Montar un Dispositivo para Propósitos Forenses

  • Posted on: 14 July 2016
  • By: ReYDeS

Para montar un sistema de archivos en modo de solo lectura simplemente se debe tipear el siguiente comando:

$ sudo mount -t [tipo] -o [opciones] Fuente Punto_Montaje

Donde:

  • “Tipo” es el tipo del sistema de archivos, usualmente vfat, ntfs-3g, ext3, etc. o “auto” cuando no se está seguro del tipo del sistema de archivos (si se omite esta opción, el montado intentará independientemente de reconocer el tipo de sistema de archivos, y esto usualmente es exitoso).
  • “Fuente” puede ser una partición como /dev/hda1 o /dev/sda1.
  • “Punto_Montaje” es usualmente un directorio en /media, este debe ser creado antes de ejecutar el comando mount.

Los parámetros frecuentemente utilizados (los cuales deben seguir a continuación de la opción “-o” del comando mount) son:

  • ro - solo lectura: montar como solo lectura
  • rw - lectura escritura: montar como modo escritura.
  • loop - para montar un archivo de imagen
  • noatime - no cambia la fecha de última acceso
  • noexec - no permite la ejecución de archivos
  • offset=N - cuando se monta un archivo de imagen de disco se proporciona el número en bytes a saltar hasta el punto en el cual inicia la partición lógica a montar

Ejemplo 1: Montar con acceso de escritura una partición FAT32 sobre el cual se almacenará un volcado de un dispositivo (el resultado de una adquisición forense).

$ sudo mkdir /media/USB1
$ sudo mount -t auto /dev/sdb1 /media/USB1/

Ejemplo 2: Montar una partición FAT32 de un dispositivo de almacenamiento en modo solo lectura el cual se desea adquirir, por ejemplo para previsualizar archivos durante actividades del campo de trabajo (es esencial utilizar la opción “-o ro” para prevenir cualquier escritura accidental hacia el disco)

$ sudo mkdir /media/evidencia
$sudo mount -t auto -o ro /dev/sdb1 /media/evidencia

Para probar la incapacidad de poder escribir en el directorio “/media/evidencia” se ejecuta el comando touch para crear un archivo de nombre “archivo.txt”.

Fuentes:

http://linux.die.net/man/8/mount
http://www.deftlinux.net/
http://www.deftlinux.net/doc/EN-deft7.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Curso de Informática Forense