Análisis Forense de Volúmenes NTFS Roberto Arbeláez, M.Sc, CISSP, CISA, PMP Security Program Manager for Latin America CSS Security Microsoft Corp. roberto.arbelaez@microsoft.com Terminología Bit B t Byte Sector Cluster Volúmen Partición • • • • Página Bl Bloque Bloque lógico Cluster Lógico Bloques estructurales de NTFS •Bits •Bytes •Sector: El contenedor más básico para referenciar datos en un disco (variable en tamaño – depende del violúmen, pero usualmente es de 512 bytes) •Cluster: La cantidad más pequeña de espacio en Disco que puede asignarse para almacenar un archivo (usualmente 4 u 8 KB, se puede configurar durante el formato). Clusters Físicos y Lógicos Los clusters virtuales representan clusters contíguos g para archivos, aunque físicamente p , q puedan estar fragmentados (existen en el contexto de la memoria)) Co po e tes ese c a es de u Componentes esenciales de un Drive e MBR (Master Boot Record) Tabla de Partición GPT (Partición GUID) GPT (Partición GUID) Sector de Arranque (Bloque de parámetros del BIOS) MFT (Master File Table) Versiones de NTFS v1.0, con NT 3.1 10 NT 3 1 v1.1, con NT 3.5 v1.2, com NT 3.51 v3.0, con Windows 2000 v3.1 de Windows XP a Windows 7 3 1 d Wi d XP Wi d 7 Un sistema de archivos con muchas características •Data Streams alternos p Files •Sparse •Reparse Points •Hard Links •Volume Shadow Copy •Compresión de archivos •Encripción de Archivos •Sistema de Archivos Transaccional (Vista y posteriores) •Journaling ¿Qué existe en el bloque Cero? Depende Disco Físico Disco Físico MBR, incluyendo Master Boot Code y la Tabla de Partición Disco Lógico Debe existir un Sector de Arranque para poder «montar» el volúmen El sector de arranque contiene el BPB (BIOS Parameter Block) que ayuda a la máquina a arrancar del volúmen – Block) que ayuda a la máquina a arrancar del volúmen si este está configurado para arrancar Arquitectura de NTFS O Organización de un Drive NTFS i ió d D i NTFS MBR MBR (2) MBR (2) Tabla de Particiones 16 bytes para cada una de las 4 posibles particiones MBR ‐ Tabla de Particiones Organización de los Volúmenes El Sector de Arranque del Volúmen Conocido como «boot sector» Registro de Arranque del Volúmen Registro de Arranque del Volúmen en WinHex Bloque de Parámetros del BIOS (BPB) Define metadatos sobre el volúmen Bytes opor Bytes opor sector Sectores por clúster T Typo d di de disco Sectores Totales D d Donde encontrar el MFT l MFT Clusters por registro del MFT Número serial del volúmen BPB BPB(2) Introducción a $MFT •Master File Table •Un arreglo plano de registros MFT de longitud fij (típicamente fija (tí i t 1KB). 1KB) •Todo es un archivo en el MFT •NTFS.sys crea la abstracción bt ió folders/tree f ld /t para el usuario final Offset Size Description 0x00B 2 BPS=Bytes per sector 0x00D 1 SPC=Sectors per Cluster 0x030 8 MFT Offset (in Clusters) Ubicando el MFT durante el arranque Master Boot Record (MBR) Partition 1 (Active, System) Partition TableTable Boot Sector Boot Code (15 sectors) \Boot\BCD $MFT \bootmgr \Windows\System32\ Winload.exe Archivos especiales de NTFS (1) Indice Nombre Descripción 0x00 $MFT Master File Table – Un índice de cada archivo 0x01 $MFTMirr Una copia de respaldo de respaldo de los 4 primeros de los 4 primeros registros del MFT del MFT 0x02 $LogFile Archivo de registro transaccional 0x03 $Volume Numero de serie, tiempo de creación, bandera sucia (dirty flag) 0x04 $AttrDef Definiciones de Atributos 0x05 \ Directorio raíz del disco 0x06 $Bitmap El mapa de clusters del volúmen (en uso vs. libre) 0x07 $Boot Arranque (boot record) del volúmen Archivos especiales de NTFS (2) Indice Nombre Descripción 0x08 $BadClus Lista clusters dañados en el volúmen 0x09 $Secure p de seguridad g usados por p el volúmen Descriptores 0x0A $UpCase Tabla de caracteres en mayúsculas usados para cotejar 0x0B $Extend Directorio: $ObjId, $ObjId $Quota, $Quota $Reparse, $Reparse $UsnJrnl 0x0C-0x0F <Unused> Marcado como en uso pero vacío A Any $ObjId Id tifi d único Identificador ú i dado d d a cada d archivo hi Any $Quota Información de cuota Nota: Detalles específicos de NT4/2000 omitidos por claridad Archivos especiales de NTFS (3) Indice Nombre Descripción Any $Reparse Información de Punto de Reparse Any $UsnJrnl Journalling Legible >16 A_File Un archivo ordinario (pero, típicamente >24) >16 A_Dir Un