INFORMATICA FORENSE: LABORATORIO PRESERVACIÓN EVIDENCIA

COMANDO DD

JUAN CAMILO GARCIA CACERES

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERIA
INGENIERIA INFORMATICA
SANTIAGO DE CALI
2020
INFORMATICA FORENSE: LABORATORIO PRESERVACIÓN EVIDENCIA
COMANDO DD

JUAN CAMILO GARCIA CACERES

LABORATORIO PRESERVACIÓN EVIDENCIA COMANDO DD

DOCENTE: JOSE MIGUEL NAVAS

UNIVERSIDAD AUTONOMA DE OCCIDENTE

FACULTAD DE INGENIERIA
INGENIERIA INFORMATICA
SANTIAGO DE CALI
2020
 TABLA DE CONTENIDO

1. INTRODUCCIÓN ...............................................................................................................................3
2. OBJETIVO GENERAL DE LA PRÁCTICA .............................................................................................4
3. HERRAMIENTAS ...............................................................................................................................5
4. DESARROLLO DE LA PRÁCTICA ........................................................................................................5

1. INTRODUCCIÓN

3
La Informática Forense es una especialidad técnica, que se constituye en un recurso
importante para las ciencias forenses modernas; asumen dentro de sus
procedimientos tareas propias asociadas con la evidencia en la escena del
crimen, tales como: Identificación, Preservación, Extracción, Análisis,
Interpretación, Documentación y Presentación de las pruebas en el contexto de la
situación bajo inspección.
Los especialistas en temas de informática forense, tanto en procedimientos, como
en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y
presentar la evidencia presente en una escena del delito, requieren de una exigente
labor, que obliga a tener un conocimiento detallado de las normas y regulaciones
legales, así como de las técnicas y procesos que permitan mantener la confiabilidad
de los datos recogidos, la integridad de los medios, el análisis detallado de los datos
y la presentación idónea de los resultados.
Considerando la fragilidad del insumo con el cual trabajan los especialistas en
informática forense, es preciso extremar las medidas de seguridad y control que
éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en
las mismas puede llevar a comprometer el proceso. Los siguientes son algunos
elementos que deben ser considerados para mantener la idoneidad del
procedimiento forense adelantado.

1. Esterilidad de los medios informáticos de trabajo.

2. Verificación de las copias en medios informáticos.
3. Documentación de los procedimientos, herramientas y resultados sobre los
medios analizados.
4. Mantenimiento de la cadena de custodia de las evidencias digitales.
5. Informe y presentación de resultados de los análisis de los medios informáticos.
6. Administración del caso realizado.
7. Auditoría de los procedimientos realizados en la investigación.

En esta práctica de laboratorio, vamos a realizar una copia exacta de un dispositivo

de almacenamiento digital, objeto de un análisis forense. Seguiremos los pasos y
técnicas exigidas por la informática forense, para la preservación y extracción de
evidencia digital.

2. OBJETIVO GENERAL DE LA PRÁCTICA

4
Aplicar técnicas de informática forense para la recolección de evidencia digital,
mediante el uso de herramientas de software libre, manteniendo los principios que
rigen esta ciencia.

3. HERRAMIENTAS

• 1 PC. Con mínimo 2GB en RAM y espacio disponible en disco. (Será el

Equipo Forense).
• 1 dispositivo de almacenamiento USB, para guardar la evidencia digital.
(Disco Forense)
• 1 dispositivo de almacenamiento que contiene la evidencia digital. (USB o
Disco sospechoso)
• Software VMware X O Virtual Box
• Kali - Linux

4. DESARROLLO DE LA PRÁCTICA

5
PARTE A: Esterilización de Medios para salvaguardar evidencias

Objetivo Específico:
Preparar un disco externo USB, donde se guardará evidencia digital forense,
empleando técnicas de esterilización de los medios que eviten la contaminación de
la evidencia.

1. Ejecutar VMware y montar la máquina Kali - Linux.

2. Abrir una consola (Shell Konsole). El sistema lo deja en el prompt de Linux.

3. Verifique el tamaño y las particiones del disco del equipo que está usando como
Equipo Forense. Si es SATA debe mostrar /dev/sda, y mostrará las particiones que
tenga como: sda1, sda2,…
Para esto use el siguiente comando: cfdisk
Observe con detalle y registre la información que muestra el comando.

