Qualcuno che capisce di forensics?

[ciriccio]

Ciao, chiedo aiuto a chi ne sa più di me.
Ho tra le mani un hard disk con su Windows 10 dove è successo questo:

- giorni fa l'account locale non andava più e si poteva entrare solo con quello Microsoft
- outlook con account aziendale non funzionava più nonostante lo avessero reinstallato
- una cartella sul desktop con roba molto importante era vuota (questo in seguito a pulizia fatta all'esterno di questa cartella dal proprietario del pc, molto poco esperto)

Ho già effettuato un recupero dati con più di un sistema, anche ovviamente con la firma etc... ed ho trovato solo una parte della roba persa.
Poi l'hard disk non ha problemi di tipo è troppo pieno e non riporta errori anche con un test lungo fatto con DriveDx (che sarebbe un buon corrispondente di hddtune per i Mac).
Aggiungo però che il recupero mi ha mostrato un $BadClus da 68.72 giga datato 6 gennaio 2016... so che si tratta di uno sparse file me se qualcuno ha consigli, sono bene accetti. Tra l'altro l'm.2 in questione è da 256.
In ogni caso sto indagando su questo file e su come poterlo eventualmente analizzare.

Ho preparato una macchina con Sift... e ho montato le due copie shadow presenti, una del 3 ed una del 6 aprile ma non ho trovato praticamente nulla in più

Gli ho lanciato contro un bulk_extractor ma devo andare ancora a guardare bene cosa sia uscito

Devo ancora fare un giro di antivirus etc

Avrei queste domande per chi ne capisce

1) In questo momento l'm.2 è montato nel mio hackintosh. Sto per rimettere l'M.2 nel pc originale ed agirò solo sui file e01 letti da una macchina virtuale con Sift. Che mi consigliate di fare per antivirus ed anti malware?

2) Esiste un modo veloce per capire quando quella cartella è stata svuotata?
Ripeto che purtroppo nelle copie shadow c'è molto poco in più.
Questa credo sia la domanda più importante
Aggiungo una cosa: la copia shadow più vecchia (ed anche la partizione reale) dice che la cartella in questione è stata modificata l'ultima volta il 22 marzo... questo significa che quei file, visto che non ci sono, sono stati rimossi prima del 22 marzo giusto?

3) Avendo anche fatto un dump del SAM... posso capire come mai l'account locale non andava più? Lo chiedo anche perché a quanto pare lo script DELETED.pl (per chi sa di cosa io stia parlando) è stato rimosso dalla macchina preparata e scaricabile

4) Consigli sul problema di outlook?

Grazie

[HDDaMa]

Ciao,
è possibile che i file siano stati eliminati dall'utente poco esperto o magari è stato qualche tool di pulizia.
Quando i file vengono cancellati dalle memorie a stato solido col TRIM attivo (quelle moderne ce l'hanno tutte attivato di default) questi non sono più recuperabili nemmeno con i sw di recupero dati classici.
L'unico modo possibile per tentare il recupero dei dati persi sarebbe quello di fare una scansione completa (raw) della partizione in cui risiedevano ricercandone i metadati, sperando che ancora risiedano fisicamente sul disco.
Quando si eliminano dei dati, i cluster su cui risiedono vengono contrassegnati dal catalog file come sovrascrivibili quando necessario da eventuali nuovo dati, per cui spero che dopo tale fatto la M.2 non sia più stata utilizzata.

Come software per tale ricerca dei file persi suggerisco R-studio, se i file persi non sono dei banali jpg, mp4, doc ma qualcosa di meno comune potrebbe essere necessario indicare gli indici di apertura e chiusura di quel tipo di file analizzando dei campioni a livello esadecimale. Guarda anche dentro il file $BadClus caricandolo in r-studio e scansionalo.
Se i file eventualmente presenti sono parzialmente recuperabili (risultano corrotti) è possibile che una parte di essi siano stati già sovrascritti oppure non sono contigui (cioè i cluster sono frammentati), in tal caso servirebbero ben altri tools che siano in grado di ricostruire i metadati dei cluster sparsi qua e la, tipo CnW Recovery.
Se i file che ti servono dovessero risultare frammentati (ammesso che vengano trovati) potrebbe addrittura andare bene Photorec (è gratuito) se sono jpg/mp4.

Come software per un'eventuale analisi dettagliata dell'immagine del disco suggerisco EnCase.

[ciriccio]

Quote:

Originariamente inviato da HDDaMa

L'unico modo possibile per tentare il recupero dei dati persi sarebbe quello di fare una scansione completa (raw) della partizione in cui risiedevano ricercandone i metadati, sperando che ancora risiedano fisicamente sul disco.

Certo, fatto più volte.

Quote:

Originariamente inviato da HDDaMa

Quando si eliminano dei dati, i cluster su cui risiedono vengono contrassegnati dal catalog file come sovrascrivibili quando necessario da eventuali nuovo dati, per cui spero che dopo tale fatto la M.2 non sia più stata utilizzata.

