PROCEDIMIENTOS DE

ADQUISICIÓN
INFORMATICA FORENSE

INGENIERIA DE SISTEMAS
CUN

OCTUBRE, 2018
 Clic para
PROCEDIMIENTOS DE ADQUISICION Salir

Como se ha hablado en temas anteriores el informático forense no

trabaja sobre el soporte original, sino con una imagen a bajo nivel
adquirida a partir del mismo, mientras que el soporte original es
precintado y guardado en el deposito de pruebas. La imagen se
utiliza para llevar a cabo tareas de análisis, elaborar informes u
obtener duplicados de la misma para la otra parte o por razones de
seguridad
 Clic para
PROCEDIMIENTOS DE ADQUISICION Salir

EnCase & Linen

EnCase es un estándar de referencia en el campo de la

informática forense, que establece también formatos
específicos para la realización de imágenes a bajo nivel
(EnCase Evidence File Format), al realizar el duplicado
forense los soportes de datos son almacenados en archivos
con un tamaño máximo de 2 GB extrayendo un hash MD5 de
todo el canal de Bits.

Linen es diseñado para entregar su salida en un formato

forense de aceptación universal que cumple las
especificaciones EWF (expert Witness Format) de ASR data,
esta incluido en algunas distribuciones de Linux
especializada en seguridad informática como backtranck,
Wifislack o la española Adquiere
 Clic para
PROCEDIMIENTOS DE ADQUISICION Salir

dd

Esta es una de las herramientas en línea de comando mas

poderosas y versátiles de toda la historia de la ciencia de la
computación. Originaria del mundo Unix, e incluida en todas
las distribuciones Linux actuales, su funcionamiento
básicamente consiste en tomar partes de un archivo y
copiarlas a otro.
Con dd se puede copiar prácticamente cualquier tipo de
medio especificando en el origen de datos su archivo
característico, si no deseamos copiar el soporte completo
podemos seleccionar partes concretas del mismo
 Clic para
PROCEDIMIENTOS DE ADQUISICION Salir

AIR

AIR (Automated Image and Restore) es un front end para dd

es decir una interfaz grafica que permite manejar de manera
cómoda y sencilla las opciones mas habituales, las utilidades
en línea de comando. Esta herramienta además de elegir
entre dd a la hora de realizar la imagen verifica la copia a
través de hashes MD5 también comprime y descomprime la
imagen entre muchas otras utilidades.
 Clic para
PROCEDIMIENTOS DE ADQUISICION Salir

ADQUISICION POR HARDWARE

Existen dispositivos dedicados exclusivamente a la copia de

soportes de datos, principalmente discos duros con interfaces
habituales IDE/SATA, que evitan tener que utilizar un
computador en el proceso de adquisición forense. Estos
aparatos alcanzan grandes velocidades de transferencia,
extraen hashes, elaboran registros de actividad y admiten
compresión.
 Clic para
PROCEDIMIENTOS DE ADQUISICION Salir

MD5 y SHA

Son algoritmos de cifrado que a partir de un mensaje de

tamaño variable, compuesto por un numero determinado de
caracteres alfanuméricos, de código binario o cualquier otro
tipo calculan una secuencia de caracteres de longitud fija. La
cantidad máxima de información admitida como input
permite utilizar el contenido de discos duros de gran
capacidad como entrada del algoritmo. En otras palabras,
todo el contenido del medio Documentos ejecutables,
imágenes, estructuras del sistema de archivo.
El procedimiento habitual consiste en hacer primeramente
un hash Dell soporte original. Acto seguido se obtiene una
imagen de bajo nivel y para terminar volvemos a extraer el
hash de la copia todo esto con el fin de que las 'pruebas sean
idénticas al contenido del soporte original