viernes, 4 de octubre de 2024

Informática Forense


Use of FTK Imager Forensic Tool - FTK Imager Uses


Paladin es una herramienta de informática forense que facilita la adquisición y análisis de datos en diversas plataformas, incluyendo Mac. Su interfaz simplificada permite a los usuarios realizar imágenes forenses, preservar la integridad de la evidencia y realizar análisis de discos duros y dispositivos externos. Utilizado en investigaciones criminales, Paladin también incluye herramientas para análisis de redes, recuperación de datos y análisis de memoria. Al utilizar Paladin, los investigadores pueden asegurar la integridad de los datos con hash MD5/SHA.


Para generar una imagen forense de un disco o dispositivo utilizando herramientas como dd en la terminal de Mac, que es una herramienta de bajo nivel para la creación de imágenes binarias, aquí hay un ejemplo de cómo podría hacerse paso a paso.

Uso de dd para Crear una Imagen Forense

  1. Identificar el Disco a Clonar: Primero, necesitamos identificar el dispositivo que queremos clonar. Puedes utilizar el siguiente comando para listar todos los discos conectados al sistema:

    bash

    diskutil list

    Esto mostrará algo como:

    bash

    /dev/disk1 (internal, physical):
       #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *500.3 GB   disk1
   1:                        EFI EFI                     209.7 MB   disk1s1
   2:                  Apple_HFS Macintosh HD            499.9 GB   disk1s2

    Aquí, el disco de interés es disk1.

  2. Crear la Imagen Forense con dd: Utiliza el siguiente comando para crear una imagen del disco:

    bash

    sudo dd if=/dev/disk1 of=/ruta/donde/guardar/imagen.img bs=4m conv=noerror,sync
    • if=/dev/disk1: Especifica el disco de origen.
    • of=/ruta/donde/guardar/imagen.img: Ruta de salida donde se guardará la imagen.
    • bs=4m: Define el tamaño de los bloques a copiar (puedes cambiar este valor).
    • conv=noerror,sync: Asegura que no se detenga ante errores de lectura y que sincronice los bloques vacíos si hay sectores defectuosos.

  3. Verificación con Hash: Para verificar la integridad de la imagen generada, puedes crear un hash del archivo de imagen y del disco fuente, comparándolos para asegurarte de que son iguales:

    bash

    # Crear hash del disco original
sudo shasum -a 256 /dev/disk1

# Crear hash de la imagen
shasum -a 256 /ruta/donde/guardar/imagen.img

    Compara ambos resultados para verificar que la imagen sea una copia exacta.

  4. Montar la Imagen (Opcional): Si deseas revisar el contenido de la imagen sin alterarla, puedes montar la imagen:

    bash

    hdiutil attach /ruta/donde/guardar/imagen.img

    Esto permitirá navegar la imagen como si fuera un disco físico conectado.

Este es un flujo básico de cómo generar una imagen forense en Mac usando la terminal. Herramientas como FTK Imager y Encase agregan interfaces gráficas y más funciones avanzadas.

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Curso de Python

Hola, en el siguiente codigo podrás apreciar la opción de crear un archivo CSV e ingresar 'x' cantidad de datos a registar por país,...