Scribd
Cargar
89 vistas6 páginas

Copia Forense de Disco Duro Antes de Formatear

Este documento describe el proceso de análisis forense mediante el uso de una bloqueadora de escritura de un disco duro. Primero se obtiene el código hash del disco duro original y se clona a un disco duro destino para el análisis. Luego, se conecta el disco duro destino a una bloqueadora de escritura en modo de sólo lectura para evitar modificaciones y se analiza la información contenida. Finalmente, se vuelve a obtener el código hash para verificar que no hubo cambios en los datos originales durante el proceso

Cargado por

JUAN CAMILO CARRENO BELENO
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
89 vistas6 páginas

Copia Forense de Disco Duro Antes de Formatear

Este documento describe el proceso de análisis forense mediante el uso de una bloqueadora de escritura de un disco duro. Primero se obtiene el código hash del disco duro original y se clona a un disco duro destino para el análisis. Luego, se conecta el disco duro destino a una bloqueadora de escritura en modo de sólo lectura para evitar modificaciones y se analiza la información contenida. Finalmente, se vuelve a obtener el código hash para verificar que no hubo cambios en los datos originales durante el proceso

Cargado por

JUAN CAMILO CARRENO BELENO
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

INFORMATICA FORENSE

JUAN CAMILO CARREÑO BELEÑO

INSTITUTO UNIVERSITARIO DE LA PAZ UNIPAZ

BARRANCABERMEJA

2021
ANÁLISIS FORENSE MEDIANTE BLOQUEO DE ESCRITURA DE UN DISCO
DURO

En primer lugar, es necesario obtener el código hash del disco duro que se va a
utilizar para realizar la prueba. Para ello, es necesario conectar a una clonadora el
mencionado disco duro (el del ejemplo, con capacidad de 1 terabyte e interfaz
SATA), para posteriormente ejecutar el algoritmo que devuelve dicho código. Para
la prueba, se utilizará la clonadora Tableau TD2u que devolverá el código
del algoritmo de hash SHA-1 para el disco duro utilizado. El código hash devuelto
para el disco origen es 57615B9731C839086796C28B4113786669C4292D, tras
realizar una clonación forense desde un disco duro origen a un disco duro destino
En este caso de ejemplo, el disco duro origen y destino son de la misma marca y
modelo, por tanto, devuelven el mismo hash, algo que no ocurre si la marca y el
modelo no coinciden. Esta característica evitará, para realizar la prueba, el cálculo
del código hash del disco destino, ya que es el mismo que el del origen.

Tras la conexión del disco duro a la bloqueadora de escritura y la posterior


activación de ésta, es necesario seleccionar, bien el modo de lectura y escritura,
bien el modo de sólo lectura, poniendo sumo cuidado en seleccionar este último
para no escribir accidentalmente en el disco duro. A continuación, se ilustra
mediante una fotografía el procedimiento de conexión del disco duro a una
bloqueadora de escritura WiebeTech Combo Dock V5, así como su posterior
conexión, a través del bloqueador de escritura, a un ordenador personal mediante
interfaz USB, al objeto de proceder a su análisis.

Una vez se ha seleccionado en la bloqueadora de escritura el modo de sólo lectura


y se ha conectado la misma al ordenador, el sistema operativo detecta y monta
automáticamente las distintas particiones que componen el disco duro. El sistema
operativo utilizado es Microsoft Windows, pero también se podría utilizar cualquier
distribución de Linux, ya que existen drivers compatibles con Linux para las
bloqueadoras de escritura más importantes del mercado.

En este momento, es necesario acceder a una de las particiones del disco. En la


siguiente captura de pantalla se puede comprobar que en el directorio raíz de la
partición etiquetada por Windows como “Nuevo vol. (G:)”, existe un directorio y
ningún fichero.
Para comprobar la efectividad del bloqueo de escritura, se copiará un fichero
cualquiera en el directorio raíz de la partición seleccionada, (nótese que se podría
copiar el fichero en cualquier subdirectorio de cualquiera de las particiones). En este
punto del proceso, cuando realmente se esté en un análisis forense real, es cuando
el perito informático debe usar las herramientas de software de análisis forense que
estime más convenientes para cada caso, al objeto, bien de analizar la información
que contiene el disco, bien de obtener ficheros borrados, bien de obtener
información oculta, etc.
Posteriormente, se procede a desmontar la bloqueadora de escritura del sistema
operativo. Para realizar esta operación, lo más seguro y conveniente es utilizar la
herramienta de desmontado de volúmenes de Windows.

Una vez la bloqueadora de escritura ha sido desmontada, es necesario volver a


montarla al objeto de comprobar que el fichero no se ha copiado en la raíz de la
partición “Nuevo vol. (G:)”. Como se puede observar en la siguiente captura de
pantalla, efectivamente, el fichero no aparece copiado en la mencionada partición.

Finalmente, es necesario volver a obtener el código hash del disco duro para
comprobar que la bloqueadora de escritura ha impedido la escritura en el mismo.
Para ello, es necesario volver a conectar el disco duro a la clonadora y, , el código
hash SHA-1 obtenido es 57615B9731C839086796C28B4113786669C4292D, es
decir, el mismo que se obtuvo al principio.
Cuando se realiza un peritaje informático en el que es necesario el análisis de un
disco duro o de cualquier otro tipo de almacenamiento físico (memorias USB, tarjeas
SD y sus variantes, etc.), es fundamental realizarlo sobre una copia clónica de la
prueba y, además, usando una bloqueadora de escritura sobre dicha copia, al objeto
de no alterar ni contaminar la prueba que está siendo analizada, así como de
mantener la cadena de custodia sobre la misma en todo momento. Asimismo, todo
el proceso explicado, debe ser descrito e ilustrado por el perito informático en el
informe pericial informático que se realice en cada caso, para dejar claro al lector
del informe que los procedimientos han sido seguidos escrupulosamente, incluso
cuando haya sido necesaria la presencia de un notario para la realización de parte
del peritaje informático, como el clonado del disco duro.

También podría gustarte