Clonando que es gerundio

Clonando que es gerundio

Clonando que es gerundio

El clonado, parte fundamental de un peritaje

¿Quien calcula mis hashes?

Los peritos informáticos pasamos gran parte del tiempo clonando evidencias para nuestras periciales. En un análisis forense, cuando hablamos de clonado, existen distintas herramientas. A la hora de clonar los discos duros en los casos donde necesitemos recopilar evidencias de esos soportes está bastante extendido el uso de clonadoras, pero dependicendo del modelo pueden darnos problemas; es por esto que en Forensic&Security  nos decantamos por utilizar otro de los sistemas, una distribución Kali Linux live para este proceso. No significa que las otras opciones que existen sean peores, no pretendo decir eso, simplemente para nosotros es una opción muy buena por su rapidez y relación precio-eficiencia.

Como peritos informáticos, estamos muy habituados a peritajes donde hay un gran número de evidencias que clonar y este sistema nos da mucha rapidez ya que también nos permite hacer el cálculo del hash simultáneamente.

Como suele ser habitual, notario mediante, realizamos todos los pasos que especificamos a continuación.

Pasos para el clonado:

1-. Se procede a la preparación del ordenador que será utilizado para el clonado de los discos duros, utilizando el S.O. Kali Linux en un PC con las siguientes características en nuestro caso:

– Placa ROG Formula – Z con chipset AMD 990FX/SB950

– 8 x puerto(s) SATA 3 6Gb/s

– Procesador AMD FX Series FX-9590 4.7Ghz

Sí, imagino que una de las cosas que estais pensando es que llevar este equipo a todas partes… pues sí, a quien le toca clonar le toca llevarlo, y no, no tenemos un carrito para él.

2-. Conexión de los discos duros para la realización del clonado, conectamos los que podamos y vamos haciendo los clonados en paralelo. Siempre es necesario tener varios hd propios para guardar las imágenes.  Esto facilita que al hacer los clonados en paralelo y guardar las imágenes en varios discos destino distintos siempre podremos ir mucho más rápido. Aquí queda compensado el tener que llevar el equipo por pesado que sea porque podemos irnos pronto a casa. Todo esto nos permite terminar mucho antes la parte de adquisición de evidencias de la pericial correspondiente.

3-. Ejecución del clonado. El seguimiento de la ejecución del clonado se realiza de la siguiente manera:

3.1 Se procede a fotografiar el arranque del sistema mediante el Kali Linux Live o bien captura de pantalla (siempre plasmar la imagen en un anexo del informe)

3.2 Se procede a fotografiar/capturar pantalla  la ejecución de Kali Forensics (plasmar la imagen en otro anexo del informe)

3.3 Se procede a realizar las correspondientes capturas de pantalla en el momento de realizar la clonación de cada uno de los discos duros, así como el resultado de ejecución de dicho clonado que incluye el hash obtenido en el proceso. El comando dc3dd nos permite hacer el clonado y calcular el hash simultaneamente.

Ejemplo de como pueden ser los parámetros para dc3dd:

dc3dd if=/dev/foo of=/media/foo/foo.dd log=/media/foo/foo.log verb=on HASH=sha1 HASH=sha512
ejemplo dc3dd

Clonado con dc3dd

Si queremos realizar las copias a un dispositivo de bloques no habria más que cambiar el path de la salida “of=foo”. También nos permite realizar tantas copias como necesitemos, esto se consigue poniendo tantas salidas como nos haga falta:

dc3dd if=/dev/foo of=/media/foo/foo.dd of=/dev/sdb of=/media/foo/copia_notario.dd log=/media/foo/foo.log verb=on HASH=sha1 HASH=sha512

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *