preservacion evidencia
5
SERVICIO NACIONAL DE APRENDIZAJE SENA iNiN Centro de Teleinformática y Producción Industrial – Sena Regional Cauca Preservación de la Evidencia Preservación de la evidencia La evidencia digital, por su misma naturaleza, es frágil y puede alterarse,dañarse, o destruirse por un manejo impropio. Por estas razones las precauciones especiales que de deben tomar para conservar este tipo de evidencia son sumamente importantes. Como principal regla podemos nombrar la siguiente: Adquiera la evidencia digital original de una manera que proteja y conserve la evidencia, En base a esta regla podemos detallar los siguientes pasos básicos: 1. Proceda y asegure la evidencia digital de acuerdo con las pautas judiciales de su jurisprudencia. 2. Documente el hardware y configuración del software del sistema del examinado. 3. Desarme de manera técnica la computadora a ser examinada para permitir el acceso físico a los dispositivos de almacenamiento. 4. Identifique los dispositivos del almacenamiento que necesitan ser adquiridos. Estos dispositivos pueden ser interiores, externo, o ambos. 5. Documente los dispositivos del almacenamiento interiores y configuración del hardware. 6. Detalle las características de los dispositivos de almacenamiento a ser analizados. 7. Desconecte los dispositivos del almacenamiento del los cables de poder y bus de datos para prevenir la destrucción, daño, o alteración de datos. Como Podemos observar la Preservación es un elemento muy delicado en el proceso forense, trataremos con la evidencia misma la cual debe mantenerse integra desde el secuestro del equipo. Luego de estas recomendaciones realizaremos una copia de discos rígidos, o algún otro medio de almacenamiento, el Informático forense debe contar con algún mecanismo que le asegure que la misma es una imagen del original, y todos los archivos copiados coincidan con los que estaban almacenados en la computadora de origen. Es importante hacer esto para evitar planteos o cuestionamientos sobre la precisión de la copia de disco realizada. Por otro lado, es necesario un procedimiento de esta índole para ser utilizado como un seguro del especialista ante acusaciones de alteraciones o agregados de archivos.
-
Upload
andres-duarte -
Category
Documents
-
view
7 -
download
2
Transcript of preservacion evidencia
SERVICIO NACIONAL DE APRENDIZAJE SENA
iNiN
Centro de Teleinformaacutetica y Produccioacuten Industrial ndash Sena Regional Cauca
Preservacioacuten de la Evidencia
Preservacioacuten de la evidencia
La evidencia digital por su misma naturaleza es fraacutegil y puede alterarsedantildearse o destruirse por un manejo
impropio Por estas razones las precauciones especiales que de deben tomar para conservar este tipo de evidencia
son sumamente importantes
Como principal regla podemos nombrar la siguiente
Adquiera la evidencia digital original de una manera que proteja y conserve la evidencia En base a esta regla
podemos detallar los siguientes pasos baacutesicos
1 Proceda y asegure la evidencia digital de acuerdo con las pautas judiciales de su jurisprudencia
2 Documente el hardware y configuracioacuten del software del sistema del examinado 3 Desarme de manera teacutecnica la computadora a ser examinada para permitir el acceso fiacutesico a los dispositivos de
almacenamiento
4 Identifique los dispositivos del almacenamiento que necesitan ser adquiridos Estos dispositivos pueden ser interiores externo o ambos
5 Documente los dispositivos del almacenamiento interiores y configuracioacuten del hardware
6 Detalle las caracteriacutesticas de los dispositivos de almacenamiento a ser analizados
7 Desconecte los dispositivos del almacenamiento del los cables de poder y bus de datos para prevenir la destruccioacuten dantildeo o alteracioacuten de datos
Como Podemos observar la Preservacioacuten es un elemento muy delicado en el proceso forense trataremos con la evidencia misma la cual debe mantenerse integra desde el secuestro del equipo
Luego de estas recomendaciones realizaremos una copia de discos riacutegidos o alguacuten otro medio de almacenamiento el Informaacutetico forense debe contar con alguacuten mecanismo que le asegure que la misma es una
