¿Qué es el comando bulk_extractor?

Bulk_extractor es una herramienta de ejecución de numerosas expresiones regulares. El programa bulk_extractor contiene información del disco duro, parsea datos de todo tipo, direcciones de correo electrónico, archivos zip, términos utilizados en búsquedas, direcciones mac y cualquier cantidad de información que puede sernos de gran relevancia en la informática forense. Por esto, esta es una de las herramientas forenses para análisis de imágenes en disco más utilizadas.

Veamos un poco mejor en qué consiste este comando y sus distintas funcionalidades.

¿Cómo funciona el comando bulk_extractor?

El comando bulk_extractor hace un recorrido completo del disco para obtener diferentes ficheros y buscar palabras y parte del documento con base en las expresiones regulares que ya tiene creadas. Además de esto, también se le pueden pasar otras expresiones regulares que hayan sido creadas por el usuario, pero básicamente lo que hace es: tiene una librería de expresiones regulares y recorre todo el disco de estas expresiones, ya sean correos, dominios, las IP, números de teléfono y demás.

Dependiendo de lo que necesitemos le podemos decir que busque toda la información o que busque solo una parte, es decir, acotar la búsqueda. Es decir, si solo estamos buscando, por ejemplo, dominios, modificamos el bulk_extractor de tal manera que solo busque dominios.

El comando se ve así:

#Cómo se observa el comando
bulk_extractor -o /dir /output /dir /imagen

Recordemos que el bulk_extractor funciona para el sistema operativo Linux. Esta herramienta está ya en Kali, instalada por defecto. Para que funcione, se le puede pasar una imagen de disco o una estructura de carpeta. La imagen puede traerse de un móvil, de Windows o Linux.

Lo que hace bulk_extractor es buscar expresiones regulares dentro del disco o dentro de la herencia misma que le pasen. Entonces, le podemos pasar una imagen o una carpeta. Si le queremos pasar una imagen, llamamos al comando bulk_extractor, le pasamos las opciones que queramos (como mínimo debemos ponerle la opción «-o», que es la del output, es decir, donde queremos que nos ponga la salida) y seguidamente ponemos una imagen de disco. Luego, el comando bulk_extractor por sí mismo recorre la imagen por completo en busca de los parámetros o expresiones regulares.

Aquí hay que tener mucho cuidado si lo estamos haciendo en Linux, ya que si hacemos una imagen con un split (es decir, si tenemos una imagen dividida en fragmentos), no le podemos pasar el 000; tenemos que montar la imagen previamente y pasarle la imagen montada.

Esto significa que, en este caso, no podríamos montar la imagen con el image mounter, como hemos hecho con otros ejercicios, sino que tenemos que, con otro programa, pasar un fichero, el 01 (el primero), le decimos el destino donde queremos que nos lo monte y el programa nos monta la imagen completa. Esa misma imagen completa es la que tenemos que pasarle al bulk_extractor.

Si no queremos usar esta opción, las interfaces gráfica de Kali Linux y de Tsurugi nos ofrecen algunas herramientas, como Disk Image Mounter, en las que podemos montar una imagen de disco. Esta actúa, por decirlo de algún modo, como image mounter, y nos genera una unidad que tiene un volumen con el contenido de ese disco.

Después, faltaría ponerle el bulk_extractor, el «-o» (el output), el «/-p» (de path), el volumen donde hemos montado la imagen y, por último, el «-r» (de recurso).

Ya hemos visto qué es y cómo funciona el comando bulk_extractor. Si quieres seguir formándote en las distintas ramas de la seguridad informática, en KeepCoding tenemos la formación de alta intensidad perfecta para ti. Accede ya a nuestro Ciberseguridad Full Stack Bootcamp y descubrirás cómo puedes transformarte en todo un profesional IT con la guía constante de profesores expertos en el mundillo. ¡Pide ahora mismo más información y atrévete a transformar tu carrera profesional!