Blog

Analisis Forense – Parte IV – Como funciona la papelera de Windows

1 Analisis Forense – Parte I – Montando el Laboratorio y Clonado con DD

2 Analisis Forense – Parte II – Foremost: Como Recuperar Archivos Borrados

3 Analisis Forense – Parte III – Autopsy: Como analizar un disco duro

4 Analisis Forense – Parte IV – Como funciona la papelera de Windows

5 Analisis Forense – Parte V – Volatility: Como analizar la memoria RAM de Windows

6 Analisis Forense – Parte VI – Como ocultar un archivo

Vamos a ver como funciona la papelera de Windows. Funciona de forma distinta en XP, que en las versiones posteriores (Vista, 7 y 8). Veremos los dos tipos de funcionamiento. Hay que recordar que cada usuario solo puede acceder a su “basura”, es decir, que para poder ver los ficheros borrados del resto de usuarios debes de ser administrador en la maquina. Para realizar esta prueba vamos a mandar un fichero de texto a la papelera que contiene la cadena de texto “buenas tardes”.

Primero vamos a ver como funciona la papelera de Windows XP. La papelera es la carpeta RECYCLER que se situa en la raiz de C. Una vez dentro de esta carpeta si listamos su contenido con “dir” podemos ver que no muestra nada. Para que se muestre su contenido tendremos que invocar el comando “dir” con la opción “/a”. Para cada archivo borrado se genera una carpeta, en el nombre de la carpeta aparece el identificador de Windows del usuario que lo ha borrado, en este caso será el  500. Si accedemos dentro de la carpeta y listamos el contenido vemos que hay un fichero que se llama Dc7.txt nada más.

pa3

Tendremos de nuevo que listar el contenido de la carpeta con la opción “/a”. Entonces podemos ver que también aparece un fichero con el nombre “INFO2”, donde se guardan los nombres originales de los ficheros y la información asociada a este como puede ser su ruta original antes de ser borrado. Si mostramos el contenido del archivo Dc7.txt con el comando “more” podemos ver su contenido que era “buenas tardes” como hemos dicho anteriormente.

pa4

Si mostramos el fichero INFO2 con el mismo comando “more”, podemos ver que en su contenido aparece la ruta original del fichero borrado y su nombre original (“poc.txt” era el nombre original).

pa5

 

Ahora vamos a ver como funciona en Windows Vista, 7 y  8.

La carpeta de la papelera se llama $Recycle.Bin y tambien está en la raiz de C. De la misma manera que antes, para listar los ficheros de esta hay que hacer con “dir  /a”. Podemos ver que el nombre de las carpetas que almacenan cada fichero borrado tiene el mismo formato que en Windows XP. La diferencia es que aquí la información dentro de cada carpeta se guarda en ficheros distintos. Tendremos 2 ficheros con el mismo nombre ambos salvo la segunda letra, uno tendrá la I como segunda letra (que será el que almacene la ruta original del fichero borrado) y el otro tendrá la R como segunda letra (que será el que almacene el contenido del fichero borrado). Así que si mostramos el contenido del fichero $RVE905H.txt podremos ver su contenido que era como en el caso anterior “buenas tardes”.

pa1

Y si hacemos un “more $IVE905H.txt” para mostar el contenido del fichero que almacena la ruta original del fichero borrado y su nombre original podemos ver como se nos muestra.

pa2

Pues ya sabeis como funciona la papelera de los Windows por dentro.

Este post va dedicado a Pablo Gonzalez que fue quien me enseñó esto.

