Sistema apagado

© Ediciones Roble, S.L.

 Indice
Sistema apagado 3
I. Introducción 3
II. Objetivos 3
III. Sistema de apagado 3
3.1. Clonado 3
3.2. Tipos de clonado 4
IV. Formatos 4
4.1. RAW 4
4.2. Contenedores virtuales 5
V. Clonado por Software 5
VI. Clonado por Hardware 6
VII. Integridad de datos 7
7.1. Valor hash 8
VIII. Acceso a discos clonados 9
IX. Resumen 15
Recursos 16
Bibliografía 16
Glosario. 16

2/16
 Sistema apagado

Sistema apagado

I. Introducción
Una regla básica del análisis forense es que el analista forense nunca emplea el disco original para realizar
el análisis, que siempre debe realizarse sobre una copia exacta del disco. Este proceso obligatorio se llama
clonado y, una vez realizado, la copia original quedará bajo custodia del juzgado.

II. Objetivos

El objetivo de este módulo es el de explicar la importancia de este proceso durante un análisis

forense. Se mostrarán los distintos tipos de clonado que se utilizan en la actualidad y la
importancia de mantener la integridad de los dispositivos.

III. Sistema de apagado

3.1. Clonado
Una vez que hemos adquirido los elementos volátiles, procederemos al proceso de clonado de los
dispositivos de almacenamiento de datos que normalmente se basan en discos duros, discos duros
externos, pendrives USB, CD o DVD.

La principal característica que debe de tener un clonado es que tiene que ser exacto. Es decir, que la
copia ha de ser idéntica al original. Si el original tiene un defecto en algún sector del disco, este también
debería estar en copia una vez que ha sido clonada.

Este tipo de clonado se denomina “bit a bit” y no valen los sistemas tradicionales de copias de
seguridad, dado que solo copian los datos y no la parte no ocupada.

Un clonado es un procedimiento que debe realizarse según las siguientes pautas

Clonado exacto ‘bit’ a ‘bit’.

Si hay errores en el origen, el destino también tiene que contenerlos.
Se puede hacer con el ordenador encendido.

3/16
 Sistema apagado

No son válidos

Una copia de seguridad.

Solo los datos.
Herramientas de copia.

Hay una máxima que hay que tener en cuenta y es que el analista forense nunca empleará el
disco original para el análisis, si no que usará siempre las copias clonadas que previamente han
sido refrendadas (las copias de los discos originales) por un notario o secretario judicial (en caso
de que se esté en un proceso judicial).

Una vez clonado, el disco original quedará bajo la custodia del juzgado.

En caso de que se trate de un procedimiento de parte, será necesario realizar las copias de los
discos ante notario para que este dé fe de que las copias son idénticas a los originales.

Normalmente se realizarán dos copias, una para el cliente y otra para el analista, y el original
quedará bajo custodia del notario.

3.2. Tipos de clonado

Disponemos de dos tipos de clonado.

Clonado a disco

Se clona de un disco duro a otro disco duro idéntico en tamaño y geometría.

Clonado a imagen

Consiste en clonar todo el disco y crear un fichero con todo el contenido. Es equivalente a copiar
toda la unidad a un archivo .zip grande. De hecho, puede realizar copias de seguridad de más de una
imagen, lo que permite guardar la totalidad de la unidad varias veces y diferentes puntos en el tiempo y
guardarlos localmente (en una partición de copia de seguridad) o en una unidad independiente. La
desventaja, sin embargo, es que la imagen no es inmediatamente funcional.

IV. Formatos

4.1. RAW

4/16
 Sistema apagado

Un clonado en formato RAW contiene los datos en bruto y no incluye metadatos.

4.2. Contenedores virtuales

VMDK de VMWare
VHD de Microsoft HyperVisor
QCOW de QEMU
VDI de Sun VirtualBox
Expert Witness Format (EWF/E01), Formato propietario, de Guidance Software (EnCASE)
Advanced Forensic Format (AFF)

V. Clonado por Software

Actualmente, tenemos muchas distribuciones basadas en Linux que permiten el clonado de un disco
duro o dispositivo USB por software. La mayoría de las distribuciones que hemos estudiado anteriormente
permiten el clonado por software.

A continuación, se muestra una lista de distribuciones orientadas al forense y que incorporan entorno
gráfico para la clonación.

Imagen 5.1. Distribuciones orientadas al forense que incorporan entorno gráfico para la clonación.
Fuente: creación propia Cyber Academy.

5/16
 Sistema apagado

Veamos un ejemplo de clonación utilizando el programa AIR del entorno gráfico de CAINE.

Podemos visualizar en color rojo el disco duro o dispositivo de origen; en amarillo, el destino
(un fichero de imagen); y en azul vemos que una vez que finalice, realizará el cálculo o hash de
integridad del disco origen y copia en MD5 y SHA-1.

