Imágenes Forenses

Una imagen forense es una copia bit a bit exacta de un dispositivo de almacenamiento. Es también conocido como una imagen de flujos de bits. En otras palabras, cada bit (1 o 0) es duplicado en otro dispositivo limpio desde la perspectiva forense, como un disco duro. ¿Porqué hacer todo esto? ¿Porqué únicamente no copiar y pegar los archivos?. Las razones son significativas. Primero, copiar y pegar únicamente obtiene los datos activos. Esto es, los datos factibles de ser accedidos por el usuario. Estos son los archivos y carpetas con los cuales interactúan los usuarios, como un documento de Microsoft Word. Segundo, esto no obtiene los datos en el espacio sin asignar, incluyendo archivos borrados o parcialmente sobrescritos. Tercero, no captura los datos del sistema de archivos. Todo esto podría generar un análisis forense incompleto e no efectivo.

Se necesita realizar un clon forense del dispositivo de almacenamiento sospechoso (disco duro), tan pronto como sea razonablemente posible. El crear una imagen forense desde un dispositivo de almacenamiento puede ser un proceso con un alto consumo de tiempo, y por esta razón usualmente tiene mayor sentido realizarlo en el laboratorio forense en lugar de la escena del incidente. El generar la imagen forense en el laboratorio elimina la necesidad de estar en la escena, pues esto podría demandar horas. También proporciona un entorno más estable y confortable para controlar mejor el proceso.

Antes de capturar la computadora, se debe tener la autorización legal para hacerlo. En casos criminales, esta petición y la racionalidad detrás de esto debe ser parte de la aplicación de la orden de registro. En casos civiles, esta provisión puede ser negociada por las partes implicadas u ordenada por un juez.

Aunque tomar el hardware hacia el laboratorio forense es una rutina en casos criminales, la creación de la imagen forense podría necesitar ser realizada en la escena en un caso civil. La mayoría de casos civiles con evidencia digital se enfocan en computadoras de la empresa. Una computadora de la empresa situada en un laboratorio forense, no está generando ninguna ganancia, lo cual tiene a generar irritabilidad en el personal de la empresa. Si un disco duro en la computadora de la empresa no puede ser remplazado, entonces la máquina debe ser clonada y puesta en servicio.

Fuentes:

https://forensicswiki.org/wiki/Disk_Imaging
http://smallbusiness.chron.com/difference-between-disk-cloning-disk-imag...
https://www.theatlantic.com/technology/archive/2017/03/hacking-tools-pee...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1