Presentamos TScopy
Es un requisito durante un compromiso de Respuesta a Incidentes (IR) tener la capacidad de analizar archivos en el sistema de archivos. A veces, estos archivos están bloqueados por el sistema operativo (SO) porque están en uso, lo que es particularmente frustrante con los registros de eventos y las secciones del registro. TScopy permite al usuario, que se ejecuta con privilegios de administrador, acceder a archivos bloqueados analizando su ubicación sin formato en el sistema de archivos y copiándolos sin preguntar al sistema operativo.
Existen otras herramientas que realizan funciones similares, como RawCopy, que hemos utilizado y es la base de esta herramienta. Sin embargo, hay algunas desventajas de RawCopy que nos llevaron a desarrollar TScopy, incluido el rendimiento, el tamaño y la capacidad de incorporarlo en otras herramientas.
¿Qué es TScopy?
TScopy es un script de Python que se utiliza para analizar el archivo NTFS $ MFT para localizar y copiar archivos específicos. Al analizar la tabla maestra de archivos (MFT), el script omite los bloqueos del sistema operativo en los archivos. El script se basó originalmente en el trabajo de RawCopy. RawCopy está escrito en AutoIT y es difícil de modificar para nuestros propósitos. La decisión de migrar RawCopy a Python se tomó debido a la necesidad de incorporar esta funcionalidad de forma nativa en nuestro conjunto de herramientas. TScopy está diseñado para ejecutarse como un programa independiente o incluirse como un módulo de Python. La implementación de python hace uso de las herramientas de python-ntfs que se encuentran en https://github.com/williballenthin/python-ntfs. TScopy se basó en la funcionalidad básica de python-ntfs para aislar la ubicación de cada archivo del disco sin formato.
¿Qué hace que TScopy sea diferente?
TScopy está escrito en Python y organizado en clases para hacerlo más fácil de mantener y leer que AutoIT. AutoIT puede ser marcado como malicioso por software antivirus o de detección porque algunos programas maliciosos han utilizado su potencial.
La principal diferencia entre TScopy y RawCopy es la capacidad de copiar varios archivos por ejecución y almacenar en caché la estructura del archivo. Como se muestra en la imagen a continuación, TScopy tiene opciones para descargar un solo archivo, múltiples archivos delimitados por comas, el contenido de un directorio, rutas con comodines (archivos o directorios individuales) y directorios recursivos.
Almacena en caché la ubicación de cada directorio y archivo a medida que itera la ruta completa del archivo de destino. Luego usa esta caché para optimizar la búsqueda de cualquier otro archivo, asegurando que las copias de archivos futuras se realicen mucho más rápido. Esta es una ventaja significativa sobre RawCopy, que recorre la ruta completa para cada archivo.