No purtroppo è stata utilizzata per più giorni...

Quote:

Originariamente inviato da HDDaMa

Come software per tale ricerca dei file persi suggerisco R-studio, se i file persi non sono dei banali jpg, mp4, doc ma qualcosa di meno comune potrebbe essere necessario indicare gli indici di apertura e chiusura di quel tipo di file analizzando dei campioni a livello esadecimale. Guarda anche dentro il file $BadClus caricandolo in r-studio e scansionalo.

Quelli importanti sono doc e ppt, ok thanks

Quote:

Originariamente inviato da HDDaMa

Se i file eventualmente presenti sono parzialmente recuperabili (risultano corrotti) è possibile che una parte di essi siano stati già sovrascritti oppure non sono contigui (cioè i cluster sono frammentati), in tal caso servirebbero ben altri tools che siano in grado di ricostruire i metadati dei cluster sparsi qua e la, tipo CnW Recovery.

Thanks
Ci sono molti .doc da pochi bytes illeggibili... mentre quelli persi (ne ho recuperati 80 circa) sono da 20 -50 kB...
Dici che ci sarebbero speranze di mettere assieme e rendere leggibili quelli da pochi bytes?

Quote:

Originariamente inviato da HDDaMa

Se i file che ti servono dovessero risultare frammentati (ammesso che vengano trovati) potrebbe addrittura andare bene Photorec (è gratuito) se sono jpg/mp4.

Thanks

Quote:

Originariamente inviato da HDDaMa

Come software per un'eventuale analisi dettagliata dell'immagine del disco suggerisco EnCase.

Eh sì lo avevo già considerato ma sono migliaia di euro XD

Dovrei eventualmente dirglielo lol

Penso che se lo sapessi usare bene anche sift non sia male

[ciriccio]

Aprendo con r-studio quel file (montandolo come immagine, spero sia il modo corretto) vedo questo



ora sto leggendo i file... spero di recuperare qualcos'altro!

[HDDaMa]

Sul catalog file dei sistemi apple vengono salvati le informazioni riguardanti i files (esempio il nome, data di creazione, ultimo accesso, cartella d'appartenenza, numero di cluster che li compongono e loro posizione, ecc) mentre il file vero e proprio viene ovviamente salvato da un'altra parte all'interno della partizione, almeno per quanto riguarda quelli che superano una dimensione di pochi Kb.
I file molto piccoli vengono salvati direttamente nel catalog file (non so dirti quale sarebbe la soglia su sistemi Apple).
Posso dirti che su sistemi windows, si possono salvare files fino a 900 byte di grandezza all'interno del filesystem NTFS.

Per cui, se quei piccoli files erano salvati all'interno del catalog file, sono stati sicuramente sovrascritti con un zero fill nel momento in cui sono stati cancellati, questo è il modo di funzionare delle ssd col trim attivo.

[ciriccio]

ora ho l'm.2 montato sul mio hackintosh ma sto usando r-studio su macchina Windows virtuale
hai qualche consiglio da darmi prima che lo tolga e lo rimetta nel suo pc windows originale?

[ciriccio]

Senti ma fammi capire una cosa:

guardando il contenuto di $BadClus, io in pratica cosa sto leggendo?

Tecnicamente dico, la copia di cosa spostata lì perché?

Se non ho capito male, per esserci davvero bad cluster il nome dovrebbe continuare con l'attributo bad e poi i numeri, giusto?

[HDDaMa]

$BadClus sta per Bad Cluster, cioè cluster danneggiati.
Questo tipo di file viene usato da utility di controllo errori come il chkdsk e contiene un elenco dei cluster contrassegnati come danneggiati sulla partizione.

L'editor esadecimale di R-Studio cosa mostra sul primo settore di $BadClus ?
Se non è stato trovato alcun cluster danneggiato dal chkdsk (o tool di terze parti) non ci troverai niente dentro.

[ciriccio]

Quote:

Originariamente inviato da HDDaMa

$BadClus sta per Bad Cluster, cioè cluster danneggiati.
Questo tipo di file viene usato da utility di controllo errori come il chkdsk e contiene un elenco dei cluster contrassegnati come danneggiati sulla partizione.

Sì ma non è detto ce ne siano sebbene il file esista.

da
S.G. TASKIN et al./ ISITES2018 Alanya – Antalya - Turkey

Quote:

When the NTFS partition is installed, the partition contains $ AttrDef, $ BadClus, $ Bitmap, $ Boot, $ LogFile, $ MFT, $ MFTMir, $ Secure, $ UpCase, and $ Volume meta files. $ AttrDef, $ BadClus, $ Bitmap, $ Boot, $ LogFile, $ MFT, $ MFTMir, $ Secure, $ UpCase and $ Volume
metadata.

