Continuando con la serie de
entradas en esta oportunidad vamos a identificar la evidencia, es decir si es
una copia parcial (partición o volumen) o una copia total del disco (lo más
recomendable).
En primera instancia y solo por facilidad creamos un enlace
simbólico hacia la imagen forense con el comando ln –s. La identificación de la
estructura, sistema operativo y otros de la imagen forense es fundamental para
determinar el uso de herramientas, técnicas y artefactos que serán analizados.
![]() |
| Enlace simbólico a la imagen forense y uso del mmls |
Como se puede observar en la imagen, mediante
el comando fdisk –lu identificamos primero el tamaño en este caso 931,5 GiB
(1TB) , tamaño del sector 512 bytes y la cantidad de particiones en este caso
son 5 algunas reservadas del sistema operativo
y las ultimas 2 podría “suponer” que son los volúmenes del S.O.
| Cabecera GPT |
Con estos valores, se puede
determinar la distribución del disco incluyendo la ubicación de la tabla de
particiones, área de partición, y copias de seguridad de la tabla de cabecera y
partición GPT.
| Análisis del Header GPT de la imagen forense |
Tomando en cuenta el offset de
inicio de la partición que contiene datos multiplicando por el tamaño del
sector de 512 bytes dan un valor de 554696704, tomando como referencia ese
valor se procede a montar la evidencia solo lectura.
| Punto de Montaje de la Imagen forense |
El proceso de análisis de los
artefactos, recuperación de archivos y generación de la línea de tiempo no es
parte de la entrada, en las siguientes entradas se explicará el proceso de análisis
y recuperación de información borrada.
¡Saludos!
I.A


No hay comentarios:
Publicar un comentario