CREAR IMAGENES

Uno de los aspectos más importantes en Informática Forense es la preservación de la Evidencia Digital. En este punto teniendo en cuenta la volatilidad que puede presentar la evidencia, es necesario que se realicen copias bit a bit de la información, tanto para preservar una copia como para garantizar que la evidencia original no ha sido alterada.

Fuente: http://ciencia.diariodeavisos.com/2013/09/12/el-analisis-forense-o-como-analizar-los-discos-duros-de-barcenas/

La herramienta que se seleccione para realizar la copia del disco duro deberá garantizar que:

- la copia se hará bit a bit

-no modificará el disco original

-poder acceder a distintas tecnologías de disco duro como IDE y SCSI

-poder validar la integridad de la imagen usando MD5 o SHA1

-deberá registrar los errores de entrada y salida

la NIST ( Insituto Nacional de Estándares y Tecnología) http://www.nist.gov/ define estos parámetros que se deberán tener en cuenta al seleccionar la herramienta adecuada.

Se listan a continuación dos herramientas que cumplen con los requisitos de la NIST:

- Linux dd: Es una utilidad que tienen los sistemas operativos linux que permiten realizar imágenes de discos duros. Para mayor información del uso de esta utilidad puede visitar http://linuxzone.es/dd-clona-y-graba-discos-duros-facilmente/

-SnapBack DatArrest: Es una herramienta creada por Columbia Data Producis que permite también realizar copias de disco duros bit a bit. Es una herramientas para plataforma windows. Para mayor información visitar http://www.intersys-group.com/snapback/snapback_exact_overview.htm

ANALISIS DE IMAGENES DE DISCOS

Existen varias herramientas que podemos usar para analizar imágnes de discos duros. A continuación se presenta un comparativo de tres herramientas teniendo en cuenta la utilidad que ofrecen, sus ventajas y desventajas.

1. Autopsy

-Herramientas:

Generador de reportes Time line Views

-Utilidades:

Esta herramienta permite realizar el análisis de una imagen de disco dentro de un caso de informática forense.

-Ventajas:

Es bastante amigable en su manejo

Permite generar reportes en excel, html, varios formatos

Genera una línea de tiempo en forma de gráfico.

La forma de montar la imagen es bastante sencilla

Es gratuita

Permite ver archivos borrados y su recuperación

Permite instalar pluggins adicionales

-Desventajas

Menos herramientas que Osforensics licenciado

2. Osforencis

-Herramientas:

Create index Search index Drive imaging Mount drive image Intall to USB entre otras

-Utilidades

Osforencics es una herramienta bastante completa para el análisis forense de imágenes. Tiene muchas herramientas que pueden ser útiles al investigador.

-Ventajas:

Muestra en pestañas la información de imágenes, archivos

Muchas más opciones para el análisis de una imagen

Permite utilizar una versión libre

Permite verificar el hash de una imagen o generar uno.

Permite hacer búsquedas de archivos por palabras claves

-Desventajas:

ES una herramienta que no es libre y tiene un costo

Requiere más pasos para configuar el cargue de la imagen

Requiere montar un volúmen antes para luego montar la imagen

3. Caine

-Herramientas:

guy manager fmount Autopsy Gtkhash entre muchas otras

-Utilidades:

Caine es una distribución linux que trae instaladas varias herramientas entre ellas Autopsy que permiten al investigador analizar imágenes dentro de un caso forense.

-Ventajas:

Gratuita

Es una herramienta liviana

La herramienta autopsy que trae caine es de fácil configuración

Permite utilizar herramientas de entorno gráfico y también por consola de comandos.

-Desventajas:

Presenta la información en un formato menos amigable que las otras herramientas

No genera reportes tan fácilmente

La instalación requiere de conocimientos en linux