Una vez aclarado los aspectosbásicos y fundamentales del Análisis forense digital en la anterior entrada hoy
vamos entrar de lleno a la parte técnica, para el uso de herramientas y
sistemas operativos como laboratorio forense existe una gran cantidad de
herramientas.
Para entender las diferentes
capas que podrían ser analizadas podemos partir desde el medio físico de
almacenamiento siguiendo por dos caminos: la adquisición de la memoria volátil (análisis
en vivo) y/o adquisición del disco duro donde reside el S.O. Dependiendo del
S.O nos encontramos con particiones o volúmenes, a su vez estas tienen un
sistemas de archivos (ntfs, ext3, ext4, fat32, etc.) Donde se ejecutan aplicaciones.
| Capas de Análisis Forense Digital |
Se puede observar que comenzando desde un dispositivo almacenamiento (disco duro) se genera un proceso para el análisis, desde el medio físico pasamos los sectores del disco, luego seguimos al análisis de las particiones o volúmenes, sobre esas particiones están los sistemas de archivos y los propios archivos analizar.
| Flujo del Análisis Forense Digital |
En nuestro caso en particular
utilizaremos Kali 2.0 ya que viene con las herramientas necesarias para la
adquisición de imágenes forense (copia bit a bit de los dispositivos de almacenamiento). Para esta entrada en
particular vamos a utilizar la herramienta dcfldd que es una versión “reload”
del tan utilizado dd, esta herramienta fue desarrollada por el laboratorio de informática
forense del departamento de defensa de los Estados Unidos, algunas de sus características
son:
- Barra de progreso sobre los datos que ya han sido copiados o enviados.
- Sobre-escritura de discos con patrones conocidos o pre establecidos.
- Verificación de la integridad entre el elemento clonado y la imagen forense (bit a bit)
- Salidas simultaneas de archivos (output)
- Las imágenes pueden ser dividas output1.dd, output2.dd, output3.dd
- Los registros y los datos pueden ser re direccionados a otra aplicación externa.
- La aplicación solo produce imágenes crudas (raw).
Formato
del archivo (Imagen Forense)
Cuando generamos una imagen
dependiendo de la herramienta podes seleccionar el formato del archivo (la identificación
de los distintos formatos queda fuera de esta entrada), nos vamos a centrar en
el formato raw.
| Formato de Imagen Forense |
Comenzamos viendo la ayuda de
la herramienta (cuando algo sale mal lea el manual).
| Ayuda de dcfldd |
La ayuda es muy larga -como
puteada de tartamudo- pero en la imagen podemos observar los parámetros necesarios
como el if (que es desde donde va a
leer, es decir el elemento o dispositivo a copiar y el of que es el destino donde vamos almacenar la imagen forense (copia
bit a bit), como vimos en la descripción de la herramienta podemos generar el
hash para preservar la integridad al vuelo (on-the-fly) con el parámetro hashlog, otro parámetro interesante es errlog aquí configuramos la dirección donde
se creara un archivo con los mensajes de error (si existiesen).
Para crear la copia, debemos identificar
el dispositivo a copiar y donde vamos a copiar, mediante fdisk –l se identifica
/dev/sda (disco duro donde se reside el S.O) y /dev/sdb (memoria USB), para
fines didácticos vamos a generar una copia de la partición /dev/sda5 que tiene
un tamaño de 466M y vamos almacenar en la memoria USB.
| Identificando el origen y destino |
Procedemos a crear la copia, primero creamos la carpeta evidencia, luego generamos la copia preservando la integridad de la misma firmando la imagen forense mediante sha256 volcando el resultado en un archivo de texto como se puede observar en la imagen.
| Generando y Preservando la Copia |
No hay comentarios:
Publicar un comentario