Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Laboratorio Preservación de La Evidencia (Comando DD) - Juan Camilo Garcia Caceres PDF
Laboratorio Preservación de La Evidencia (Comando DD) - Juan Camilo Garcia Caceres PDF
COMANDO DD
1. INTRODUCCIÓN ...............................................................................................................................3
2. OBJETIVO GENERAL DE LA PRÁCTICA .............................................................................................4
3. HERRAMIENTAS ...............................................................................................................................5
4. DESARROLLO DE LA PRÁCTICA ........................................................................................................5
1. INTRODUCCIÓN
3
La Informática Forense es una especialidad técnica, que se constituye en un recurso
importante para las ciencias forenses modernas; asumen dentro de sus
procedimientos tareas propias asociadas con la evidencia en la escena del
crimen, tales como: Identificación, Preservación, Extracción, Análisis,
Interpretación, Documentación y Presentación de las pruebas en el contexto de la
situación bajo inspección.
Los especialistas en temas de informática forense, tanto en procedimientos, como
en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y
presentar la evidencia presente en una escena del delito, requieren de una exigente
labor, que obliga a tener un conocimiento detallado de las normas y regulaciones
legales, así como de las técnicas y procesos que permitan mantener la confiabilidad
de los datos recogidos, la integridad de los medios, el análisis detallado de los datos
y la presentación idónea de los resultados.
Considerando la fragilidad del insumo con el cual trabajan los especialistas en
informática forense, es preciso extremar las medidas de seguridad y control que
éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en
las mismas puede llevar a comprometer el proceso. Los siguientes son algunos
elementos que deben ser considerados para mantener la idoneidad del
procedimiento forense adelantado.
4
Aplicar técnicas de informática forense para la recolección de evidencia digital,
mediante el uso de herramientas de software libre, manteniendo los principios que
rigen esta ciencia.
3. HERRAMIENTAS
4. DESARROLLO DE LA PRÁCTICA
5
PARTE A: Esterilización de Medios para salvaguardar evidencias
Objetivo Específico:
Preparar un disco externo USB, donde se guardará evidencia digital forense,
empleando técnicas de esterilización de los medios que eviten la contaminación de
la evidencia.
3. Verifique el tamaño y las particiones del disco del equipo que está usando como
Equipo Forense. Si es SATA debe mostrar /dev/sda, y mostrará las particiones que
tenga como: sda1, sda2,…
Para esto use el siguiente comando: cfdisk
Observe con detalle y registre la información que muestra el comando.
6
¿Investigue qué muestra el sistema si el disco es IDE?
Los nombres de dispositivos para los dispositivos IDE comienzan con hd.
Por ejemplo, /dev/hda es el primer disco duro IDE, /dev/hdb es el segundo disco
IDE, /dev/hdc es el tercero, y así sucesivamente.
Si el nombre del dispositivo es seguido de un número, el número representa el
número de la partición. Por ejemplo, /dev/hda1 representa la primera partición en el
primer disco IDE.
a. cd /etc
b. more fstab
7
¿Qué contiene el directorio /etc?
8
Para realizar esta tarea, utilice el comando (dd duplicate disk) este es un comando
bastante útil para transferir datos desde un dispositivo/archivo hacia otro
dispositivo/archivo.
Donde if significa "input file", es decir, lo que se quiere copiar y of significa "output
file", o sea, el archivo destino (donde se van a copiar los datos); origen y destino
pueden ser dispositivos como (CD, discos, USB, etc.)
Estos procedimientos pueden tardar desde unos minutos a horas dependiendo del
tamaño del dispositivo.
9
time dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=1M
10
time dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=512
11
time dd dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=100M
12
time dd dd_rescue /dev/zero /dev/sdb1
Nota: /dev/zero es un archivo especial que provee tantos caracteres null como se
lean desde él. Uno de los usos típicos es proveer un flujo de caracteres para sobre
escribir información. Otro uso puede ser para generar un archivo "limpio" de un
determinado tamaño. (Tenga en cuenta que null es ASCII NUL, 0x00; no el carácter
ASCII "0", 0x30).
13
6. Debe crear ahora una partición en el dispositivo forense
a. cfdisk /dev/sdb1
b. Proceda a crear una sola partición:
new –> primay (asigne el total mostrado) –> Type –> (seleccione la opción que
muestre FAT32) –> Write –> yes –> Quit
7. Cree un sistema de archivo “ext3fs” o “reiserfs” para guardar datos con mayor
seguridad en el dispositivo forense
14
información necesaria para restablecer los datos dañados por una transacción en
caso de que ésta falle, como puede ocurrir durante una interrupción de energía.
Con esto, el sistema de archivos ext3 proporciona una integridad superior de los
datos si se produce un cierre no limpio del sistema. Además ext3, permite
seleccionar el tipo y nivel de protección de los datos.
15
8. Cree una carpeta donde hará la copia de la evidencia e ingrese a ella
a. mkdir –p /mnt/sdb1/caso-001/evidencia-001
b. cd /mnt/sdb1/caso-001/evidencia-001
c. Verifique que efectivamente está vacía use el comando (ls –a)
16
9. Cree el hash del dispositivo forense y visualícelo. Realice los hashes desde la
carpeta donde se guardará la copia de la evidencia digital. En este caso se están
utilizando dos herramientas: SHA1 y MD5, realice ambos hashes y compárelos;
recuerde la práctica hecha sobre hash. a) evidencia-001 # sha1sum –b
/dev/sdb1>evidencia-001.sha1sum b) evidencia-001 # md5sum –b
/dev/sdb1>evidencia-001.md5sum c) evidencia-001 # more evidencia-001.sha1sum
d) evidencia-001 # more evidencia-001.md5sum Registre y guarde cuidadosamente
estos valores de hash
17
PARTE B: adquisición de Datos, Creación de un archivo/fichero de evidencia
digital
Objetivo Específico:
Hacer una copia exacta Bit a Bit, del disco sospechoso, con el fin de guardar y
conservar la evidencia digital del sospechoso, cumpliendo con la fase de adquisición
y preservación de la evidencia forense.
PROCEDIMIENTO
Tenga en cuenta que la máquina forense debe tener configurada la BIOS de tal
manera que NO arranque a través de las unidades que se van a analizar, se
entiende que, si se inicia el sistema de arranque desde el disco del sospechoso, se
modificará la evidencia.
18
¿Cuáles son esas cadenas?
ID 0930:6545 Disco Sospechoso
ID 1d6b:0001 Disco Forense
19
4. Dé permisos de solo lectura a los hash de la copia forense y de la evidencia
20
Finalmente se puede observar que los hashes de la copia forense y de la evidencia
coinciden.
21