Comandos Forenses Útiles para Gestionar Dispositivos de Almacenamiento

  • Posted on: 12 July 2016
  • By: ReYDeS

A continuación se detalla un listado de comandos útiles para realizar tareas forenses relacionadas a la gestión de dispositivos de almacenamiento.

fdisk

Los discos duros pueden ser divididos en uno o más discos lógicos denominados particiones. Esta división es descrita en la tabla de partición encontrada en el sector 0 del disco. Fdisk es un programa conducido por un menu para la creación y manipulación de tablas de partición. Entiende tablas de partición tipo DOS, BSD o SUN.

La opción “-l” de fdisk lista las tablas de partición para el dispositivos especificado y luego sale. Si no se especifica un dispositivo, se utilizan aquellos mencionados en “/proc/partitions” (si existe).

$sudo fdisk -l

mmls

mmls muestra la disposición de las particiones en un sistema de volumen, lo cual incluye tablas de partición y etiquetas de disco. Expone información sobre el “offset” o desplazamiento inicial de cada partición y espacios sin asignar.

$sudo mmls /dev/sdc

hdparm

hdparm proporciona una interfaz en linea de comandos para diversas interfaces del kernel soportados por el subsistema “libdata” SATA/PATA/SAS y el antiguo subsistema controlador IDE.

La opción “-g” muestra la geometría de la unidad (cilindros, cabezas, sectores), el tamaño (en sectores) del dispositivo, y el “offset” inicial (en sectores) del dispositivo desde el inicio de la unidad.

$sudo hdparm -l /dev/sdc

mount

Todos los archivos accedibles en un sistema GNU/Linux están ordenados en un gran árbol, la jerarquía de archivo, con raíz en “/”. Estos archivos pueden estar esparcidos sobre diversos dispositivos. El comando mount se utiliza para adjuntar un sistema de archivos encontrado sobre algún dispositivo hacia el gran árbol de archivo.

El comando lista el tipo del sistema de archivo de los dispositivos de almacenamiento conectados, y la manera en la cual fueron montados (sólo lectura / escritura-lectura).

$ sudo mount

df

df muestra la cantidad de espacio disponible sobre un sistema de archivos conteniendo cada argumento del nombre de archivo. Si no se define un nombre, se mostrará el espacio disponible de todos los sistemas de archivos montados. El espacio en disco se muestra en bloques de 1K por defecto.

$sudo df -l

Fuentes:

http://linux.die.net/man/8/fdisk
http://www.sleuthkit.org/sleuthkit/man/mmls.html
http://linux.die.net/man/8/hdparm
http://linux.die.net/man/8/mount
http://linux.die.net/man/1/df
http://www.deftlinux.net/
http://www.deftlinux.net/doc/EN-deft7.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Curso de Informática Forense