Copiar archivos bloqueados o en uso sin ShadowCopy, salvando obstáculos…

Ya seas perito forense, administrador de sistemas o técnico, seguro que en alguna ocasión os habéis visto en la necesidad de copiar algún archivo que por alguna razón este bloqueado (En otro post ya hablaré de este tema con más detenimiento) y no podemos o debemos crear una instancia de vss, para ello nos encontramos que no podemos copiarlos a otras ubicaciones y nos supone algún que otro dolor de cabeza, en el presente post os mostraré algunas herramientas para tal fin y demostrar que no solo de vss vive el administrador de sistemas y mucho menos el forense cuando queremos hacer la adquisición de determinados archivos (si, ya sé que la casuística es enorme), en cualquier caso, como siempre recomiendo probar las herramientas y opciones antes de determinar cuál se adapta mejor a nuestras necesidades.

Las herramientas expuestas en el presente post han sido probadas en un windows 10 profesional  compilación 17763, en un sistema encendido y con la idea de que no podemos apagarlo bajo ningún concepto, todos los ejemplos los he realizado intentado copiar el hive de SAM a cualquier sitio, ya sea un dispositivo usb, un disco externo o ubicación de red, sin utilizar herramientas externas más allá de las utilizadas para el tema del presente post,  no entro a valorar si son o dejan de ser válidas para un análisis forense o para administradores de windows,  seguro que algunas de ellas ya son más que conocidas por ambos perfiles pero bueno no está demás conocer nuevas herramientas si es que no las conocéis ya, por supuesto.

La primera prueba antes de empezar, será intentar copiar el hive de SAM sito en c:\windows\system32\config al escritorio y evidentemente nos dará el siguiente error:

 

Os recuerdo que estas herramientas han sido seleccionadas teniendo en cuenta que el sistema está encendido, veamos algunas de esas herramientas:

FTK Imager Lite (https://accessdata.com)
Gran herramienta de adquisición y análisis de AccessData en su versión Lite, imprescindible tanto para forenses como para sysadmins tener esta herramienta en vuestro arsenal.

Su funcionamiento es bastante sencillo, simplemente vamos a FILE -> Add Evidence Item y seleccionamos el disco en cuestión, navegamos hasta la ruta donde se encuentra el archivo SAM que lo encontraremos dentro de c:\windows\system32\config lo seleccionamos, pulsamos botón derecho y seleccionamos Export Files.

Seleccionamos la ruta destino, que puede ser otro dispositivo o unidad de red mapeada y pulsamos en aceptar.

y ya tenemos el archivo extraído.

 

RAWCOPY (https://github.com/jschicht/RawCopy)

Herramienta de línea de comandos que permite copiar archivos utilizando método de lectura de disco a bajo nivel y además al ser por línea de comandos nos permitirá crear scripts (aunque, podemos ver también como otros lo han utilizado, veasé TR3Secure Volatile Data Collection Kit ). Nos descargamos la herramienta desde Github, descomprimimos en un pen y listo para usar:

Ejemplo: vamos a seguir el ejemplo anterior, abrimos un cmd con privilegios de administrador, nos vamos a la ruta donde tenemos el rawcopy en mi caso e:\rawcopy y lanzamos el siguiente comando:

RawCopy64.exe /FileNamePath:C:\Windows\System32\config\SAM /OutputPath:E:\rawcopy

Y como podemos ver, se ha exportado correctamente el archivo. Si os leéis bien la documentación de esta herramienta, no os decepcionará es una pequeña joya, poco conocida y realmente flexible.

 

The Sleuth Kit (https://www.sleuthkit.org/sleuthkit/download.php)

Otra herramienta que siempre debería estar en el kit de un forense, sysadmin u otros, es un recurso espectacular, creada por Brian Carrier, el kit tiene herramientas para trabajar en distintas capas: de sistema de archivos, de contenido/datos, metadatos/inodo o interfaz de usuario/archivo. Nosotros nos centraremos en la capa de Metadatos (inodo, MFT) utilizando las herramientas:

ifind – Para determinar que inodo, en nuestro dirección del archivo en la MFT.
icat – Muestra el contenido de los bloques de una dirección.

NOTA: Como estamos trabajando en windows, se hace necesario mencionar que para que dichas herramientas funcionen correctamente, hay que utilizar el Win32 Device Namespaces, os dejo un texto extraído de microsoft, donde encontraréis más info al respecto.

Win32 Device Namespaces

The «\\.\» prefix will access the Win32 device namespace instead of the Win32 file namespace. This is how access to physical disks and volumes is accomplished directly, without going through the file system, if the API supports this type of access. You can access many devices other than disks this way (using t he CreateFile and DefineDosDevice functions, for example).

Resumiendo mucho, es la forma de acceder directamente a discos, volúmenes, etc. sin tener que pasar por el sistema de archivos.

Como os podéis imaginar cambiará un poco la forma de realizar insertar las rutas, pero solo es cuestión de acostumbrarse y por fin vamos al tajo.

La opción que nos interesa es -n vamos a por ello.

ifind -n /windows/system32/config/SAM \\.\c:

Nos da la dirección del Hive SAM en la $mft en nuestro caso 323790, y ahora con icat volcaremos la información de esa dirección a un archivo, vamos …..

icat.exe \\.\c: 323790 > SAM

Relativamente sencillo ¿no? Listo otro método visto. Vayamos a por el siguiente….

 

PCHUNTER (http://www.xuetr.com/download/PCHunter_free.zip)

Ahora os traigo una herramienta gráfica y multiusos, solo voy a explicar como utilizarlo para la cuestión que ocupa el presente artículo, así que vamos a ello, la descargamos, descomprimimos, en mi caso ejecutaré la versión 64bits PCHunter64.exe y nos aparecerá una ventana tal que así:

Nos dirigiremos a la pestaña de file y en la parte de la izquierda iremos a la ruta y posteriormente seleccionaremos el archivo de nuestro interés, botón derecho y copy to

Y nos saldrá otra ventanita donde seleccionaremos la ruta donde queremos que lo copie y listo.

 

RAW FILE COPIER (https://www.novirusthanks.org/products/raw-file-copier-pro/)

Herramienta gráfica de novirusthanks, freeware en mis pruebas solo tiene una pequeña pega y es que los selectores de archivo no van muy finos, pero introduciendo la ruta y el archivo a mano funciona bien, otra opción que os dejo:

Y hasta aquí lo dejamos por hoy,  espero que este post os sea de utilidad y que con estas herramientas no abra archivo que se os resista en el futuro 🙂  .

Os dejo una pregunta: ¿ Vosotros utilizáis otras herramientas en el mismo contexto? ¿Cuáles? Espero vuestros comentarios.

2 respuestas a «Copiar archivos bloqueados o en uso sin ShadowCopy, salvando obstáculos…»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.