Montaje de Dispositivos de Almacenamiento

  • Posted on: 13 July 2016
  • By: ReYDeS

El comando mount permite conectarse hacia un sistema de archivos presente sobre un dispositivo o sobre un archivo almacenado sobre el disco hacia un directorio del sistema.

En el área Forense cuando se requiere montar un dispositivo como un disco duro, USB stick, CD / DVD / CD-ROM, disco flexible, etc., se utilizará, como fuente, el dispositivo por si mismo identificándolo. En este caso:

  • Para disco flexibles (usualmente con un único disco flexible se tiene /dev/d0): /dev/fdX
  • Para discos duros IDE: /dev/hdX
  • Para Disco duros SATA o dispositivos USB: /dev/sdX
  • Para CDROM: /dev/cdrom

La letra “X” identifica el número de dispositivos sobre el sistema de archivo, de tal manera se tendrá /dev/sda par el primer disco y /dev/sdb para el segundo, mientras los número observados después del dispositivo con el comando “fdisk -l “ (/dev/sda1, /dev/sda2, etc) identifican el número de la partición dentro del dispositivo.

En forense, el montado directo de una evidencia (por ejemplo, un disco, una unidad flash USB, etc.) debe ser realizada como solo lectura, y solo cuando sea necesario. Esto asegura la integridad de la evidencia pueda ser garantizada. Las buenas prácticas indican claramente nunca se debe trabajar con los originales, siempre y únicamente sobre una copia.

El sistema de archivos seleccionado, así como fue almacenado sobre el dispositivo, puede estar contenido dentro de un archivo sobre el disco, conteniendo el volcado o imagen de flujo de bits del dispositivo adquirido. Se tienen, en este caso, imágenes:

  • Formato dd o raw. Imagen de flujo de bits
  • Formato ewf: EnCase
  • Formato aff: Advanced Forensic Format

Algunas veces el formato de flujos de bits es dividido en archivos de tamaño pequeño (De 2 a 4 Gigas cada uno) para ser guardados sobre sistemas de archivos con un límite en el tamaño del archivo (por ejemplo FAT32), en este caso se define como raw separado.

Fuentes:

http://www.forensicswiki.org/wiki/Raw_Image_Format
http://www.forensicswiki.org/wiki/Encase_image_file_format
http://forensicswiki.org/wiki/AFF
http://www.deftlinux.net/
http://www.deftlinux.net/doc/EN-deft7.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Curso de Informática Forense