LABORATORIOS DE INFORMÁTICA FORENSE

COMPLEMENTARIO
EXTRACCIÓN Y PRESERVACIÓN DE LA EVIDENCIA
(COMANDO dd)
Por:

Verifique el tamaño y las particiones del disco del equipo que está usando como Equipo Forense.
Si es SATA debe mostrar /dev/sda, y mostrará las particiones que tenga como: sda1, sda2

¿Investigue qué muestra el sistema si el disco es IDE?

Conecte la unidad externa USB, disco forense, al equipo; algunos Linux identifican inmediatamente
el dispositivo y lo montan (mount), en los puntos /dev/sdb /mnt/sdb; recuerde que /dev/sda lo
toma el disco duro del equipo forense. Esto en el caso de contar con discos SCSI o SATA y si tiene
particiones, entonces podría existir: /dev/sdb1, para la primera partición externa y /dev/sdb2,
para la segunda y así a otras posibles. Desde Kali - Linux digite las siguientes líneas, para identificar
los dispositivos que tiene el equipo forense. a. cd /etc b. more fstab

¿Qué contiene el directorio /etc?

El directorio /etc contiene gran cantidad de archivos. ... Scripts o directorios de scripts que se
ejecutan durante el arranque del sistema o al cambiar los niveles de ejecución. /etc/rc.d/init.d, Dir,
scripts.
¿Qué muestra el comando more fstab?

archivo fundamental en cualquier sistema Linux es el /etc/fstab, cuyo nombre es una

especie de abreviatura de File System Table. El mismo reúne la información sobre los
sistemas de archivos y es leído por el demonio init para poder montarlos al bootear el
sistema operativo. También se utiliza su información una vez iniciado el sistema al
invocar al comando mount.

• <file system> - Define la partición o dispositivo de almacenamiento para ser montado.

• <dir> - Indica a la orden mount el punto de montaje donde la partición (<file system>)
será montada.
• <type> - Indica el tipo de sistema de archivos de la partición o dispositivo de
almacenamiento para ser montado. Hay muchos sistemas de archivos diferentes que
son compatibles como, por
ejemplo: ext2, ext3, ext4, reiserfs, xfs, jfs, smbfs, iso9660, vfat, ntfs, swap y auto.
El type auto permite a la orden mount determinar qué tipo de sistema de archivos se
utiliza. Esta opción es útil para proporcionar soporte a unidades ópticas (CD/DVD).
• <options> - Indica las opciones de montaje que la orden mount utilizará para montar el
sistema de archivos. Tenga en cuenta que algunas opciones de montaje son para
sistema de archivos específicos
Esterilice el dispositivo destino, donde se hará la copia de la evidencia digital; ya sabe cómo
identificar el dispositivo forense, para este documento lo llamaremos sdb4 si conectamos otro disco,
se le asignará el nombre sdc1. Para realizar esta tarea, utilice el comando (dd duplicate disk) este es
un comando bastante útil para transferir datos desde un dispositivo/archivo hacia otro
dispositivo/archivo. La sintaxis básica del comando es la siguiente: dd if=origen of=destino

Aplique los siguientes comandos: a. dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync

bs=1M b. dd if=/dev/zero of=/dev/sdb1 conv=notrunc, noerror, sync bs=512 c. dd if=/dev/zero
of=/dev/sdb1 conv=notrunc, noerror, sync bs=100M d. dd_rescue /dev/zero /dev/sdb1

Observe la salida del comando time.

¿Cuál es más eficiente?

/dev/zero es un archivo especial que provee tantos caracteres null como se lean desde él. Uno de
los usos típicos es proveer un flujo de caracteres para sobre escribir información. Otro uso puede
ser para generar un archivo "limpio" de un determinado tamaño. (Tenga en cuenta que null es
ASCII NUL, 0x00; no el carácter ASCII "0", 0x30).

Debe crear ahora una partición en el dispositivo forense

a. cfdisk /dev/sdb4

b. Proceda a crear una sola partición: new –> primay (asigne el total mostrado) –> Type –>
(seleccione la opción que muestre FAT32) –> Write –> yes –> Quit Laboratorios de Informática
Forense. Elaborado por: Ing. Miguel j. Navas j. Preservación y Extracción de Evidencia Digital
(Comando dd)
7. Cree un sistema de archivo “ext3fs” o “reiserfs” para guardar datos con mayor seguridad en el
dispositivo forense

Utilice el siguiente comando: mkfs -t ext3 /dev/sdb4

Cree una carpeta donde hará la copia de la evidencia e ingrese a ella

a. mkdir –p /mnt/sdb1/caso-001/evidencia-001

b. cd /mnt/sdb1/caso-001/evidencia-001

c. Verifique que efectivamente está vacía use el comando (ls –a)

9. Cree el hash del dispositivo forense y visualícelo. Realice los hash desde la carpeta donde se
guardará la copia de la evidencia digital. En este caso se utilizan dos herramientas: SHA1 y MD5,
realice ambos hashes y compárelos; recuerde la práctica hecha sobre hash.
PARTE B: adquisición de Datos, Creación de un archivo/fichero de evidencia
digital
Objetivo Específico:
Hacer una copia exacta Bit a Bit, del disco sospechoso, con el fin de guardar y
conservar la evidencia digital del sospechoso, cumpliendo con la fase de adquisición y
preservación de la evidencia forense.
PROCEDIMIENTO
Tenga en cuenta que la máquina forense debe tener configurada la BIOS de tal manera que
NO arranque a través de las unidades que se van a analizar, se entiende que si se inicia el
sistema de arranque desde el disco del sospechoso, se modificará la evidencia.

El disco del sospechoso se debe conectar a la unidad USB externa y debe tener configurado el
interruptor en solo lectura, algunos sistemas Linux, montan en forma automática el medio
externo y esto modifica la evidencia.

1. Conecte el disco sospechoso en la unidad USB externa.

Verifique la identificación del disco sospechoso, puede utilizar la herramienta dmesg.
Debe tomar atenta nota y escribir la cadena que identifica tanto al disco forense como
al disco sospechoso.
¿Cuáles son esas cadenas?

¿Con que comandos puedo visualizar estos identificadores?

Df
2. Realice la copia de la evidencia en la carpeta creada en el disco forense. Recuerde
que debe entrar a la subcarpeta evidencia-001: # cd /mnt/sdb1/caso-001/evidencia-
001
a. evidencia-01 # dd if=/dev/sdc1 of=sdb1 conv=notrunc, noerror, sync
b. Verificar que no se tengan errores de lectura y escritura