Software utilizado:
-Kali linux live USB
-FTK imager
-Autopsy for Windows.
Software de código abierto que permite realizar una imagen de una unidad de almacenamiento. En este procedimiento veremos cómo peritar un pendrive ofrecido como prueba.
1. Utilizando Kali Linux
A. Crear imagen Kali linux en un pendrive
A.1. https://www.kali.org/
A.2. Seleccionar menú Download -> https://www.kali.org/get-kali/
A.3. Seleccionar Live Boot -> https://www.kali.org/get-kali/#kali-live
A.4. Seleccionar Point Release live image. Al momento de este procedimiento la versión era 2023.1.
A.5. Descargar la imagen
A.6. Sha256sum de la imagen y verificar con el sha256sum de la información publicada en el sitio web en el punto A.4.
A.7. En Kubuntu o Lubuntu 22.04 acceder a "Startup disk creator", insertar un pendrive de 4GB o superior, seleccionar la imagen recién descargada y grabarla en el pendrive.
O bien lsblk -> /dev/sdb
sudo umount /deb/sdb*
sudo bs=4M if=kali.iso of=/dev/sdb status=progress oflag=sync
A.8. Insertar el pendrive y reiniciar el ordenador.
A.9. Seleccionar "Live system (Amd64 forensic mode)
A.10. Una vez que arranca el sistema operativo se observan todos los discos disponibles que no están montados. Hacer doble click en la unidad SSD o disco duro para activar dicha unidad. Allí es donde se copiará la imagen que se realice del pendrive.
Crear una imagen>
1. Iniciar Kali Linux en modo Forense
2. lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 3.3G 1 loop /usr/lib/live/mount/rootfs/filesystem.squashfs
/run/live/rootfs/filesystem.squashfs
sda 8:0 0 447.1G 0 disk
├─sda1
│ 8:1 0 300M 0 part
└─sda2
8:2 0 446.8G 0 part
sdb 8:16 0 1.8T 0 disk
└─sdb1
8:17 0 1.8T 0 part /media/kali/D
sdc 8:32 1 14.3G 0 disk
├─sdc1
│ 8:33 1 3.9G 0 part /usr/lib/live/mount/medium
│ /run/live/medium
└─sdc2
8:34 1 896K 0 part
sdd 8:48 1 7.3G 0 disk
└─sdd1
8:49 1 7.3G 0 part
3. Sobre el escritorio, efectuar Doble Click en el disco donde se creara la imagen. En este caso se efectuara la copia de en el /dev/sdb1 el cual se monta en /media/kali/D
4. Identificar la unidad desde la cual se efectuara una copia bit a bit. En este caso /dev/sdd1 es un pendrive de 7.3GB.
5. sudo dd if=/dev/sdd1 | pv | dd of=/media/kali/D/imagen_mia.dd
Aguardar a que finalice el proceso y retirar el pendrive.
lsb_release -a (Versión de Kali linux instalada)
6. sha256sum imagen_mia.dd arroja la informacion de Sha256 de la copia
7. ls -l arroja la informacion del tamano, la cual debe coincidir con el tamano devuelto por el comando dd ejecutado en el punto 5.
8. Tomar una captura de pantalla. En Kali linux tocar boton de INICIO y escribir: screenshot. Seleccionar area de ventana y guardar.
2. En sistema informático Windows.
A. Realizar una imagen
1. Bloquear los puertos USB contra escritura para Windows 10 realizar los pasos listados en: https://informaticayperitajes.blogspot.com/2021/03/bloqueo-contra-escritura.html
2. Insertar otro dispositivo pendrive en la unidad USB e intentar crear un nuevo archivo o carpeta en el mismo. No debería ser posible crear, modificar ni eliminar ningún archivo. Caso contrario repetir el paso 1 o buscar otro procedimiento para bloquear puertos USB.
3. Descargar FTK Imager https://marketing.accessdata.com/l/46432/2019-03-08/6z3phy
4. Instalar FTK Imager y abrir el programa.
5. Dirigirse al menú File > Create disk image y seleccionar la opción "Physical Drive"
6. Seleccionar la unidad pendrive sobre la cual se realizará la imagen forense y luego oprimir el botón [Finish].
7. Aparecerá una nueva ventana.
7.1. En la porción inferior de la misma marcar todas las casillas:
Verify images after they are created
Precalculate Progress Statistics
Create directory listings of all files in the image after they are created
7.2. En el apartado Image destination oprimir el botón [Add] y a continuación seleccionar la opción Raw (dd).
Colocar luego los datos del caso, podría incluirse el número de expediente de la causa y oprimir el botón [Next]
8. A continuación seleccionar la Image Destination Folder, es decir nombre del archivo y carpeta donde se almacenará la imagen resultante.
En la opción Image Fragment Size (MB) colocar un cero "0" para obtener un único archivo y luego oprimir el botón [Finish]
Se creará el archivo de imagen y otros dos archivos, uno en formato texto conteniendo información global de la imagen y otro en formato csv conteniendo información de los archivos obrantes en la unidad pendrive.
9. Extraer el pendrive del puerto, el mismo ya no será necesario y se procederá a trabajar con la imagen.
B. Acceder al contenido de la imagen mediante FTK Imager.
1. Dirigirse al menú File > Add evidence item
2. Seleccionar el tipo Image File y luego oprimir el botón [Next]
3. Seleccionar el archivo conteniendo la imagen recientemente creada y oprimir [Finish]
4. En el panel Evidence Tree aparecerá una entrada conteniendo el pendrive la cual puede ser navegada para conocer el contenido obrante en el pendrive.
C. Montar la imagen para que el contenido de la misma sea accesible mediante el explorador de Windows como una unidad convencional.
1. Dirigirse al menú File > Image Mounting
2. Seleccionar el tipo Image File, dejar las opciones por defecto y luego oprimir el botón [Mount], finalmente oprimir el botón [Close]
3. Abrir el explorador de Windows y observar que se ha creado una nueva unidad a través de la cual es posible acceder y copiar el contenido para peritar.
4. Al finalizar volver al software FTK Imager e ingresar al menú File > Image Mounting.
5. Seleccionar las dos imágenes montadas mediante la tecla Shift y luego oprimir el botón [Unmount]
6. Fin del procedimiento
Comentarios
Publicar un comentario