Documentos de Académico
Documentos de Profesional
Documentos de Cultura
$ cat /tmp/hash_sdc.sha1
Obtenido el hash desde el dispositivo de almacenamiento, se procede a capturar la imagen forense
utilizando la herramienta dd. La opción “if” permite definir la unidad usb o unidad de
almacenamiento origen. La opción “of” permite definir la escritura del resultado hacia un archivo. La
opción “conv” convierte el archivo en base a la lista de símbolos separados por comas.
Se utilizará una imagen forense residente en otro sistema. Por lo tanto, se requiere montar el
recurso compartido donde reside la imagen forense dentro de SIFT. Debido a que SIFT no incluye el
comando "smbmount" se procede a instalarlo.
Se utiliza la imagen forense capturada desde un disco flexible. Se procede a montar la imagen
forense.
El comando “find” permite buscar archivos. El “punto” indica iniciar la búsqueda en el directorio
actual. La opción “-type f” indica buscar cualquier archivo regular. La opción “-exec” indicar ejecutar
el comando “sha1sum” sobre todos los archivos encontrados. “{}”. La salida es redireccionada hacia
un archivo de nombre “/tmp/hashes.txt”. El “\;” es una secuencia de escape para finalizar el
comando “-exec”.
También se puede utilizar Linux para hacer la verificación, y de esta manera corroborar nada ha sido
cambiado en el dispositivo de almacenamiento original. Para esto puede utilizar la opción “- c” con el
comando “sha1sum”. Si el contenido del dispositivo no ha sido alterado, el comando devolverá un
“OK”.
$ sha1sum -c /tmp/hashes.txt
CREAR LISTADOS DE TODOS LOS ARCHIVOS
Se ejecuta el comando “file” contra uno de los archivos para conocer su contenido.
$ file Docs/Law.doc
Luego el comando “grep” puede ser utilizado para buscar una “cadena” dentro del archivo
conteniendo los resultados.
$ grep image /tmp/listatipo.txt
De los resultados se puede resaltar la extensión inadecuada para el archivo de nombre “ouchy.dat”,
pero aún así es identificado como una imagen JPEG.
Para copiar el Master Boot Record (MBR), "no disco GPT" de un disco haremos lo siguiente:
# dd if=mbr of=/dev/sda
Clonar discos duros o particiones de disco El comando que se observa al final; "bs" forzamos que la
copia se realice en bloques de 1 Mega byte y que este se escriba de forma igual, esto permite en no
sobrecargar el sistema en el proceso. # dd if=/dev/zero of=/dev/sdx (Borrado de disco completo) #
dd if=/dev/zero of=/dev/sdxa (Borrado de partición de disco) Para borrar cualquier partición y disco
completo de cualquier dispositivo podemos escribir:
# dd if=/dev/zero of=/dev/sdx (Borrado de disco completo)