6
¿Investigue qué muestra el sistema si el disco es IDE?
Los nombres de dispositivos para los dispositivos IDE comienzan con hd.
Por ejemplo, /dev/hda es el primer disco duro IDE, /dev/hdb es el segundo disco
IDE, /dev/hdc es el tercero, y así sucesivamente.
Si el nombre del dispositivo es seguido de un número, el número representa el
número de la partición. Por ejemplo, /dev/hda1 representa la primera partición en el
primer disco IDE.

4. Conecte la unidad externa USB, disco forense, al equipo; algunos Linux

identifican inmediatamente el dispositivo y lo montan (mount), en los puntos
/dev/sdb /mnt/sdb; recuerde que /dev/sda lo toma el disco duro del equipo forense.
Esto en el caso de contar con discos SCSI o SATA y si tiene particiones, entonces
podría existir: /dev/sdb1, para la primera partición externa y /dev/sdb2, para la
segunda y así a otras posibles.
Desde Kali - Linux digite las siguientes líneas, para identificar los dispositivos que
tiene el equipo forense.

a. cd /etc
b. more fstab

7
¿Qué contiene el directorio /etc?

El directorio "/etc" Es el encargado de almacenar los archivos de configuración

tanto a nivel de componentes del sistema operativo en sí, como de los programas y
aplicaciones instaladas a posteriori. Es un directorio que debería contener
únicamente ficheros de configuración, y no debería contener binarios

¿Qué muestra el comando more fstab?

El comando more fstab es una especie de abreviatura de File System Table. El

mismo reúne la información sobre los sistemas de archivos y es leído por el demonio
init para poder montarlos al bootear el sistema operativo. También se utiliza su
información una vez iniciado el sistema al invocar al comando mount.

5. Esterilice el dispositivo destino, donde se hará la copia de la evidencia digital; ya

sabe cómo identificar el dispositivo forense, para este documento lo llamaremos
sdb1; si conectamos otro disco, se le asignará el nombre sdc1.

8
Para realizar esta tarea, utilice el comando (dd duplicate disk) este es un comando
bastante útil para transferir datos desde un dispositivo/archivo hacia otro
dispositivo/archivo.

La sintaxis básica del comando es la siguiente:

dd if=origen of=destino

Donde if significa "input file", es decir, lo que se quiere copiar y of significa "output
file", o sea, el archivo destino (donde se van a copiar los datos); origen y destino
pueden ser dispositivos como (CD, discos, USB, etc.)

Aplique los siguientes comandos:

a. dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=1M
b. dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=512
c. dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=100M
d. dd_rescue /dev/zero /dev/sdb1

Estos procedimientos pueden tardar desde unos minutos a horas dependiendo del
tamaño del dispositivo.

Pruebe las anteriores cuatro instrucciones utilizando el comando time así:

time dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=1M

Observe la salida del comando time.

¿Cuál es más eficiente?

9
time dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=1M

10
time dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=512

11
time dd dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=100M

12
time dd dd_rescue /dev/zero /dev/sdb1

Nota: /dev/zero es un archivo especial que provee tantos caracteres null como se
lean desde él. Uno de los usos típicos es proveer un flujo de caracteres para sobre
escribir información. Otro uso puede ser para generar un archivo "limpio" de un
determinado tamaño. (Tenga en cuenta que null es ASCII NUL, 0x00; no el carácter
ASCII "0", 0x30).

13
6. Debe crear ahora una partición en el dispositivo forense

a. cfdisk /dev/sdb1
b. Proceda a crear una sola partición:

new –> primay (asigne el total mostrado) –> Type –> (seleccione la opción que
muestre FAT32) –> Write –> yes –> Quit

7. Cree un sistema de archivo “ext3fs” o “reiserfs” para guardar datos con mayor
seguridad en el dispositivo forense

ext3 (third extended filesystem o tercer sistema de archivos extendido) es el sistema

de archivo más utilizado por las distribuciones de GNU/Linux. Se diferencia de ext2
en que trabaja con registro por diario (journaling)

El registro por diario (journaling) es un mecanismo por el cual un sistema de archivos

implementa transacciones. Consiste en un registro en el que se almacena la

14
información necesaria para restablecer los datos dañados por una transacción en
caso de que ésta falle, como puede ocurrir durante una interrupción de energía.

Con esto, el sistema de archivos ext3 proporciona una integridad superior de los
datos si se produce un cierre no limpio del sistema. Además ext3, permite
seleccionar el tipo y nivel de protección de los datos.

