Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMÁTICA FORENCE
IRICE 1001
En esta fase se obtienen copias de la información que se sospecha que puede estar
vinculada con algún incidente. De este modo, hay que evitar modificar cualquier tipo
de dato utilizando siempre copias bite a bite con las herramientas y dispositivos
adecuados. Cabe aclarar este tipo de copia es imprescindible, debido a que nos
dejara recuperar archivos borrados o particiones ocultas, arrojando como resultado
una imagen de igual tamaño al disco estudiado.
Rotulando con fecha y hora acompañado del uso horario, las muestras deberán ser
aisladas en recipientes que no permitan el deterioro ni el contacto con el medio. En
muchos casos, esta etapa es complementada con el uso de fotografías con el
objetivo de plasmar el estado de los equipos y sus componentes electrónicos.
Recomendamos la utilización de guantes, bolsas antiestáticas y jaulas de Faraday
para depositar dispositivos que puedan interaccionar con ondas electromagnéticas
como son los celulares.
La adquisición de muestras debe respetar una regla fundamental que está ligada a
la volatilidad de las muestras, por lo que se deberán recolectar en el orden de la
más volátil en primera instancia a la menos, sobre el final. A modo de ejemplo,
podríamos indicar que primero deberíamos recolectar datos relevantes a la
memoria, contenidos del caché y como último paso recolectar el contenido de
documentos o información que esté disponible en el soporte de almacenamiento.
Como ya sabemos las RFC son un conjunto de documentos que sirven de referencia
para estandarizaciones, normalizaciones en comunicaciones y tecnología. De esta
forma consultando la RFC 3227, podremos relevar con mayor profundidad todo lo
que compete a esta etapa.
2. Preservación
3. Análisis
Además, es muy importante tener en claro qué es lo que estamos buscando, debido
a que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin
embargo, el estudio de la línea de tiempo (timeline), logs de accesos y una descarga
de la memora RAM será muy útil para la mayoría de las pericias.
Es muy importante en esta instancia la evaluación de criticidad del incidente
encontrado y los actores involucrados en él.
4. Documentación
Si bien esta es una etapa final, recomendamos ir documentando todas las acciones,
en lo posible, a medida que vayan ocurriendo. Aquí ya debemos tener claro por
nuestro análisis qué fue lo sucedido, e intentar poner énfasis en cuestiones críticas y
relevantes a la causa. Debemos citar y adjuntar toda la información obtenida,
estableciendo una relación lógica entre las pruebas obtenidas y las tareas
realizadas, asegurando la respetabilidad de la investigación.
5. Presentación
Los problemas que suelen necesitar de una restauración del equipo son:
Para realizar la clonación y usaremos la aplicación Pudd, una interfaz gráfica del
comando dd, que nos facilita mucho el trabajo.
Para empezar, arrancamos con un cd o pendrive que tenga el Puppy Linux en el
equipo que queremos clonar, configuramos el teclado en español y pulsamos con
el botón derecho sobre el escritorio, elegimos la opción Utility + Pudd copy …
En el cuadro de diálogo que aparece distinguimos 3 zonas
La zona 1 es para probar si hay unidades usb, zip o disquetes conectados y listos
para ser usados. Esta no la usaremos en este documento.
La zona 2 es para clonar discos.
La zona 3 es para clonar particiones.
Nota: las prácticas que se van a ver a partir de ahora se han realizado en máquinas
virtuales, pero pueden realizarse de la misma forma en equipo reales. La máquina
virtual que usaremos tiene dos discos, uno con un sistema instalado en una única
partición y otro disco vacío.
Empezaremos haciendo una imagen de disco a disco
Para ello, elegimos en select source: choose drive, elegimos el primer disco
(disco1), el que tiene instalado el sistema a clonar(sda) y en choose destination:
choose drive, elegimos el segundo disco (disco2), el que está vacío (sdb)
Ahora vamos a simular que el disco del sistema falla (caso1) o que nos llevamos el
segundo disco a un equipo nuevo (caso2), ambos casos son iguales.
Caso1: quitamos el cd y el disco instalado (disco1) de la máquina virtual, dejamos
solo el disco2, en el que acabamos de hacer la copia y arrancamos.
Caso2: creamos una máquina virtual nueva y le agregamos el disco2
Iniciamos el sistema y …
Todo correcto porque la clonación de disco copió cada sector del disco1 en el
disco2, incluido el MBR con el gestor de arranque.
De esta manera tan sencilla se puede clonar un disco.
Nota: el disco2 no estaba particionado, no era necesario ya que la clonación es
completa.
Al arrancar hay que crear la partición del disco sda y darle formato