saturday, 25 February 2012
AND/OR, optymalizacje i SQLi
Thursday, 6 June 2013
Bootcamp VII: (blind) SQL Injection (hinty)
Tuesday, 19 May 2009
Limitowanie klienta
Monday, 12 November 2012
Jewellery shop scam w praktyce
Tuesday, 23 February 2010