imagen del original y todos los archivos copiados coincidan con los que estaban almacenados en
la computadora de origen Es importante hacer esto para evitar planteos o cuestionamientos sobre la precisioacuten de
la copia de disco realizada Por otro lado es necesario un procedimiento de esta iacutendole para ser utilizado como un seguro del especialista ante acusaciones de alteraciones o agregados de archivos
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
2
Afortunadamente la algoriacutetmica informaacutetica ha sabido responder estas inquietudes proveyendo mecanismos de
certificacioacuten digital que aseguran el punto en cuestioacuten
El algoritmo maacutes utilizado es el MD5 -Message Digest 5- del RSA (siglas de los autores del mismo Rivest
Shamir y Adelman) Para realizar la preservacioacuten de la evidencia debemos utilizar un software que al momento
de crear la imagen nos certifique eacutesta con un valor hash (md5) como el FTK imagen que veremos a
continuacioacuten asiacute como el fabuloso comando ddexe
Extrayendo imaacutegenes del Disco Duro
Para la extraccioacuten de imaacutegenes de disco duro tenemos varios programas comerciales como libres que nos realiza
en este proceso asiacute como hardware que realiza este trabajo
Entre el software que nos permite la extraccioacuten de imaacutegenes de medios de almacenamiento tenemos a comando
ddexe muy recomendable para usarlo
Usando ddexe
Un elemento importante para la preservacioacuten de evidencia es el comando ddexe este comando permite realizar la extraccioacuten de una imagen del disco duro de manera iacutentegra Esta herramienta utilizada bajo liacutenea de comandos
es muy uacutetil y nos permitiraacute realizarlo de una forma muy sencilla
Procedamos a explicar coacutemo funciona tan valiosa herramienta
Para realizar este trabajo vamos a utilizar las versiones de DD que se encuentra disponibles en el directorio
recursos de esta competencia En la carpeta FAU Forensic Acquisition Utilities El FAU es un kit de herramientas que corren sobre Windows para analistas forenses con versiones maacutes especializadas de algunos
comandos como DD y Netcat y con otros muy uacutetiles como Wipe para borrar archivos de forma segura fmdata
para obtener los metadatos y verificar los hashes de un archivo y volume_dump para visualizar informacioacuten del disco y sus volumenes
En Microsoft Windows se referencian los discos con la sintaxis PhysicalDrive0 donde el 0 corresponde al nuacutemero de disco y si tuvieacuteramos maacutes discos seriacutean 1 2 3 etc Cuando usamos DD le debemos indicar el
paraacutemetro de entrada if= que en este caso seriacutea el disco PhysicalDrive0 que queremos copiar y el
paraacutemetro de salida of= que es la imagen hecha por DD de ese disco y que en el siguiente ejemplo la vamos a
guardar en otro disco local de nuestra computadora que posee la unidad G
ddexe if=PhysicalDrive0 of=Fevidenciaimg
Tambieacuten podriacuteamos usar DD para realizar un hash MD5 de los datos que estamos copiando esto es muy uacutetil si
queremos verificar que los datos no han sido alterados
ddexe if=C of=GvolCimg --md5sum --verifymd5 --md5out=GvolCmd5
Usando ddexe y netcatexe
Iniciemos conociendo algunos puntos importantes del comando netcat Esta es una de las herramientas maacutes
potentes y flexibles que existen en el campo de la programacioacuten depuracioacuten anaacutelisis y manipulacioacuten de redes y
servicios TCPIP Es un recurso imprescindible tanto para expertos en seguridad de redes como para hackers
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
3
1 Aunque netcat puede hacer muchas cosas su funcioacuten principal es muy simple Crea un socket con el
destino indicado si es cliente o en el puerto indicado si es servidor
2 Una vez conectado enviacutea por el socket todo lo que llegue en su entrada estaacutendar y enviacutea a su salida estaacutendar todo lo que llegue por el socket Algo tan simple resulta ser extraordinariamente potente y
flexible como vas a ver a continuacioacuten Por simplicidad se utilizan conexiones locales aunque por
supuesto se pueden utilizar entre maacutequinas diferentes