Imagen 5.2. Ejemplo de clonación en CAINE.

Fuente: creación propia Cyber Academy
Ventajas:
Sencillez.
No requiere hardware específico.
Sencillo de conseguir.
Adecuado para pequeños discos.
Bloqueador de escritura.

Desventajas:
Procedimiento lento.
No adecuado para discos grandes.

VI. Clonado por Hardware

El clonado por hardware es el mejor método de clonado que existe actualmente, dado que se compone
de un dispositivo específico y de buses de alta velocidad específicamente para clonar.

6/16
 Sistema apagado

Su sistema operativo, desarrollado normalmente en ensamblador, es liviano y apenas ocupa recursos,

salvo los necesarios.

Su uso es muy recomendado para discos de gran capacidad y reduciendo el tiempo considerablemente
hasta los 30 GB por minuto.

Imagen 5.3. Clonadora utilizada para la clonación por hardware. Fuente: Blog Flu Project.

Las clonadoras, al igual que por el método de software, permiten calcular el hash con objeto de
comprobar que la copia es idéntica al original. Asimismo, también permite convertir el disco origen en un
fichero de imagen.

Ventajas

Muy rápido.
Requiere hardware especifico.
Sencillo de manejar.
Adecuado para grandes discos o muchos discos.
Bloqueador de escritura.

Desventajas
Puede ser tener un precio elevado.

VII. Integridad de datos

7/16
 Sistema apagado

7.1. Valor hash

Un valor hash es un identificador numérico único que puede asignarse a un disco, carpetas,
archivo, un grupo de archivos o una porción de un archivo, de acuerdo a un algoritmo
matemático estándar aplicado a las características del conjunto de datos.

Los algoritmos utilizados más comúnmente conocidos son MD5 y SHA.

Los valores hash se utilizan durante las diferentes fases relativas a la prueba electrónica. En primer lugar,
en el proceso de análisis informático forense, un valor hash se utiliza para asegurar que la copia examinada
no ha sido alterada.

Si los valores son los mismos, la copia se trata igual que el original. Si los valores son diferentes,
entonces la integridad de la copia se pone en duda.

Este valor de hash hay que indicarlo al notario o al juez para que quede constancia de que son idénticos.

Es un procedimiento muy utilizado en prueba electrónica, sobre todo, en casos de propiedad intelectual,
correos electrónicos y casos de fuga de información.

Actualmente, los algoritmos MD5 y SHA1 están pendientes de dejar de ser utilizados, dado que
son vulnerables a la técnica de colisión de hashes , en la que dos documentos distintos tienen la
misma huella, lo que invalidaría la integridad.

Para solucionar este problema, se han de emplear combinaciones de algoritmos o bien SHA2. Todos los
sistemas operativos disponen de programas que calculan estos hashes .

Por defecto, los programas de clonado calculan el hash una vez realizada la copia.

También es muy utilizado para la descarga de ficheros así como para verificar que el valor del hash
descargado coincide con el que el autor ha puesto en la web de descargas.

Aquí tenemos un ejemplo de programa en Linux para el cálculo de hash utilizando sha256sum.

Imagen 5.4. Ejemplo del cálculo de hash en Linux.

Fuente: creación propia Cyber Academy.

8/16
 Sistema apagado

VIII. Acceso a discos clonados

El acceso a discos clonados se puede llevar a cabo de dos formas:

Clonado de un disco duro a otro

Si se ha clonado de un disco duro a otro, este puede conectarse directamente a un puerto USB del
equipo del analista.

El disco duro será detectado automáticamente en Windows como un dispositivo externo y por lo
tanto, podremos acceder a su contenido. En el caso de Linux, procederemos a realizar el montaje del
disco con el comando MOUNT.

Imagen 5.5. Acceso a los discos clonados.

Fuente: página web Notebookcheck.org.

Montaje en Linux:

Imagen 5.6. Montaje para acceder a los discos clonados en Linux. Fuente: creación propia Cyber
Academy.

9/16
 Sistema apagado

Clonado de un disco duro a un fichero de imagen

Si se ha clonado de disco duro a fichero de imagen, también se podrá acceder de forma virtual o en
formato RAW.

La mejor forma es utilizar un clásico como FTK IMAGER LITE de Access Data que funciona en
línea de comandos y con entorno gráfico.

Lo podemos descargar desde: http://accessdata.com/product-download/digital-forensics/ftk-

imager-lite-version-3.1.1

Una vez instalado ejecutaremos el programa FTK Imager.exe

Imagen 5.7. Interfaz gráfica de la herramienta FTK Imager.

Fuente: creación propia Cyber Academy.

10/16
 Sistema apagado

A continuación, accederemos a las opciones del menú FILE – Image mounting

Imagen 5.8. Menú FILE de la herramienta FTK Imager.

