Computación Forense

El comando dd (data dump) en Linux originalmente se usa para copiar archivos en rudo (raw data) y su sintaxis es muy sencilla. Dd if=/dev/sdb/ of=/ruta/destino/archivodestino If=input file If=output file Esta opción es muy simple y no cumple todas las necesidades de una imagen forense, para ellos se utiliza el comando  dc3dd con la siguiente sintaxis dc3dd if=/dev/sdb hofs=/ruta/destino/archivodestino ofsz=300MB hash=md5 hash=sha1 verb=on log=/ruta/destino/archivodestino.txt

  Ejecutar FTK Imager desde una Unidad Flash USB (Imager Lite) FTK Imager es una herramienta para previsualizar y replicar datos, la cual permite rápidamente evaluar evidencia electrónica, para determinar si se justifica un análisis posterior con una herramienta forense como Forensics Toolkit. Permite crear imágenes forenses de discos duros locales, CDs, DVDs, unidades USB, carpetas completas, o archivos individuales, desde diversos lugares dentro del medio. Quienes han utilizado las  herramientas forense de nombre FTK Imager, conocen sus dos clásicas versiones, la versión denominada como “FTK Imager”, la cual puede ser instalada en una estación de trabajo forense, y la versión denominada como “FTK Imager Lite”, la cual debe ser copiada hacia un dispositivo externo, como un CD/DVD o unidad USB. La versión más reciente; al momento realizar la presente publicación; permite ejecutar FTK Imager desde un dispositivo USB, tal como se hacía con la versión Imager Lite. A continuación,...

Mi resumen  Es posible arrancar un equipo Mac con la función Tarjet Discok Mode y con esta convertir el Mac en una especie de disco duro externo para ser fácilmente copiado en una imagen forense con ayuda de otro equipo Mac y una USB que tenga el programa ejecutable FTK Imager para Mac  Basta con al iniciar el equipo que queremos copiar arrancar presionando la tecla T y el equipo permitirá en modo Tarjet Discok Mode, en la pantalla aparecerá el símbolo de carga de batería y el símbolo del puerto por donde se puede comunicar (thunderball, firewire, usbc) De ahí procedemos a conectar el Mac convertido y listo. 

  F unción criptográfica hash Es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija. Independientemente de la longitud de los datos de entrada, el valor hash de salida tendrá siempre la misma longitud. Las funciones hash son estructuras de datos de uso común en los sistemas informáticos para tareas, como verificar la integridad de los mensajes y autenticar la información.   Agregan características de seguridad a las funciones típicas, lo que dificulta la detección del contenido de un mensaje o información sobre destinatarios y remitentes; en particular exhiben estas tres propiedades: Están libres de colisiones o “collision-free”: significa que no se deben asignar dos hashes de entrada al mismo hash de salida. Pueden ocultarse: debería ser difícil adivinar el valor de entrada de una función hash a partir de su salida. Deben ser amigables con los rompecabezas: tiende a ser complicado ...