PARAacuteMETROS middot -l modo lsquolistenrsquo queda a la espera de conexiones entrantes
middot -p puerto local
middot -u modo UDP middot -e ejecuta el comando dado despueacutes de conectar
middot -c ejecuta oacuterdenes de shell (hace binsh -c [comando] despueacutes de conectar
Cuando usamos Netcat en primer lugar vamos a dejarlo escuchando en un puerto de nuestra computadora direccionando todo lo que llegue a este a un archivo como vemos a continuacioacuten
ncexe -l 9000 gt discocimg En segundo lugar vamos a reemplazar la salida del comando DD of= por un direccionamiento de Netcat hacia
la direccioacuten IP y puerto de nuestra computadora en la red
ddexe if=C | ncexe 101122 9000
Otra cosa muy interesante con valor forense es realizar la imagen de la memoria del sistema que en Windows se
referencia con la siguiente sintaxis
if=PhysicalMemory y que podriacuteamos copiarla de la misma forma que en el ejemplo anterior
ddexe if=PhysicalMemory | ncexe 101122 9000
Por uacuteltimo tambieacuten podriacuteamos usar DD para realizar un hash MD5 de los datos que estamos copiando esto es muy uacutetil si queremos verificar que los datos no han sido alterados
ddexe if=C of=GvolCimg --md5sum --verifymd5 -- md5out=GvolCmd5
Herramientas tipo Windows Utilizadas para preservacioacuten de la evidencia
ftk imagen (libre)
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
4
Forensic Replicator (Comercial)
Encase(Comercial)
En este apartado los aprendices deberaacuten revisar los videos de ejemplos de utilizacioacuten de dichas herramientas
para acceder a ellos deben descargar el archivo VIDEO PRESERVACION DE EVIDENCIARAR
Equipos para anaacutelisis forense
Veamos algunos equipos que se utilizan para la extraccioacuten de imaacutegenes de discos duros utilizados por los
forenses informaacuteticos
VOOM modelo SHADOW 2
Dispositivo Hardware disentildeado para ayudar a los investigadores forenses a
Acceder al soporte magneacutetico sin alterar su contenido
Caracteriacutesticas
bull Permite arrancar en caliente al investigador forense el sistema a analizar
sin alterar su contenido
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
5
bull Permite instalar herramientas propietarias en caliente sin alteracioacuten de
contenidos
bull Permite actualizar el Firmware del Shadow 2 con futuras actualizaciones y mejoras
VOOM modelo HARDCOPY I
Dispositivo hardware que permite las siguientes funciones
middot Clona discos a una velocidad de hasta un maacuteximo de 55 GB por minuto
en condiciones optimas middot MD5 permitido en toda la imagen
Permite imaacutegenes automaacuteticas de las Aacutereas Protegidas
middot Permite imaacutegenes ISO (dd tambieacuten llamadas copias planas)
middot Compatible con el software ENCASE middot Pantalla LCD para control de errores o procesos
middot Por el momento NO permite copias de dispositivos SCSI
middot Con sus adaptadores correspondientes permite copia de dispositivos IDEATA SATA 25 y dispositivos de memoria
middot Puede trabajar con discos de hasta 2 TB de capacidad
Ejercicio
1 Realizar una copia o imagen de su memoria USB Utilizando el software de Preservacioacuten de evidencia llamado imager ftk_imager-261 el cual pueden descargar de este modulo
2 Realizar una imagen de su memoria usando para ello el live CD Helix con el cual pueden obtener una
versioacuten grafica del comando ddexe para ello deben descargar la imagen Live CD de Helix y el video que muestra su utilizacioacuten
3 Realizar un estudio e investigacioacuten de dispositivos fiacutesicos utilizados para anaacutelisis forense
4 Documentar y evidenciar todos los ejercicios anteriores
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
2
Afortunadamente la algoriacutetmica informaacutetica ha sabido responder estas inquietudes proveyendo mecanismos de
certificacioacuten digital que aseguran el punto en cuestioacuten
El algoritmo maacutes utilizado es el MD5 -Message Digest 5- del RSA (siglas de los autores del mismo Rivest
Shamir y Adelman) Para realizar la preservacioacuten de la evidencia debemos utilizar un software que al momento
de crear la imagen nos certifique eacutesta con un valor hash (md5) como el FTK imagen que veremos a
