Tronador
07-19-2009, 02:39 PM
Como todos sabemos una parte importante de la informatica forense (y de las ciencias forenses en general) es la obtencion de evidencia inalterable. En el caso del disco duro es muy sencillo obtener una imagen completa de un disco sin alterarlo usando alguna LiveCD y teniendo un disco duro de respaldo (recordemos que no se puede hacer el backup en el mismo disco origen) usando el comando dd (presente en Unix/Linux desde tiempos prehistoricos xD)
El comando en cuestion es usado de esta manera:
# dd if=/dev/sda of=/mnt/sdb1/disk.img
if=input file, en este caso el archivo dev correspondiente al disco
of=output file, en este caso la ruta donde queremos que quede el backup, puede ser un disco duro de respaldo, una usb grande.
Otra alternativa es hacer una imagen comprimida que puede ser transportada mas facilmente (en muchos casos con discos que no tienen mucha informacion alcanza una memoria usb de 16GB), podemos obtener una imagen comprimida de esta manera:
# dd if=/dev/sda | gzip -c > /mnt/sdb1/disk.img.gz
Una tercera alternativa es almacenar la imagen en otro equipo si tenemos dos equipos en red, en este caso podemos usar la siempre util navaja suiza NetCat.
En uno de los equipos colocamos a el netcat a escuchar en el puerto que queramos (en mi caso 1080) y le decimos al dd que almacene lo que reciba en un archivo:
# nc –l –p 1080 | dd of=/home/tronador/disk.img
Del otro lado en el equipo donde tomaremos la imagen nos conectamos al equipo que esta escuchando y enviamos la imagen:
# dd if=/dev/sda | nc 192.168.1.2 1080
Adicionalmente tambien es buena idea obtener la informacion del disco que copiamos pues puede ser util si deseamos montar la imagen en otro equipo posteriormente. Esta informacion la sacamos con el comando fdisk, si deseamos guardar esta informacion en un archivo:
# fdisk -l /dev/sda > /mnt/sdb1/fdisk_info.txt
En la proxima entrega escribire sobre como usar la imagen obtenida en VMWare o como montarla como un disco virtual en otro equipo.
Saludos
Fuente: yo mismo xD
El comando en cuestion es usado de esta manera:
# dd if=/dev/sda of=/mnt/sdb1/disk.img
if=input file, en este caso el archivo dev correspondiente al disco
of=output file, en este caso la ruta donde queremos que quede el backup, puede ser un disco duro de respaldo, una usb grande.
Otra alternativa es hacer una imagen comprimida que puede ser transportada mas facilmente (en muchos casos con discos que no tienen mucha informacion alcanza una memoria usb de 16GB), podemos obtener una imagen comprimida de esta manera:
# dd if=/dev/sda | gzip -c > /mnt/sdb1/disk.img.gz
Una tercera alternativa es almacenar la imagen en otro equipo si tenemos dos equipos en red, en este caso podemos usar la siempre util navaja suiza NetCat.
En uno de los equipos colocamos a el netcat a escuchar en el puerto que queramos (en mi caso 1080) y le decimos al dd que almacene lo que reciba en un archivo:
# nc –l –p 1080 | dd of=/home/tronador/disk.img
Del otro lado en el equipo donde tomaremos la imagen nos conectamos al equipo que esta escuchando y enviamos la imagen:
# dd if=/dev/sda | nc 192.168.1.2 1080
Adicionalmente tambien es buena idea obtener la informacion del disco que copiamos pues puede ser util si deseamos montar la imagen en otro equipo posteriormente. Esta informacion la sacamos con el comando fdisk, si deseamos guardar esta informacion en un archivo:
# fdisk -l /dev/sda > /mnt/sdb1/fdisk_info.txt
En la proxima entrega escribire sobre como usar la imagen obtenida en VMWare o como montarla como un disco virtual en otro equipo.
Saludos
Fuente: yo mismo xD