Fuente: creación propia Cyber Academy.

Y desde Windows, podremos acceder a la unidad G: que contiene los ficheros y directorios del
disco duro clonado.

Imagen 5.9. Acceso a la unidad G:.

Fuente: creación propia Cyber Academy.

11/16
 Sistema apagado

Esta forma de acceso tiene un inconveniente y es que, al acceder al contenido de alguna carpeta de
la que no tenemos permisos y cuya propiedad es de un usuario, aparecerá un error de acceso.

Imagen 5.10. Mensaje de error de acceso.

Fuente: creación propia Cyber Academy.

Podríamos tomar posesión del directorio, pero entonces modificaríamos permisos y fechas, lo
que complica la investigación. Para poder acceder sin problemas de permisos vamos a utilizar el
sistema recomendado. Para ello, vamos a desmontar las unidades virtuales seleccionado las unidades
y pulsando el botón Unmount.

Una vez desmontado, vamos a la opción FILE – Add Evidence Item y seleccionamos Image File.

Imagen 5.11. Selección de Image File en la opción FILE en la herramienta FTK Imager.
Fuente: creación propia Cyber Academy.

12/16
 Sistema apagado

A continuación, seleccionamos el fichero, pulsamos el botón Finish y nos mostrará la siguiente

pantalla en la que podemos comprobar que se puede acceder al directorio que anteriormente devolvía
un error de permisos de acceso.

Imagen 5.12. Comprobación de acceso al directorio G: en la herramienta FTK Imager.

Fuente: creación propia Cyber Academy.

13/16
 Sistema apagado

Desde la herramienta podemos acceder a logs y ficheros que puedan contener datos relevantes.

Imagen 5.13. Acceso a los logs en la herramienta FTK Imager. Fuente: creación propia Cyber
Academy.

14/16
 Sistema apagado

FTK permite también la extracción de ficheros para su análisis. Por ejemplo, vamos a extraer el
archivo de paginación PAGEFILE.SYS.

Imagen 5.14. Ejemplo de extracción de ficheros para su análisis en la herramienta FTK Imager.
Fuente: creación propia Cyber Academy.

Otra alternativa open source interesante puede ser Autopsy: https://www.sleuthkit.org/autopsy/

IX. Resumen

Esta unidad se ha centrado en la adquisición de evidencias en un sistema apagado,

específicamente a través de la técnica del clonado. Al principio, hemos descrito los formatos
disponibles y, a continuación, nos hemos centrado en los procesos de clonado por medio de
software o hardware. Hemos hablado de la integridad de los discos y, para finalizar, hemos
descrito cómo acceder a los discos que hemos clonado.

15/16
 Sistema apagado

Recursos

Bibliografía
Conservación de la cadena de custodia de una evidencia informática.: Rubio Amarillo, J.
(2016): “Conservación de la cadena de custodia de una evidencia informática”. Editorial Wolters
Kluwer. Diario La Ley, nª8859. Disponible en: https://peritoinformaticocolegiado.es/wp-
content/uploads/Conservacion-de-la-cadena-de-custodia-de-una-evid....pdf
Procesos y herramientas para la seguridad de redes.: Castro Gil, M.A., Díaz Orqueta, G.,
Alzórriz Armendáriz, I. y Sancristóbal Ruiz, E. (2014). Procesos y herramientas para la seguridad
de redes. Madrid: UNED
Un enfoque básico sobre Informática Forense.: Gallardo-Rosales, R., Fuentes-Covarrubias,
A.G., y Fuentes-Covarrubia, R. “Un enfoque básico sobre Informática Forense”. Disponible en:
https://s3.amazonaws.com/academia.edu.documents/36845124/Un_enfoque_basico_sobre_Informatica_Foren
AWSAccessKeyId=AKIAIWOWYYGZ2Y53UL3A&Expires=1543248263&Signature=T53NSFvYg3wiwXh
content-
disposition=inline%3B%20filename%3DUn_enfoque_basico_sobre_Informatica_Fore.pdf

Glosario.

Clonado: Una vez que hemos adquirido los elementos volátiles, procederemos al proceso de
clonado de los dispositivos de almacenamiento de datos que normalmente se basan en discos
duros, discos duros externos, pendrives USB, CD o DVD. Un clonado tiene que ser exacto.

Formato RAW: Formato de archivo digital de imágenes que contiene la totalidad de los datos
de la imagen tal y como ha sido captada por el sensor digital de la cámara, ya sea fotográfica u
otro tipo.

Valor hash: Identificador numérico único que puede asignarse a un disco, carpetas, archivo,
un grupo de archivos o una porción de un archivo, de acuerdo a un algoritmo matemático
estándar aplicado a las características del conjunto de datos.

16/16