continuacioacuten asiacute como el fabuloso comando ddexe
Extrayendo imaacutegenes del Disco Duro
Para la extraccioacuten de imaacutegenes de disco duro tenemos varios programas comerciales como libres que nos realiza
en este proceso asiacute como hardware que realiza este trabajo
Entre el software que nos permite la extraccioacuten de imaacutegenes de medios de almacenamiento tenemos a comando
ddexe muy recomendable para usarlo
Usando ddexe
Un elemento importante para la preservacioacuten de evidencia es el comando ddexe este comando permite realizar la extraccioacuten de una imagen del disco duro de manera iacutentegra Esta herramienta utilizada bajo liacutenea de comandos
es muy uacutetil y nos permitiraacute realizarlo de una forma muy sencilla
Procedamos a explicar coacutemo funciona tan valiosa herramienta
Para realizar este trabajo vamos a utilizar las versiones de DD que se encuentra disponibles en el directorio
recursos de esta competencia En la carpeta FAU Forensic Acquisition Utilities El FAU es un kit de herramientas que corren sobre Windows para analistas forenses con versiones maacutes especializadas de algunos
comandos como DD y Netcat y con otros muy uacutetiles como Wipe para borrar archivos de forma segura fmdata
para obtener los metadatos y verificar los hashes de un archivo y volume_dump para visualizar informacioacuten del disco y sus volumenes
En Microsoft Windows se referencian los discos con la sintaxis PhysicalDrive0 donde el 0 corresponde al nuacutemero de disco y si tuvieacuteramos maacutes discos seriacutean 1 2 3 etc Cuando usamos DD le debemos indicar el
paraacutemetro de entrada if= que en este caso seriacutea el disco PhysicalDrive0 que queremos copiar y el
paraacutemetro de salida of= que es la imagen hecha por DD de ese disco y que en el siguiente ejemplo la vamos a
guardar en otro disco local de nuestra computadora que posee la unidad G
ddexe if=PhysicalDrive0 of=Fevidenciaimg
Tambieacuten podriacuteamos usar DD para realizar un hash MD5 de los datos que estamos copiando esto es muy uacutetil si
queremos verificar que los datos no han sido alterados
ddexe if=C of=GvolCimg --md5sum --verifymd5 --md5out=GvolCmd5
Usando ddexe y netcatexe
Iniciemos conociendo algunos puntos importantes del comando netcat Esta es una de las herramientas maacutes
potentes y flexibles que existen en el campo de la programacioacuten depuracioacuten anaacutelisis y manipulacioacuten de redes y
servicios TCPIP Es un recurso imprescindible tanto para expertos en seguridad de redes como para hackers
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
3
1 Aunque netcat puede hacer muchas cosas su funcioacuten principal es muy simple Crea un socket con el
destino indicado si es cliente o en el puerto indicado si es servidor
2 Una vez conectado enviacutea por el socket todo lo que llegue en su entrada estaacutendar y enviacutea a su salida estaacutendar todo lo que llegue por el socket Algo tan simple resulta ser extraordinariamente potente y
flexible como vas a ver a continuacioacuten Por simplicidad se utilizan conexiones locales aunque por
supuesto se pueden utilizar entre maacutequinas diferentes
PARAacuteMETROS middot -l modo lsquolistenrsquo queda a la espera de conexiones entrantes
middot -p puerto local
middot -u modo UDP middot -e ejecuta el comando dado despueacutes de conectar
middot -c ejecuta oacuterdenes de shell (hace binsh -c [comando] despueacutes de conectar
Cuando usamos Netcat en primer lugar vamos a dejarlo escuchando en un puerto de nuestra computadora direccionando todo lo que llegue a este a un archivo como vemos a continuacioacuten
ncexe -l 9000 gt discocimg En segundo lugar vamos a reemplazar la salida del comando DD of= por un direccionamiento de Netcat hacia
la direccioacuten IP y puerto de nuestra computadora en la red
ddexe if=C | ncexe 101122 9000
Otra cosa muy interesante con valor forense es realizar la imagen de la memoria del sistema que en Windows se
referencia con la siguiente sintaxis
if=PhysicalMemory y que podriacuteamos copiarla de la misma forma que en el ejemplo anterior
ddexe if=PhysicalMemory | ncexe 101122 9000
