Artículos de Ciberseguridad en Español

Todo es lo mismo pero siempre encontramos un punto diferente.

Cómo tomar una imagen de disco duro en Linux 1

Cómo tomar una imagen de disco duro en Linux 1

Se puede eliminar una copia sector por sector de un disco duro sin recurrir a utilidades adicionales. Usaremos la antigua y probada utilidad dd nativa . Le permite crear copias exactas bit a bit de discos completos, así como particiones individuales e incluso solo archivos.

Tomar imágenes de disco en Linux y trabajar con ellas utilizando herramientas estándar del sistema puede llevar a grabaciones no intencionales, lo cual está descartado en estudios forenses serios. Utilice los siguientes comandos solo si cree que está bien en su caso.

Pero primero, solicite al sistema una lista completa de particiones usando el comando fdisk :

$ fdisk -l
Ver una lista de sistemas de archivos
Ver una lista de sistemas de archivos

La sintaxis básica de dd se ve así:

$ dd if = <fuente> de = <destino> bs = <tamaño de byte>

Por ejemplo, para crear una copia de un HDD con un tamaño de clúster de 512 bytes:

$ dd si = / dev / sda1 de = / dev / sdb1 bs = 512

Durante el proceso de copia de HDD, puede haber sectores defectuosos. Para evitar que el programa se tropiece con ellos y deje de funcionar, debe agregar un modificador -noerror adicional :

$ dd if = / dev / sda1 of = / dev / sdb1 bs = 512 noerror
El resultado de la utilidad dd
El resultado de la utilidad dd

Sin embargo, la mejor práctica del mundo es utilizar una versión mejorada de la utilidad anterior llamada dcfldd . Desarrollada por el Laboratorio Forense de Computadoras DCFL , esta herramienta tiene una serie de opciones específicas para tomar volcados para análisis forenses .

Por ejemplo, dcfldd puede codificar los datos copiados y comprobar su integridad. A lo largo del camino, se muestra el progreso de la creación del volcado, las acciones se registran y las sumas de verificación MD5 se guardan en un archivo separado.

Ejemplo de ejecución de un comando:

$ dcfldd if = / dev / sda1 hash = md5 of = / media / forensic_disk_image.dd bs = 512 noerror
El resultado de la utilidad dcfldd
El resultado de la utilidad dcfldd

En lugar de una consola, puede utilizar una versión gráfica de FTK si lo desea .

A %d blogueros les gusta esto: