Adquisición de imágenes forenses con DD.

El comando dd (data dump) en Linux originalmente se usa para copiar archivos en rudo (raw data) y su sintaxis es muy sencilla.

Dd if=/dev/sdb/ of=/ruta/destino/archivodestino

If=input file

If=output file

Esta opción es muy simple y no cumple todas las necesidades de una imagen forense, para ellos se utiliza el comando 

dc3dd con la siguiente sintaxis

dc3dd if=/dev/sdb hofs=/ruta/destino/archivodestino

ofsz=300MB hash=md5 hash=sha1 verb=on

log=/ruta/destino/archivodestino.txt

Comentarios

Publicar un comentario

Entradas más populares de este blog

FTK Imager para Linux.

Imagen
  Ejecutar FTK Imager desde una Unidad Flash USB (Imager Lite) FTK Imager es una herramienta para previsualizar y replicar datos, la cual permite rápidamente evaluar evidencia electrónica, para determinar si se justifica un análisis posterior con una herramienta forense como Forensics Toolkit. Permite crear imágenes forenses de discos duros locales, CDs, DVDs, unidades USB, carpetas completas, o archivos individuales, desde diversos lugares dentro del medio. Quienes han utilizado las  herramientas forense de nombre FTK Imager, conocen sus dos clásicas versiones, la versión denominada como “FTK Imager”, la cual puede ser instalada en una estación de trabajo forense, y la versión denominada como “FTK Imager Lite”, la cual debe ser copiada hacia un dispositivo externo, como un CD/DVD o unidad USB. La versión más reciente; al momento realizar la presente publicación; permite ejecutar FTK Imager desde un dispositivo USB, tal como se hacía con la versión Imager Lite. A continuación, se detal
Leer más

Introdución a FTK IMAGER

Imagen
  FTK imager es una de esas herramientas forenses que se utiliza para recopilar datos y analizar pruebas ¿Cómo funciona FTK Imager?  FTK Imager se puede usar para realizar una variedad de tareas informáticas forenses, como crear una imagen de disco, capturar datos en la memoria del sistema operativo, montar una imagen o recuperar datos protegidos del sistema, como archivos de credenciales de usuario (SAM).  
Leer más

Adquisición de imágenes forenses de Mac paladin

Imagen
Mi resumen  Es posible arrancar un equipo Mac con la función Tarjet Discok Mode y con esta convertir el Mac en una especie de disco duro externo para ser fácilmente copiado en una imagen forense con ayuda de otro equipo Mac y una USB que tenga el programa ejecutable FTK Imager para Mac  Basta con al iniciar el equipo que queremos copiar arrancar presionando la tecla T y el equipo permitirá en modo Tarjet Discok Mode, en la pantalla aparecerá el símbolo de carga de batería y el símbolo del puerto por donde se puede comunicar (thunderball, firewire, usbc) De ahí procedemos a conectar el Mac convertido y listo. 
Leer más