Utilice el siguiente comando:

mkfs -t ext3 /dev/sdb1

15
8. Cree una carpeta donde hará la copia de la evidencia e ingrese a ella

a. mkdir –p /mnt/sdb1/caso-001/evidencia-001
b. cd /mnt/sdb1/caso-001/evidencia-001
c. Verifique que efectivamente está vacía use el comando (ls –a)

16
9. Cree el hash del dispositivo forense y visualícelo. Realice los hashes desde la
carpeta donde se guardará la copia de la evidencia digital. En este caso se están
utilizando dos herramientas: SHA1 y MD5, realice ambos hashes y compárelos;
recuerde la práctica hecha sobre hash. a) evidencia-001 # sha1sum –b
/dev/sdb1>evidencia-001.sha1sum b) evidencia-001 # md5sum –b
/dev/sdb1>evidencia-001.md5sum c) evidencia-001 # more evidencia-001.sha1sum
d) evidencia-001 # more evidencia-001.md5sum Registre y guarde cuidadosamente
estos valores de hash

17
PARTE B: adquisición de Datos, Creación de un archivo/fichero de evidencia
digital

Objetivo Específico:
Hacer una copia exacta Bit a Bit, del disco sospechoso, con el fin de guardar y
conservar la evidencia digital del sospechoso, cumpliendo con la fase de adquisición
y preservación de la evidencia forense.

PROCEDIMIENTO
Tenga en cuenta que la máquina forense debe tener configurada la BIOS de tal
manera que NO arranque a través de las unidades que se van a analizar, se
entiende que, si se inicia el sistema de arranque desde el disco del sospechoso, se
modificará la evidencia.

1. Conecte el disco sospechoso en la unidad USB externa.

Verifique la identificación del disco sospechoso, puede utilizar la herramienta
dmesg.
Debe tomar atenta nota y escribir la cadena que identifica tanto al disco forense
como al disco sospechoso.

18
¿Cuáles son esas cadenas?
ID 0930:6545 Disco Sospechoso
ID 1d6b:0001 Disco Forense

2. Realice la copia de la evidencia en la carpeta creada en el disco forense.

Recuerde que debe entrar a la subcarpeta evidencia-001: # cd /mnt/sdb1/caso-
001/evidencia-001
a. evidencia-01 # dd if=/dev/sdc1 of=sdb1 conv=notrunc, noerror, sync
b. Verificar que no se tengan errores de lectura y escritura
Al final de este procedimiento se mostrarán los datos en el siguiente formato:
xxxx + y records in
zzzz + w records out
Nota:
xxxx, indica el número de registros sin errores que se pudieron leer desde el disco
sospechoso.
y, indica el número de registros con errores que se pudieron leer desde el disco
sospechoso.
zzzz, indica el número de registros sin errores que se pudieron copiar al disco
forense.
w, indica el número de registros con errores que se pudieron copiar al disco forense

1. Dé los permisos de solo lectura a la evidencia

a. chmod 444 sdc1

2. Dé permisos de solo lectura a la copia de la evidencia

a. evidencia-01 # chmod 444 sdb1

3. Realice el hash (sha1 y md5) de la copia forense y de la evidencia; verifique su

integridad

a. evidencia-001 # sha1sum –b /dev/sdb1>evidencia-001.sha1sum

b. evidencia-001 # md5sum –b /dev/sdb1>evidencia-001.md5sum
c. sha1sum –b /dev/sdc1>sospechoso-001.sha1sum
d. md5sum –b /dev/sdc1>sospechoso-001.md5sum

19
4. Dé permisos de solo lectura a los hash de la copia forense y de la evidencia

a. evidencia-01 # chmod 444 evidencia-001.md5.sum

b. evidencia-01 # chmod 444 evidencia-001.sha1.sum
c. chmod 444 sospechoso-001
d. chmod 444 sospechoso-001
Laboratorios de Informática Forense. Elaborado por: Ing. Miguel j. Navas j.
Preservación y Extracción de Evidencia Digital (Comando dd)

5. Verifique que los hashes estén correctos, utilice – c por – b

a. evidencia-001 # sha1sum –c /dev/sdb1>evidencia-001.sha1sum

b. evidencia-001 # md5sum –c /dev/sdb1>evidencia-001.md5sum
c. sha1sum –c /dev/sdc1>sospechoso-001.sha1sum
d. md5sum –c /dev/sdc1>sospechoso-001.md5sum

6. Verifique la integridad de la copia

a. Para verificar la integridad compare los hashes creados.

20
Finalmente se puede observar que los hashes de la copia forense y de la evidencia
coinciden.

21