Ingeniería Forense

1. Objetivo

Identificar la terminología usada en Análisis Forense para hacer un peritaje.

Realizar una copia bit a bit de un disco para posterior revisión; como evidencia de un Análisis Forense.

2. Preparando Medios

En esta sección, preparamos la USB o el Disco Duro del cual queremos obtener la recopilación de datos, debido a que estamos obteniendo dicha recopilación desde una maquina virtual, es necesario montar la unidad en dicha máquina como se muestra a continuación.

Crear la carpeta donde se montaran los archivos de la USB.

Montar la unidad USB en la carpeta creada anteriormente.

En la siguiente imagen logramos ver los archivos que contenía la USB.

En el laboratorio se menciona que debemos formatear el disco donde vamos a guardar la imagen que obtendremos más adelante, sin embargo, como no es posible conectar dos dispositivos al tiempo en la maquina virtual, lo que hacemos es crear una carpeta donde guardaremos el resultado de recopilar los datos y más adelante la pasamos a un disco externo.

3. Creando la Imagen del Disco

La imagen bit a bit es la practica más usual para crear una imagen que servirá como un activo en un proceso de investigación forense. Para ello usamos el comando que se muestra a continuación tanto en Windows como en Linux.

Este comando muestra las particiones del disco y el nombre que esta asociado a ellas.

Podemos ver que el el nombre asignado a nuestra partición de USB.

Creamos un directorio donde almacenaremos el archivo de recopilación de datos.

Ahora realizamos la recopilación de datos desde la dirección donde se encuentran esos datos hasta la carpeta que destinamos para ellos. En Linux se crea un archivo con extensión .dump y es equivalente al volcado de datos.

Es importante realizar tres copias, una para dejarla sellada en registro y sirva como elemento probatorio ante el Estado o una entidad acusadora, las otras dos servirán para ser manipuladas y hacer todo el proceso forense que me lleve a reconstruir el ataque y encontrar a el culpable.

4. Verificando el correcto funcionamiento de la Imagen

Con el objetivo de verificar que la imagen haya sido correctamente creada y pueda ser usada en un futuro, la montamos en un dispositivo diferente, puede ser en el mismo, pero deberíamos formatearlo para comprobar que desde un disco vació es posible recrear la imagen creada y trabajar con los datos que se encuentran allí almacenados. A continuación vemos las imágenes de como lo hacemos.

Lo primero que hacemos es montar la USB o disco duro en el cual queremos recrear la imagen que contiene la recopilación de datos.

Ahora montamos la imagen que contiene la recopilación de los datos hasta el dispositivo que hemos decidido usar para efectuar dicho procedimiento. Desde este momento podemos empezar a manipular el dispositivo, pues es una replica exacta del disco inicial.

5. Verificando el Hash de los archivos

Es importante dejar un registro del Hash de los archivos, para de tal manera poder verificar que su contenido no ha sido modificado, así, de tal forma, cuando se desee hacer una investigación seria, se asegura que se hace sobre un archivo que es una fiel

...