Da un altro testo di Forensics leggo

Quote:

NTFS keeps track of the damaged clusters by allocating them to a $DATA attribute of the $BadClus file system metadata file, which is in MFT entry 8. The $DATA attribute, named $Bad, is a sparse file, and when a cluster is reported to be bad, it is added to the attribute. Recall from Chapter 11 that a sparse file is one that saves space by not allocating a cluster if it is going to be filled with zeros. The reported size of the $Bad attribute is equal to the total size of the file system, but it initially does not have any clusters allocated to it. Windows adds clusters to the $Bad attribute when it finds bad clusters, but many hard disks will find a bad sector before the file system does.

The details of the $BadClus file in our example file system image are shown here:

Codice:

# istat –f ntfs ntfs1.dd 8
[REMOVED]
Attributes:
Type: $STANDARD_INFORMATION (16-0)
Type: $FILE_NAME (48-3)   Name: N/A
Type: $DATA (128-2)   Name: $Data
Type: $DATA (128-1)   Name: $Bad
                         size: 72
Non-Resident   size: 1052803072

Notice that the file has two $DATA attributes, and the default one, $Data, is resident with a size of 0. The $DATA attributed named $Bad is non-resident and has a size of 1,052,803,072 bytes, but no cluster addresses are shown because this file system has no bad clusters. The size of the attribute is the same as the file system size, which we saw in the fsstat output.

...ed ho trovato un vecchio post relativo ad un OS precedente dove un tipo parlava di $BadClus:$Bad invece di $BadClus quindi volevo ben capire cosa davvero sia contenuto in $BadClus

Quote:

Originariamente inviato da HDDaMa

L'editor esadecimale di R-Studio cosa mostra sul primo settore di $BadClus ?

Sull'm.2 ci sarebbero 4 partizioni così suddivise

Codice:

SanDisk SD7SN6S-256G-1006:

  Capacity:	256,06 GB (256.060.514.304 bytes)
  Model:	SanDisk SD7SN6S-256G-1006               
  Revision:	X3511006
  Serial Number:	
  Native Command Queuing:	Yes
  Queue Depth:	32
  Removable Media:	No
  Detachable Drive:	No
  BSD Name:	disk2
  Medium Type:	Solid State
  TRIM Support:	Yes
  Partition Map Type:	MBR (Master Boot Record)
  S.M.A.R.T. status:	Verified
  Volumes:
SYSTEM :
  Capacity:	1,07 GB (1.074.790.400 bytes)
  File System:	NTFS
  BSD Name:	disk2s1
  Content:	Windows_NTFS
  Volume UUID:	9EB57D16-82D0-4EC5-A8F1-01B0D117FCEB
Windows:
  Capacity:	232,84 GB (232.844.689.408 bytes)
  File System:	NTFS
  BSD Name:	disk2s2
  Content:	Windows_NTFS
  Volume UUID:	9369C9D6-0ADD-4935-9797-5D8A0576D0F3
HP_RECOVERY:
  Capacity:	19,99 GB (19.986.907.136 bytes)
  File System:	NTFS
  BSD Name:	disk2s3
  Content:	Windows_NTFS
  Volume UUID:	A6B2163C-C550-4333-9ABA-22FF7DFDCE20
HP_TOOLS:
  Capacity:	2,15 GB (2.147.483.648 bytes)
  File System:	MS-DOS FAT32
  BSD Name:	disk2s4
  Content:	DOS_FAT_32
  Volume UUID:	F277E9A0-9A47-3023-B716-6B09BF81CBEE

Vorrei capire perché quel file ha quella dimensione e poi cosa significhi la data di modifica 6 gennaio 2016 sempre in relazione a quel file

Poi, se la modifica di quella cartella importante è datata 22 marzo vuol dire che appunto quanto successo è precedente o coincidente col 22 marzo giusto?

[ciriccio]

Quote:

Originariamente inviato da HDDaMa

Se non è stato trovato alcun cluster danneggiato dal chkdsk (o tool di terze parti) non ci troverai niente dentro.

oh... ok... quindi il fatto ci stia trovando un sacco di roba dentro vuol dire ci fossero cluster danneggiati...

Scusa ma è normale il software di analisi sul Mac non mi restituisca nulla?

E scommetto che appena lo metto nel pc originale e faccio una analisi con hd tune non troverò nulla nemmeno sì.

Cioè vorrei capire... ciò che viene identificato come bad poi diventa invisibile a programmi così?

Ecco comunque cosa vedo con DriveDX

[HDDaMa]

E' possibile che i cluster non fossero davvero danneggiati ma che siano stati interpretati come tali per qualche malfunzionamento.
Lo smart indica che ci sono stati 71 errori sull'attributo 174, cioè l'hdd all'improvviso si è spento/riavviato a livello di alimentazione.
Forse un problema di alimentazione del pc?

Non capisco come mai hai trovato tanta roba dentro al file $BadClus.
E' strano per me.

[ciriccio]

Hd Tune dice sia tutto ok...
Trim su windows attivo.

Quando finisco sia di recuperare ed ordinare i file e di cercare di capire qualcos'altro cosa dovrei dire al proprietario?

Il disco ha o no problemi? Esiste qualche altro modo per vedere se il firmware ha isolato qualcosa che però HD tune tipo non vede?