directorio ordinario (p (pero,, típicamente p >24)) … … … Nota: Detalles específicos de NT4/2000 omitidos por claridad Registros de MFT MFT Record “FILE” Header Attributes $STANDARD_INFORMATION $FILE_NAME $ $DATA Offset Size Description 0x04 2 Offset to the Update Sequence 0x06 2 Size of the Update Sequence&Array 0x08 8 $LogFile Seq. Number 0x10 2 Sequence Number 0x12 2 Hard link Count 0x14 2 Offset to First Attribute 0x16 2 Flags (InUse, Directory) 0x18 4 Size of record 0x1C 4 Allocated Size (i.e. MFT record size) 0x20 8 Base Record reference 0x28 2 Reserved 0x2A 0x2C 4‐2 This record s reference number $STANDARD_INFORMATION Offset Size Description 0x00 8 C Time - File Creation 0x08 8 A Time - File Altered 0x10 8 M Time - MFT Changed 0x18 8 R Time - File Read 0x20 4 DOS File Permissions 0x24 4 Maximum Number of Versions 0x28 4 Version Number 0x2C 4 Class Id 0x30 4 Owner Id 0x34 4 Securityy Id 0x38 8 Quota Charged 0x40 8 Update Sequence Number (USN) $FILE_NAME Offset Size Description 0x00 8 File reference to the parent directory. 0x08 8 C Time ‐ File Creation 0x10 8 A Time ‐ File Altered 0x18 8 M Time ‐ MFT Changed M Time MFT Changed 0x20 8 R Time ‐ File Read 0x28 8 Allocated size of the file 0x30 8 Real size of the file 0x38 4 Flags, e.g. Posix, Dos, Win32 0x3C 4 reserved 0x40 1 Filename length in characters (L) 0x41 1 Filename starts here Atributos residentes/No residentes MFT Record 0 d Resident Attributes: Data is inside the record Record 1 Attributes Data Non Resident Attributes: Data is D t i on disk di k outside t id of MFT f MFT Record N Data Runs of Attrs Data Runs of Attrs Attributes Data Encabezado de Atributos Residentes MFT Attribute Header Attribute’s specifics Offset Size Description 0x00 4 Attribute Type Code 0x04 4 Length (incl Header) Length (incl. 0x08 1 Form Code (Resident/NonResident) 0x09 1 be 0)) Name Length (can g ( 0x0A 2 Offset to the Name 0x0C 2 Flags (Compressed, Encryted,Sparse) 0x0E 2 AttributeID 0x10 4 Attribute s length 0x14 2 Offset to attribute 0x16 1 Indexed flag Encabezado de Atributos no Residentes MFT Attribute Header Att ib t ’ d t Attribute’s data runs Offset Size Description 0x00 4 Attribute Type Code 0x04 4 Length (incl. (incl Header) 0x08 1 Form Code (Resident/NonResident) 0x09 1 Name Length g ((can be 0)) 0x0A 2 Offset to the Name 0x0C 2 Flags (Compressed, Encryted,Sparse) 0x0E 2 AttributeID 0x10 8 Starting VCN 0x18 8 Last VCN 0x20 2 Offset to DataRuns …. $DATA (Residente) Los datos Los datos son el atributo son el atributo El tamaño de los datos son el tamaño del atributo $DATA (No Residente) Las formas no residentes de $Data son típicas de atributos no residentes. no residentes Los datos son la suma de los data runs L D t R Los Data Runs son almacenados l d de manera d comprimida Offset (in nibble) Offset (in nibble) Size (in nibble) Size (in nibble) Description 0 1 F=Size of the Offset field 1 1 L=Size of the Length field 2 2*L Length 2+2*L 2*F Offset to the beginning of previous Run (signed) Data Runs MFT Record “FILE” Header Attributes Data stored Data stored in disk in disk clusters clusters Hello World 1!!! Hello World 2!!! Hello World 3!!! …….. $STANDARD_INFORMATION $FILE_NAME $DATA Hello World 7!!! Hello World 7!!! Hello World 8!!! Hello World 9!!! …….. Data Run #1 Data Run #2 Data Run #3 Hello World 4!!! Hello World 5!!! Hello World 6!!! ll ld !!! …….. Data Runs 21 20 ED 05 22 48 07 48 22 21 28 C8 DB Sizeof Length Sizeof Length Sizeof Length Sizeof Offset Sizeof Offset Sizeof Offset Run # Size of Run Offset to Previous 1st Cluster of Cluster 1 0x0020 +0x05ED 0x0000+0x05ED = 0x05ED 2 0x0748 +0x2248 0x05ED+0x2248 = 0x2835 3 0x0028 +0xDBC8 0x2835+0xDBC8 = 0x03FD USN Journal •Metadatos (relacionados con el MFT) actualizados en orden •Con estampillas de tiempo (timestamps)! •Tracks: k –Creación –Borrado –Truncado –Cierre de Handles –Otros… USN Journal #2 •Habilitados por defecto desde Windows Vista ((desabilitados p por defecto en 2000/XP/2003) / / ) •Pueden ser habilitados ser habilitados desde Windows 2000 Windows 2000 usando: f til usn createjournal fsutil t j l m=1000 a=100 C: 1000 100 C Shape Stock MFT Attribute MFT Record “FILE” Header Attributes $STANDARD_INFORMATION $DATA Header $INDEX_ALLOCATION Attribute’s specifics $OBJECT_ID $FILE_NAME $ATTRIBUTE LIST $ATTRIBUTE_LIST $ATTRIBUTE_LIST ¿Preguntas?