jueves, 14 de enero de 2016

Análisis Forense Digital III (Identificando la Imagen Forense)

Continuando con la serie de entradas en esta oportunidad vamos a identificar la evidencia, es decir si es una copia parcial (partición o volumen) o una copia total del disco (lo más recomendable).

En primera instancia y solo por facilidad creamos un enlace simbólico hacia la imagen forense con el comando ln –s. La identificación de la estructura, sistema operativo y otros de la imagen forense es fundamental para determinar el uso de herramientas, técnicas y artefactos que serán analizados.

Enlace simbólico a la imagen forense y uso del mmls 
 Como se puede observar en la imagen, mediante el comando fdisk –lu identificamos primero el tamaño en este caso 931,5 GiB (1TB) , tamaño del sector 512 bytes y la cantidad de particiones en este caso son 5 algunas reservadas del sistema operativo  y las ultimas 2 podría “suponer” que son los volúmenes del S.O.

Uso de fdisk para la identificación de la imagen forense

Las particiones GPT utiliza el estándar de la tabla de particiones DOS, en la siguiente tabla se puede observar detalladamente la estructura de los primeros 92 bytes del header GPT.
Cabecera GPT
 Con estos valores, se puede determinar la distribución del disco incluyendo la ubicación de la tabla de particiones, área de partición, y copias de seguridad de la tabla de cabecera y partición GPT.

Análisis del Header GPT de la imagen forense
 Tomando en cuenta el offset de inicio de la partición que contiene datos multiplicando por el tamaño del sector de 512 bytes dan un valor de 554696704, tomando como referencia ese valor se procede a montar la evidencia solo lectura.

Punto de Montaje de la Imagen forense

El proceso de análisis de los artefactos, recuperación de archivos y generación de la línea de tiempo no es parte de la entrada, en las siguientes entradas se explicará el proceso de análisis y recuperación de información borrada.
¡Saludos!
I.A

No hay comentarios:

Publicar un comentario