Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COMPLEMENTARIO
EXTRACCIÓN Y PRESERVACIÓN DE LA EVIDENCIA
(COMANDO dd)
Por:
Verifique el tamaño y las particiones del disco del equipo que está usando como Equipo Forense.
Si es SATA debe mostrar /dev/sda, y mostrará las particiones que tenga como: sda1, sda2
El directorio /etc contiene gran cantidad de archivos. ... Scripts o directorios de scripts que se
ejecutan durante el arranque del sistema o al cambiar los niveles de ejecución. /etc/rc.d/init.d, Dir,
scripts.
¿Qué muestra el comando more fstab?
/dev/zero es un archivo especial que provee tantos caracteres null como se lean desde él. Uno de
los usos típicos es proveer un flujo de caracteres para sobre escribir información. Otro uso puede
ser para generar un archivo "limpio" de un determinado tamaño. (Tenga en cuenta que null es
ASCII NUL, 0x00; no el carácter ASCII "0", 0x30).
a. cfdisk /dev/sdb4
b. Proceda a crear una sola partición: new –> primay (asigne el total mostrado) –> Type –>
(seleccione la opción que muestre FAT32) –> Write –> yes –> Quit Laboratorios de Informática
Forense. Elaborado por: Ing. Miguel j. Navas j. Preservación y Extracción de Evidencia Digital
(Comando dd)
7. Cree un sistema de archivo “ext3fs” o “reiserfs” para guardar datos con mayor seguridad en el
dispositivo forense
a. mkdir –p /mnt/sdb1/caso-001/evidencia-001
b. cd /mnt/sdb1/caso-001/evidencia-001
9. Cree el hash del dispositivo forense y visualícelo. Realice los hash desde la carpeta donde se
guardará la copia de la evidencia digital. En este caso se utilizan dos herramientas: SHA1 y MD5,
realice ambos hashes y compárelos; recuerde la práctica hecha sobre hash.
PARTE B: adquisición de Datos, Creación de un archivo/fichero de evidencia
digital
Objetivo Específico:
Hacer una copia exacta Bit a Bit, del disco sospechoso, con el fin de guardar y
conservar la evidencia digital del sospechoso, cumpliendo con la fase de adquisición y
preservación de la evidencia forense.
PROCEDIMIENTO
Tenga en cuenta que la máquina forense debe tener configurada la BIOS de tal manera que
NO arranque a través de las unidades que se van a analizar, se entiende que si se inicia el
sistema de arranque desde el disco del sospechoso, se modificará la evidencia.
El disco del sospechoso se debe conectar a la unidad USB externa y debe tener configurado el
interruptor en solo lectura, algunos sistemas Linux, montan en forma automática el medio
externo y esto modifica la evidencia.