brute_file_carving: recuperación de imágenes corruptas

Saludos,

El tema de éste post inició con un interrogante.
Si tengo una cantidad de información en crudo como una imagen de un disco corrupta, o un archivo de word corrupto, o cualquier otro tipo de raw data (información en crudo) del cual puedo leer su código hexadecimal en crudo y del cual necesito sabe que tipo de archivos, información contiene ¿como recupero la información legible?
 

Algunos preconceptos a tener en cuenta: 

Código hexadecimal

 Como editar código hexadecimal

 Headers y footers de tipos de archivos



Pues si el propósito es hacer el análisis manual de la información se me ocurrió hacer una prueba de concepto primero buscando en la lectura hexadecimal de la raw data (información en crudo) un header de una imagen jpg y buscar su correspondiente footer, en el caso de no encontrarse o de haber sido eliminado dicho footer no sabría donde termina la imágen.

Entonces empecé a hacer una prueba haciendo un script en python que leyera el código hexadecimal en crudo del archivo y fuera agregando el footer jpg luego de cada byte para hacer la prueba, al hacer ésto deberían generarse una serie de imágenes de las cuales luego verificaría de cuales de esas imágenes se generaría una vista previa en el explorador de archivos y proseguiría a observar como se ve dichas imágenes generadas.

Luego de terminar el script leí un poco sobre el concepto y encontré que dicha técnica se llamaba file carving por lo cual llamé al script brute file carving pero de hecho antes de hacer el script no había leído sobre la técnica y como se hacía.

El propósito era entonces simplemente recuperar una imágen pero me encontré con algo interesante, 
luego de ver las imágenes que se generaban, pude apreciar visualmente como es que se genera una imágen byte a byte, como se van creando los pixeles, como se siguen algunos patrones dependiendo de la imágen y el tamaño de las mismas , ésto es lo que les comparto hoy, el script que hice y el video de como funciona. La idea es hacer luego un video más extenso explícando cada parte del código del script.

Video de la prueba de concepto:





Link del repositorio de código: https://github.com/kr1shn4murt1/brute_File_Carving


Código fuente del script: brute_file_carving.py
Link de la imágen de prueba: Test_Image.jpg

Comentarios

Publicar un comentario

Entradas más populares de este blog

Obtener el ID y password de teamviewer de una maquina en la LAN

La herramienta de la que hablaré en este post obtiene el id y password de teamviewer en un proceso de post explotación. Nació de la necesidad que tuve durante un pentest donde el escenario era el siguiente: Obtuve shell remota en una máquina donde podía ejecutar comandos pero no tenía acceso a entorno gráfico, la máquina no tenía activado escritorio remoto, la seguridad era fuerte, antivirus instalado y actualizado el cual no pude desactivar por linea de comandos, sistema perimetral de seguridad, reglas de filtrado de tráfico en el utm el cual no sabía que tanto estaba siendo monitoreado. La shell la obtuve sin ejecutar ningún exploit, la idea era no ejecutar nada sospechoso que pudiera disparar alarmas en el antivirus instalado localmente ni en el sistema de seguridad perimetral ya que el pentest se daría por terminado si algún comportamiento malicioso era detectado La máquina tenía instalado teamviewer, si lograba de alguna manera leer desde línea de comandos el id y contr...
Leer más

Activar mensajero en Windows 7 y 2008

Imagen
Saludos, El mensajero es un servicio que permite enviar mensajes entre dos equipos con sistema operativo windows, para usarlo primero se debe activar tanto en el equipo origen como en el equipo destino y luego se utiliza digitando en el prompt o en inicio - ejecutar el comando: net send [equipo de destino] [mensaje a enviar] , o en vez de equipo de destino se puede reemplazar por "*" si es a toda la red, los mensajes aparecerán en los equipos de destino como una ventana  pop up, veremos la manera de emular su funcionamiento en windows 7 y 2008 de donde fué eliminado dicho servicio. Este se activa en Windows XP y 2003 en el menú panel de control - herramientas administrativas - servicios, allí se busca el mensajero, se le da click derecho - propiedades y luego de la lista desplegable de tipo de inicio se le pone inicio automático, luego click al botón iniciar y listo, ejecutando el procedimiento en dos equipos ya se puede enviar mensajes entre ellos. Por r...
Leer más

mail_crawler: intrusión y revisión masiva de cuentas de correo

Imagen
Saludos, Éste video se trata de como ingresar masivamente a cuentas de correo pop3 e imap haciendo uso de programación, para efectos de la prueba se usaron cuentas de hotmail y gmail, su utilidad se presenta cuando tenemos un listado grande de cuentas de correo y contraseñas las cuales necesitamos verificar, ya sea sólo verificar el ingreso para constatar que la contraseña sea válida o hacer otro tipo de operaciones como revisar el tamaño de las carpetas, buscar un mensaje, buscar palabras claves dentro de los mensajes y de coincidir con dicha palabra descargarlo, y asi mismo podemos modificar el script para que mueva, elimine o envíe correos en todas las cuentas que se encuentren en el archivo de configuración que vamos a usar. Hay casos en los cuales investigadores informáticos haciéndole análisis de malware a un virus han podido obtener el preciado botin del bicho, todas las cuentas de correo que ha capturado con sus respectivas contraseñas en ocasiones miles, ese es uno de los c...
Leer más