Diferencia Crucial: Copia Forense vs. Backup
- Copia Forense: Reproduce la totalidad del medio origen, incluyendo el espacio vacío, revelando información valiosa como archivos eliminados.
- Backup Tradicional: Copia solo los datos utilizados en una unidad digital, excluyendo el espacio vacío.
Tipos de Copia Forense: Explorando Opciones
- Copia Física: Reproduce la totalidad del disco duro.
- Copia Lógica: Copia exacta de una unidad lógica específica.
- Copia Específica: Selecciona elementos críticos cuando la copia completa no es posible.
Formatos de Copia Forense: Herramientas Universales y Especializadas
- DD (Universal): Copia byte a byte, aunque no permite compresión ni cifrado.
- E01 (Encase): Desarrollado por Encase, compatible con la mayoría de las herramientas, ofrece compresión, cifrado y valor de integridad hash.
- AFF: Menos compatible pero desarrollado por una empresa privada.
Herramientas Clave para Copia Forense: Accesibles y Efectivas
- FTK, Imager, Ausforensic, Elixpro: Variedad de herramientas disponibles en el mercado, tanto gratuitas como de pago.
Acciones Iniciales Cruciales en la Escena: Volcado en la Memoria RAM
- No Apagar el Equipo: Evita pérdida de información en la memoria RAM.
- Volcado en la Memoria RAM: Utiliza comandos como ‘dd’ en sistemas como Inuts para realizar una copia de los registros.
Herramientas Forenses en Windows: Desvelando Tesoros de Datos
- Historial de cmd, Tablas ARP, ipconfig: Registros de comandos lanzados y detalles de red.
- Netstat, Systeminfo, Hostname: Información clave para el análisis y levantamiento de datos.
- Registros en System32: Detalles sobre usuarios, llaves de registro, eventos de sistema y prefetch.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?