Montar una Imagen Forense utilizando OSFMount

  • Posted on: 5 May 2014
  • By: ReYDeS

OSFMount permite montar archivos de imágen de manera local (copias bit a bit de una partición de un disco) en Windows con una letra de unidad. Por defecto los archivos de imagen son montados en modo de solo lectura, por lo tanto los archivos de imagen originales no serán alterados.

OSFMount también soporta la creación de discos RAM, básicamente un disco montado en RAM. Esto tiene generalmente el beneficio de una gran velocidad en comparación a la utilización de un disco duro. Es útil con aplicaciones requiriendo acceso al disco con una alta velocidad, como aplicaciones de bases de datos, juegos y navegadores. Un segundo beneficio es la seguridad, dado que los contenidos del disco no son almacenados sobre el disco duro físico (sino en la RAM) y al apagar el sistema los contenidos del disco no son persistentes.

OSFMount tiene una versión para Windows de 64 bits y una versión para Windows de 32 bits.

Se descarga el instalador pertinente, para luego proceder con su instalación.

Hacer clic en la opción “File -> Mount new virtual disk...” O Archivo -> Montar nuevo disco virtual.

Se presentará una nueva ventana donde se debe seleccionar la Fuente “Source”.

Hacer clic en el botón “...” en el área de “Image file” o Archivo de Imagen para seleccionar la imagen forense que se requiere montar. Luego hacer clic en en el botón “Abrir”.

En la nueva ventana se solicita seleccionar una partición de la imagen.

OSFMount automáticamente definirá el offset o desplazamiento en bloques en el archivo de imagen, el tamaño de la unidad en bloques. También es factible definir la letra de la unidad en la cual será montado el sistema de archivos seleccionado desde la imagen forense. Por defecto la unidad se monta en modo de solo lectura “Read-only drive”

De ser conforme todas las opciones definidas, hacer clic en el botón “Ok”, para proceder con el montaje.

La unidad ha sido montada correctamennte. Para navegar por la nueva unidad montada, hacer doble clic sobre la letra "F:" asignada a la unidad en OSFMount. También es factible navegar por la unidad accediendo mediante la opción "Inicio -> Equipo” de Windows.

Para desmontar la unidad montada, proceder a seleccionarla para luego hacer clic en el botón de nombre "Dismount", ubicado en la parte inferior de OSFMount.

Fuentes:

http://www.osforensics.com/tools/mount-disk-images.html
http://www.osforensics.com/products.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/


Libro Fundamentos de Hacking Web 2ed 2024
Libro Fundamentos de Hacking Ético 2ed 2024