Marcos Mosqueda

Ing. Informática
UMC.
Prof. Narváez E.

Copia bit a bit (Clonación forense de disco)

En numerosos procedimientos de peritaje informático se requiere la investigación sobre

uno o varios discos duros o memorias externas (bien en USB, en tarjetas SD, o en cualquier
otro tipo de almacenamiento físico), con el objetivo de aportar información sobre una
variedad de casuísticas: ficheros borrados que deben ser recuperados, correos electrónicos
que deben ser certificados (que pueden haber sido también eliminados o no), comprobación
sobre utilización de copias ilegales de software u otro tipo de delitos contra la propiedad
intelectual, delitos contra la propiedad industrial, almacenamiento y/o difusión de material
ilícito, etc. Ante esta situación, el investigador informático debe proceder siempre con una
máxima: no utilizar nunca el material original y usar, siempre, copias clónicas refrendadas
por un fedatario público.
El clonado forense de discos duros consiste en copiar todo el contenido de un disco
duro, bit a bit, en otro dispositivo de almacenamiento o fichero de imagen obteniendo la firma
hash de los bits leídos durante el proceso. Con ello se obtiene una copia exacta a bajo nivel
de todo el contenido del disco duro además de certificar su contenido con una firma hash.
La firma hash crea una cadena de firma en base a los bits leídos del disco duro, sin
tomar en cuenta la cantidad de bits sobre la que se aplica el algoritmo. Este número tiene una
dependencia del contenido evaluado por el algoritmo permitiendo que si se produjera un
cambio en los datos, el numero HASH cambiara. Por ello la firma hash permite certificar que
el contenido del disco duro no se alterado durante la intervención del perito informático ni
con posterioridad por ninguna otra persona.
Existen distintas formas de obtener la imagen de un disco completo o alguna partición
en específico, lo ideal es contar con un laboratorio portátil para el clonado de disco a fin de
incursionar en lo más mínimo en el sistema del cual se quiere obtener la imagen, también es
posible realizar esta tarea en frio (Con el sistema apagado) o en caliente ( Con el sistema
funcionando).
 Clonación, bit a bit, de un disco con OSForensics en Windows
Esta Suite Forense permite la adquisición de un disco duro, tanto en un entorno vivo,
(Sistema encendido), como en un entorno muerto, (Sistema apagado). Veamos primero el
procedimiento para el entorno con el Sistema apagado.
Arrancamos el Sistema desde el Pendrive autoarrancable con la suite forense y se nos
presenta directamente la pantalla principal de la aplicación.

Lo primero que debemos hacer es crear un caso. Para ello, nos dirigimos a ‘Manage
Case’ y clicamos en ‘New Case’. Nos da igual el nombre que le pongamos porque se
eliminará en el siguiente reinicio del Sistema.
 Se nos presentará la siguiente ventana, donde rellenamos los datos que queramos. Sólo
es obligatorio asignar un nombre al caso, (y tener muy en cuenta la zona horaria).

Una vez generado el caso, lo veremos agregado correctamente en la misma pantalla

principal de la suite forense.
 Ahora nos dirigimos a ‘Drive Imaging’.

Se nos presenta una nueva ventana, donde nos posicionará directamente en la pestaña
de ‘Create Image’. Aquí, debemos seleccionar el Disco objetivo del clonado y el directorio
donde se creará el fichero de imagen, (lógicamente, en otro disco duro). También tenemos
que tener en cuenta que hay que seleccionar la casilla para verificar el fichero de imagen una
vez creado, ‘Verify File After Completion’. No hace falta que diga el porqué, verdad??
 Ahora clicamos en ‘Create Image’ y comenzará el proceso de clonación.

Una vez que ha finalizado, correctamente, nos lo comunicará en esa misma pantalla,
con un ‘Imaging Successfully Completed’.
 Si ahora nos dirigimos a ‘Verify / Create Hash’

Y seleccionamos el fichero de imagen que acabamos de crear, podemos abrir también

el fichero .info que se nos ha generado, donde se encuentra la información del clonado. Y si
calculamos su algoritmo hash veremos que coincide.
 Ahora bien, quizás no nos interese adquirir el disco duro completo, si no algunos
ficheros que consideramos clave para la realización de un Análisis Forense. Pues también lo
podemos hacer desde aquí mismo.

Nos dirigimos a ‘File System Browser’

Y seleccionamos la casilla de ‘Physical Disk’, donde se nos mostrará un desplegable

para que seleccionemos el disco que queremos montar. Una vez hecho, clicamos en ‘OK’.
 Ahora podemos explorar el disco duro con normalidad.

Y si seleccionamos algún fichero y clicamos con el botón derecho encima de él, se nos
mostrará un menú desplegable, donde podemos observar la opción ‘Save to disk’, que será
la que usemos.
 Y donde se nos presentará esta pantalla para que seleccionemos el disco donde se
exportarán los ficheros que seleccionemos.

Ahora vamos a ver la adquisición de un disco en caliente, (con el Sistema encendido).

Pensareis, ¿Para qué? Seguro que se os ocurre algún caso donde no se pueda apagar el
Sistema, (a mí se me ocurren algunos). El proceso es muy similar al anterior. La única
diferencia que le veo es que NO es necesario crear un caso para ello.

Para ello, nos dirigimos a ‘Drive Imaging’

Se nos presenta la ventana de ‘Drive Imaging’, donde seleccionamos el disco duro.

Elegimos el fichero de imagen de salida y marcamos la opción de verificación del fichero de
imagen después de la completación. Podemos rellenar los datos de ‘Description’ y de
‘Location/Place’.
Clicamos en ‘Create Image’.

Para que comience el proceso de clonación.

Como en el caso anterior, una vez que finalice correctamente, nos lo dirá.