Extraer Información Forense utilizando bulk_extractor

  • Posted on: 23 February 2022
  • By: ReYDeS

bulk_extractor es una herramienta de alto desempeño para la explotación en forense digital. Es un botón de “obtener evidencia” el cual rápidamente escanea cualquier tipo de entrada (imagen de disco, archivos, directorios de archivos, etc.), para extraer información estructurada como direcciones de correo electrónico, números de tarjetas de crédito, fragmentos de JSON, y JPEG sin interpretar el sistema de archivos o estructuras del sistema de archivos.

Los resultados son almacenados en archivos de texto plano, lo cuales pueden ser fácilmente inspeccionado, buscados, o utilizados como entradas para otros procesos forenses. bulk_extractor también crea histogramas de ciertos tipos de hallazgos, como términos de búsqueda en Google, y direcciones de correo electrónico, pues las investigaciones demuestran estos histogramas son especialmente útiles en aplicaciones de investigación y para las fuerzas legales.

A diferencia de otras herramientas forenses digitales, bulk_extractor evalúa cada byte de datos para ver si es el inicio de una secuencia la cual puede ser descomprimida o de otra manera decodificada. Si es así los datos decodificados son recursivamente examinados nuevamente. Como resultado de esto bulk_extractor puede encontrar cosas como JPEGs codificados en base64, y objetos JSON comprimidos, los cuales las herramientas de reconstrucción tradicionales podría no encontrar.

Se ejecuta bulk_extractor definiendo la ruta hacia la imagen forense, y con la opción “-o” el directorio donde se extraerán los datos producto de la ejecución de la herramienta.

$ bulk_extractor /media/ sf_Images_DD/atco19/ device1_laptop.e01 -o /tmp/resultados_be/

Finalizada la ejecución de la herramienta, se presentan algunos detalles, como el tiempo total de procesamiento, el hash de la imagen del disco, el total de megabytes procesados, el desempeño global, entre otra información.

En la carpeta contenedora de los resultados producto de ejecutar bulk_extractor, se encontrarán una gran cantidad de histogramas, entre otros archivos relevantes.

Para propósitos de ejemplificar los resultados obtenidos, se muestran los archivos en formato JPEG reconstruidos.

Los archivos generados por bulk_extractor contienen información sobre llaves AES, números de tarjetas de crédito, dominios, correos electrónicos, información GPS, direcciones IP, archivos JPG, información identificable personal, archivos RAR, archivos SQLite, URLs de facebooks, entre otra información.

Fuentes:

https://github.com/simsong/bulk_extractor

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete