27 mar 2013

Herramientas forense para ser un buen CSI. Parte XVIII: Clonación II de II

Buenas a todos, hoy continuaremos nuestra cadena sobre Análisis Forense hablando de la clonación de discos duros vía software, presentando algunas alternativas gratuitas que tenemos disponibles en el mercado.

La primer de las herramientas con las que hoy trabajaremos será dd (modo consola), y en concreto su versión mejorada, dc3dd, que tenéis disponible en numerosas distribuciones de Linux orientadas a forense, como Caine.

dd y dc3dd soportan clonación tanto a nivel físico (todo el disco duro), como a nivel lógico (cada partición independiente), lo que nos permitirá no solo utilizarlas para clonar todo un disco para un análisis forense, si no también para hacer backups de unidades concretas.

Nota: Es muy importante que si se montan las unidades, se haga en modo solo lectura, para evitar alterar el disco duro a analizar.

Nota 2: En la clonación, el tamaño del disco duro destino debe ser igual o mayor que el de origen. Si es menor, deberá realizarse la clonación por partes.

En dd y dc3dd tendremos que aprendernos algunos argumentos indispensables para realizar la clonación:

  • if=input file
  • of=output file
  • bs=sector
  • count=nº

Por ejemplo, si quisiésemos clonar la MBR de un disco, que como sabéis ocupa el sector 0, es decir, los primeros 512 bytes, deberíamos aplicar el siguiente comando:

  • dc3dd if=xxx of=mbr.backup bs=512 count=1

Y si quisiésemos restaurar la MBR desde una imagen dd:

  • dc3dd if=mbr.backup of=xxx bs=512 count=1

Además de esta utilidad en modo consola, disponemos de un gran listado de utilidades con entorno gráfico que nos facilitarán más si cabe la delicada tarea de adquisición de evidencias. Una de ellas es el software AIR (disponible en Caine).

AIR nos va a permitir desde realizar la clonación de un disco bit a bit hasta realizar su borrado mediante barrido de 0s (Wiping)

Nota 3: Se recomienda realizar 3 barridos de 0s para eliminar todo rastro posible de información de un disco duro.

Además nos permitirá utilizar dc3dd para realizar la clonación.

Por otro lado nos permitirá calcular el hash de la evidencia (importante seleccionar sha1 o superior como os dijimos la semana pasada):

 

Otra utilidad muy útil será Guymager, también disponible en Caine. Como veréis en la siguiente imagen es incluso más sencilla de utilizar que AIR. En su pantalla principal nos muestra los device disponibles y pulsando con el botón derecho del ratón sobre cada uno de ellos nos permitirá realizar la adquisición de la evidencia:

 

Una vez se abra la nueva pantalla simplemente le indicaremos el tipo de copia que deseamos realizar, el destino, le daremos un nombre, seleccionaremos el algoritmo de hashing para la firma de la evidencia, y si no nos entra la imagen en el disco duro destino, podremos seleccionar partirlo en trozos:

 

Eso es todo por hoy, saludos!

2 comentarios:

  1. [...] Buenas a todos, hoy continuaremos nuestra cadena sobre Análisis Forense hablando de la clonación de discos duros vía software, presentando algunas alternativas gratuitas que tenemos disponibles en el mercado.  [...]

    ResponderEliminar
  2. Hola! Os sigo desde hace tiempo y aún no había tenido ocasión de felicitaros por le proyecto Flu. ¡Enhorabuena!Como siempre, muy interesante el post. En este caso, tengo una duda: algunos dispositivos de clonación "por hardware" permiten obtener 2 o más copias simultaneamente, pero ¿cómo realizaríamos 2 copias iguales mediante AIR?¿Hay que realizar el proceso 2 veces? ¿O es lo mismo que copiar el archivo .dd obtenido en la primera copia?Gracias y un saludo!!!!

    ResponderEliminar