Creación de Imágenes Forenses con DD y DC3DD en Linux
Clase 15 de 49 • Curso de Informática Forense
Contenido del curso
Etapa I: Identificación
Etapa II: Preservación
- 9
Dispositivos de Bloqueo Contra Escritura: Uso y Función
06:10 min - 10
Adquisición de Evidencia con FTK Imager en Informática Forense
08:34 min - 11
Creación de Imágenes Forenses: Proceso y Verificación
11:46 min - 12
Adquisición de Imágenes Forenses con Gaitán Software
09:04 min - 13
Adquisición en Vivo de Memoria RAM para Análisis Forense
11:33 min - 14
Creación de Imágenes Forenses en Linux con Paladín
08:11 min - 15
Creación de Imágenes Forenses con DD y DC3DD en Linux
Viendo ahora - 16
Adquisición de Imágenes Forenses en Linux con FTK Imager
07:21 min - 17
Creación de Imágenes Forenses con Paladín en Dispositivos Apple
08:21 min - 18
Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target
08:20 min - 19
Algoritmos de Funciones Hash y su Uso en Computación Forense
10:12 min - 20
Adquisición de Imágenes Forenses: Herramientas y Técnicas
01:02 min - 21
Verificación de Imágenes Forenses con Algoritmos Hash
00:42 min
Etapa III: Análisis de Evidencia Pt. 1
- 22
"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"
09:25 min - 23
Sistemas de Archivos en Linux y Mac: Funcionamiento y Características
09:50 min - 24
Análisis y Exportación de Imágenes Forenses con FTK Imager
09:21 min - 25
Creación y Gestión de Imágenes Forenses Personalizadas
06:36 min - 26
Análisis Forense de Archivos de Registro en Windows
09:37 min - 27
Análisis Forense de Imágenes de Sistema Operativo Linux
06:16 min - 28
Elaboración de Informes Preliminares en Incidentes Informáticos
02:33 min - 29
Creación de Imágenes Forenses Personalizadas
00:33 min - 30
Elaboración de Informes Preliminares de Investigación
00:30 min
Etapa III: Análisis de Evidencia Pt. 2
- 31
Análisis de Archivos SAM con Regripper en Windows
10:42 min - 32
Análisis de Archivos de Registro en Windows con Regripper
06:32 min - 33
Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad
08:36 min - 34
Análisis Forense del Registro de Windows: Archivos NTUSER.DAT y ShellBags
10:55 min - 35
Ubicaciones clave en el Registro de Windows para la investigación forense
00:49 min - 36
Análisis de Archivos Prefetch en Windows para Investigación Forense
11:31 min - 37
Funcionamiento y Recuperación de Archivos en la Papelera de Reciclaje Windows
09:05 min - 38
Ampliación de Informes de Análisis Forense Digital
01:30 min
Etapa III: Análisis de Evidencia Pt. 3
- 39
Diferencias de Configuración y Uso entre Linux y Windows
05:17 min - 40
Proceso de Inicio de Linux: BIOS, GRUB, Kernel e Init
01:40 min - 41
Configuración de Usuarios y Archivos Clave en Linux
10:29 min - 42
Análisis de Archivos de Registro en Sistemas Operativos Linux
07:03 min - 43
Uso de Autopsy para Análisis Forense Automatizado
10:08 min - 44
Ordenar información para informes efectivos
00:19 min
Etapa IV: Presentación.
Conclusiones Finales
Resumen
En el fascinante mundo de la informática forense, la capacidad de crear imágenes forenses confiables y precisas es esencial. Trabajar con herramientas especializadas como Paladin es común, pero entender los fundamentos y manejar procedimientos manuales resulta invaluable. Hoy hemos puesto nuestra vista en el corazón de la adquisición de datos y cómo una comprensión profunda de este proceso puede ser la clave al no poder usar herramientas especializadas.
¿Cómo se generan las imágenes forenses manualmente?
Crear una imagen forense de forma manual implica utilizar comandos específicos en una consola Linux. Esto requiere elevar los permisos para trabajar con autoridad administrativa, especialmente cuando se usa una distribución que no tiene un usuario configurado por defecto. Los pasos son:
- Conectar el dispositivo de almacenamiento al que se le va a realizar la adquisición.
- Identificar correctamente el dispositivo en el sistema, generalmente bajo el patrón
/dev/sdb. - Montar el dispositivo en modo de solo lectura para evitar alteraciones.
¿Qué herramientas se usan para la creación manual de imágenes?
dd
El comando dd en Linux es una potente herramienta originalmente diseñada para la copia y conversión de archivos. En el contexto forense, se utiliza para crear una imagen forense cruda realizando una copia bit a bit del dispositivo de almacenamiento deseado. La sintaxis básica para este procedimiento es:
dd if=/dev/sdb of=/path/to/output/file.img
ddrescue
ddrescue es una versión mejorada del comando dd que, además de copiar datos, incluye opciones adicionales y tolerancia a errores. Ideal para trabajar con dispositivos dañados donde la simple ejecución de dd podría no ser exitosa.
¿Cómo se verifica la integridad de las imágenes forenses?
La verificación de la integridad de las imágenes generadas se realiza mediante el cálculo de hash. Los algoritmos más comunes incluyen MD5, SHA1 y SHA256. Estos algoritmos producen un valor único para el conjunto de datos analizado, lo cual es vital para comprobar que la imagen no ha sufrido cambios.
Calcular hash con md5sum
Para calcular el hash MD5 de una imagen forense se utiliza el comando md5sum:
md5sum /path/to/image.img
El resultado es una cadena de caracteres que debe ser idéntica cada vez que se calcula, asumiendo que no ha habido alteraciones en la imagen.
¿Por qué es importante entender el proceso manual?
Comprender y poder ejecutar la adquisición y verificación de imágenes forenses manualmente brinda flexibilidad y un recurso invaluable cuando las herramientas automatizadas no están disponibles o fallan. Además, el conocimiento detallado del proceso permite un mayor control y adaptabilidad durante las investigaciones digitales.
En nuestra próxima sesión, exploraremos cómo herramientas como FTK Imager y ddrescue pueden ser usadas en distintas plataformas y sistemas operativos, demostrando la importancia de una amplia base de conocimientos en informática forense. ¡Continúa aprendiendo y sumergiéndote en el fascinante campo de la ciberseguridad!