Una de las herramientas más populares para crear líneas de tiempo (Cronologías) es “mactime”, una aplicación de The Sleuth Kit desarrollada y mantenida por Brian Carrier.

Existen dos comandos principales para generar líneas de tiempo desde un sistema de archivos:

La adquisición desde un dispositivo de almacenamiento es un proceso el cual permite copiar exactamente una unidad física objeto de un análisis. Con los sistemas Linux, esta operación es posible utilizando una de las siguientes herramientas; dd, ddrescue, dcfldd, dhash.

DD

El Hash de un bloque de datos; por ejemplo un archivo; es una secuencia de caracteres alfanuméricos de longitud fija calculado por una función matemática.

Esta función matemática es mono direccional; es decir no es posible reconstruir el bloque originario desde una cadena Hash.

Cualquier alteración de los datos, así sea mínimo, resultará en un Hash completamente diferente.

Con los sistemas Linux se puede utilizar alguna de las siguientes aplicaciones para generar una cadena Hash; md5sum, sha1sum, md5, sha1 y sha256 deep, además de “dhash”.

El montar una imagen forense adquirida en formato .EWF puede ser realizada con la aplicación “ewfmount”. Este programa es capaz de virtualmente convertir archivos EWF hacia el formato en bruto, permitiendo al dispositivo ser montado como si fuese una imagen adquirida en formato dd.

Si se tiene un disco dividido en los siguientes archivos cfreds_2015_data_leakage_pc.E01, cfreds_2015_data_leakage_pc.E02, cfreds_2015_data_leakage_pc.E03, y cfreds_2015_data_leakage_pc.E04.

En el caso donde un archivo de imagen dd o raw (por lo tanto un flujo de bit o imagen bit a bit desde un disco) está dividido en varios archivos, es necesario preparar un archivo el cual se montará utilizando el comando “mount”.

Si se tiene un imagen constituida por SCHARDT.001, SCHARDT.002, SCHARDT.003, SCHARDT.004, SCHARDT.005, SCHARDT.006, SCHARDT.007 y SCHARDT.008. No se puede aplicar directamente los comandos forenses pertinentes, porque en este caso no se tienen un único archivo sobre el cual ejecutar el comando “mount”.

Para montar un archivo de imagen como solo lectura (conteniendo el volcado de un disco completo, no de una sola partición) se puede utilizar el siguiente comando.

$ sudo mount -t tipo -o ro,loop,offset=$((512*inicio_particion)) opciones archivo_imagen.dd punto_montaje

Las “opciones” y la sintaxis del comando “mount” son conocidas.

Para montar un sistema de archivos en modo de solo lectura simplemente se debe tipear el siguiente comando:

$ sudo mount -t [tipo] -o [opciones] Fuente Punto_Montaje

Donde:

El comando mount permite conectarse hacia un sistema de archivos presente sobre un dispositivo o sobre un archivo almacenado sobre el disco hacia un directorio del sistema.

En el área Forense cuando se requiere montar un dispositivo como un disco duro, USB stick, CD / DVD / CD-ROM, disco flexible, etc., se utilizará, como fuente, el dispositivo por si mismo identificándolo. En este caso:

A continuación se detalla un listado de comandos útiles para realizar tareas forenses relacionadas a la gestión de dispositivos de almacenamiento.

fdisk

Los discos duros pueden ser divididos en uno o más discos lógicos denominados particiones. Esta división es descrita en la tabla de partición encontrada en el sector 0 del disco. Fdisk es un programa conducido por un menu para la creación y manipulación de tablas de partición. Entiende tablas de partición tipo DOS, BSD o SUN.

Cuando se planea una prueba de penetración, si no se formulan adecuadamente las reglas del contrato, se puede finalizar en el mejor de los casos con una prueba de penetración de poco costo. Y en el peor de los casos, se puede ir a prisión. Con el objetivo de mantener a los profesionales en pruebas de penetración fuera de los confortables recintos de un una penitenciaría, esta hoja de trabajo permite al profesional recorrer a través de una serie de preguntas el establecimiento un conjunto firme de acuerdos para asegurar una efectiva prueba de penetración.