COMANDOS DE ANALISIS DE DISCO

1. DETERMINAR ESTRUCTURA DEL DISCO CREAR LA IMAGEN

FORENSE DESDE UNA UNIDAD UTILIZANDO DD Colocaremos
los siguientes comandos :
 $ sudo fdisk –l
Una vez identificada la unidad en “/dev/sdc1” desde la cual se obtendrá la imagen forense, se
procede a generar un hash SHA-1. SHA-1 es una función hash criptográfica.

$ sudo $ sudo sha1sum /dev/sdc1 > /tmp/hash_sdc.sha1

$ cat /tmp/hash_sdc.sha1
Obtenido el hash desde el dispositivo de almacenamiento, se procede a capturar la imagen forense
utilizando la herramienta dd. La opción “if” permite definir la unidad usb o unidad de
almacenamiento origen. La opción “of” permite definir la escritura del resultado hacia un archivo. La
opción “conv” convierte el archivo en base a la lista de símbolos separados por comas.

$ sudo dd if=/dev/sdc of=/tmp/sdc.dd conv=noerror,sync

Finalizado el procedimiento se expone información como el número de registros de ingreso y salida,
número de bytes copiados, duración del proceso en segundos, y un promedio de la velocidad de
copiado.
Se procede a generar un hash SHA-1 desde el archivo de nombre “sdc1.dd” conteniendo la imagen
forense o réplica exacta de la unidad USB.
$ sha1sum /tmp/sdc1.dd
 MONTAR UNA IMAGEN FORENSE

Se utilizará una imagen forense residente en otro sistema. Por lo tanto, se requiere montar el

recurso compartido donde reside la imagen forense dentro de SIFT. Debido a que SIFT no incluye el
comando "smbmount" se procede a instalarlo.

sudo apt-get install smbfs

Para montar la imagen forense se requiere calcular el “offset” o desplazamiento en bytes. El

comando “mmls” incluido en The Sleuth Kit ayuda a cumplir este objetivo. “mmls” muestra la
disposición de las particiones en un volumen, lo cual incluye tablas de partición y etiquetas de disco.
 CREAR HASHS DESDE ARCHIVOS

Se utiliza la imagen forense capturada desde un disco flexible. Se procede a montar la imagen
forense.

$ sudo mount -t vfat -o ro,noexec,loop practical.floppy.dd

En el directorio donde se ha realizado el montado, se procede a realizar un listado recursivo de
archivos y directorios.
$ ls -alR

El comando “find” permite buscar archivos. El “punto” indica iniciar la búsqueda en el directorio
actual. La opción “-type f” indica buscar cualquier archivo regular. La opción “-exec” indicar ejecutar
el comando “sha1sum” sobre todos los archivos encontrados. “{}”. La salida es redireccionada hacia
un archivo de nombre “/tmp/hashes.txt”. El “\;” es una secuencia de escape para finalizar el
comando “-exec”.

$ find . -type f -exec sha1sum {} \; > /tmp/hashes.txt

El resultado es una lista de archivos generados a partir del contenido en el punto de montaje y sus
respectivos hashes SHA1.
$ cat /tmp/hashes.txt

También se puede utilizar Linux para hacer la verificación, y de esta manera corroborar nada ha sido
cambiado en el dispositivo de almacenamiento original. Para esto puede utilizar la opción “- c” con el
comando “sha1sum”. Si el contenido del dispositivo no ha sido alterado, el comando devolverá un
“OK”.

$ sha1sum -c /tmp/hashes.txt
 CREAR LISTADOS DE TODOS LOS ARCHIVOS

Se ejecuta el comando “file” contra uno de los archivos para conocer su contenido.

$ file Docs/Law.doc

Luego el comando “grep” puede ser utilizado para buscar una “cadena” dentro del archivo
conteniendo los resultados.
 $ grep image /tmp/listatipo.txt

De los resultados se puede resaltar la extensión inadecuada para el archivo de nombre “ouchy.dat”,
pero aún así es identificado como una imagen JPEG.

RECONSTRUCCIÓN DE DATOS CON DD

Para copiar el Master Boot Record (MBR), "no disco GPT" de un disco haremos lo siguiente:

# dd if=/dev/sda of=mbr count=1 bs=512

Para restaurar el Master Boot Record (MBR) a partir del de otro disco lo siguiente:

# dd if=mbr of=/dev/sda

RECONSTRUCCIÓN DE PARTICIONES CON DD

Clonar discos duros o particiones de disco El comando que se observa al final; "bs" forzamos que la
copia se realice en bloques de 1 Mega byte y que este se escriba de forma igual, esto permite en no
sobrecargar el sistema en el proceso. # dd if=/dev/zero of=/dev/sdx (Borrado de disco completo) #
dd if=/dev/zero of=/dev/sdxa (Borrado de partición de disco) Para borrar cualquier partición y disco
completo de cualquier dispositivo podemos escribir:
# dd if=/dev/zero of=/dev/sdx (Borrado de disco completo)

# dd if=/dev/zero of=/dev/sdxa (Borrado de partición de disco)