Roberto – @leurian

  1. Destroyer20111
    Destroyer2011109-30-2013

    Esta muy bien el tuto al igual que los tutoriales de highsec, el inconveniente que veo de este proyecto en “general” es que siempre estais haciendo pruebas sobre windows XP, y este sistema operativo ya esta practicamente desauciado por microsoft, bajo mi punto de vista deberiais centraros en los S.O que estan más al día porque si seguis centrandoros, en sistemas obsoletos como es XP, lo único que estais haciendo es no enseñar nada útil, como dice el refran, ACTUALIZATE O MUERE, así que mi consejo es que os actualiceis, porque cada vez que haceis referencia a XP como es en el constante caso de los tutoriales que basais en Metasploit, lo que haceis es que la gente este continuamente perdiendo el tiempo en cosas y tutoriales obsoletos y de eso la red está llena. Para diferenciarse hay que ser diferente y de momento a mi no me estais sorprendiendo y no os lo tomeis a la tremenda, con mi comentario solo pretendo ser objetivo y ayudar a que todos estos sitios mejoren, y en mi opinión personal, si no tuvieseis a figuras como secnight o btshell en vuestras listas al igual que el apoyo de gente como flu-proyect, highsec sería uno más, ya que hasta ahora NO habeis destacado en nada, espero que sepais aceptar las criticas al igual que los exitos.

    CHAO.

    • Roberto Lopez
      Roberto Lopez09-30-2013

      Nos gustan las críticas negativas porque son las que nos hacen mejorar. Gracias por haberte tomado el tiempo en darnos tu opinión. Haremos todo lo posible.

      Un saludo, Roberto.

    • Roberto Lopez
      Roberto Lopez09-30-2013

      Destroyer20111 tenemos un servidor en internet con una IP publica en el que ponemos un reto distinto cada 2 meses para que la gente pueda practicar sus ataques en un entorno real y luego lo resolvemos en un evento de seguridad que organizamos cada dos meses que se llama HighSecCON. En este traemos como ponentes a expertos en seguridad para que hagan ponencias sobre temas de seguridad. Aqui tienes los videos de la primera que organizamos http://www.youtube.com/channel/UCzJugAtTQRfv9TOgPNzMqbw

      El blog es solo una pequeña parte del proyecto.

    • @seguridamundial
      @seguridamundial10-01-2013

      Soy fiel lector de highsec.es el hecho de realizar practicas en WXP no da pie para decir que es un tema defasado en el tiempo. La respuesta de Roberto fue muy profesional, pero debo hacer eco de lo importante que es el manejo de la informacion para todos los niveles de conocimiento,aun existen empresas que utilizan WXP… por ersistencia al cambio/tema de presupuesto economico/Compatibilidad de aplicaciones prehistorias aun siguen usandolo… En modo de resumen Acualiza o Muere. Para mi Q.E.P.D

  2. Edgar
    Edgar09-30-2013

    El hehco de que haga las practicas en windows xp, no lo veo mal, ya que simplemente es para mostrar la técnica, y mostrar la prueba de concepto, si quieres algo mas actual investiga sobre el tema, y el que debe dar el tiro eres Tu, puesto no tienes la capacidad de ser autodidacta. Todo lo quieres “peladito y en la boca”, así nunca llegaras lejos espero Tu si sepas aceptar las criticas.

  3. Destroyer20111
    Destroyer2011110-01-2013

    ¿Ya habeis acabado de comerle el culo? pero que mal encajais las criticas.

    P.D: Roberto, no deberias de eliminar los mensajes o respuestas que dejo, en cambio solo dejas las que te conviene, muy mal. ¿eso es profesionalidad? yo digo ¡¡¡NO!!!

    • Roberto
      Roberto10-01-2013

      Lo siento pero en este blog no aceptamos comentarios despectivos hacia la gente, si hubieses tenido un poco más de tacto al decir las cosas no hubiésemos tenido que borrarlo.

      • Destroyer20111
        Destroyer2011110-01-2013

        ¿un comentario despectivo es decirle a alguien que madure? ya, en fin, que sepas Roberto que lo unico que estas haciendo con esa actitud es atraer a mucho lammers a esta web, una lastima, lo malo es que tu actitud va a salpicar a los buenos de highsec, una vez lo leas ya puedes borrar el cometario don Roberto.

        P.D: te falta mucha humildad para reconocer y entender muchas cosas.

Leave a Reply

*

    No Twitter Messages