Por uacuteltimo tambieacuten podriacuteamos usar DD para realizar un hash MD5 de los datos que estamos copiando esto es muy uacutetil si queremos verificar que los datos no han sido alterados
ddexe if=C of=GvolCimg --md5sum --verifymd5 -- md5out=GvolCmd5
Herramientas tipo Windows Utilizadas para preservacioacuten de la evidencia
ftk imagen (libre)
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
4
Forensic Replicator (Comercial)
Encase(Comercial)
En este apartado los aprendices deberaacuten revisar los videos de ejemplos de utilizacioacuten de dichas herramientas
para acceder a ellos deben descargar el archivo VIDEO PRESERVACION DE EVIDENCIARAR
Equipos para anaacutelisis forense
Veamos algunos equipos que se utilizan para la extraccioacuten de imaacutegenes de discos duros utilizados por los
forenses informaacuteticos
VOOM modelo SHADOW 2
Dispositivo Hardware disentildeado para ayudar a los investigadores forenses a
Acceder al soporte magneacutetico sin alterar su contenido
Caracteriacutesticas
bull Permite arrancar en caliente al investigador forense el sistema a analizar
sin alterar su contenido
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
5
bull Permite instalar herramientas propietarias en caliente sin alteracioacuten de
contenidos
bull Permite actualizar el Firmware del Shadow 2 con futuras actualizaciones y mejoras
VOOM modelo HARDCOPY I
Dispositivo hardware que permite las siguientes funciones
middot Clona discos a una velocidad de hasta un maacuteximo de 55 GB por minuto
en condiciones optimas middot MD5 permitido en toda la imagen
Permite imaacutegenes automaacuteticas de las Aacutereas Protegidas
middot Permite imaacutegenes ISO (dd tambieacuten llamadas copias planas)
middot Compatible con el software ENCASE middot Pantalla LCD para control de errores o procesos
middot Por el momento NO permite copias de dispositivos SCSI
middot Con sus adaptadores correspondientes permite copia de dispositivos IDEATA SATA 25 y dispositivos de memoria
middot Puede trabajar con discos de hasta 2 TB de capacidad
Ejercicio
1 Realizar una copia o imagen de su memoria USB Utilizando el software de Preservacioacuten de evidencia llamado imager ftk_imager-261 el cual pueden descargar de este modulo
2 Realizar una imagen de su memoria usando para ello el live CD Helix con el cual pueden obtener una
versioacuten grafica del comando ddexe para ello deben descargar la imagen Live CD de Helix y el video que muestra su utilizacioacuten
3 Realizar un estudio e investigacioacuten de dispositivos fiacutesicos utilizados para anaacutelisis forense
4 Documentar y evidenciar todos los ejercicios anteriores
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
3
1 Aunque netcat puede hacer muchas cosas su funcioacuten principal es muy simple Crea un socket con el
destino indicado si es cliente o en el puerto indicado si es servidor
2 Una vez conectado enviacutea por el socket todo lo que llegue en su entrada estaacutendar y enviacutea a su salida estaacutendar todo lo que llegue por el socket Algo tan simple resulta ser extraordinariamente potente y
flexible como vas a ver a continuacioacuten Por simplicidad se utilizan conexiones locales aunque por
supuesto se pueden utilizar entre maacutequinas diferentes
PARAacuteMETROS middot -l modo lsquolistenrsquo queda a la espera de conexiones entrantes
middot -p puerto local
middot -u modo UDP middot -e ejecuta el comando dado despueacutes de conectar
middot -c ejecuta oacuterdenes de shell (hace binsh -c [comando] despueacutes de conectar
Cuando usamos Netcat en primer lugar vamos a dejarlo escuchando en un puerto de nuestra computadora direccionando todo lo que llegue a este a un archivo como vemos a continuacioacuten
ncexe -l 9000 gt discocimg En segundo lugar vamos a reemplazar la salida del comando DD of= por un direccionamiento de Netcat hacia
la direccioacuten IP y puerto de nuestra computadora en la red
ddexe if=C | ncexe 101122 9000
Otra cosa muy interesante con valor forense es realizar la imagen de la memoria del sistema que en Windows se
referencia con la siguiente sintaxis
if=PhysicalMemory y que podriacuteamos copiarla de la misma forma que en el ejemplo anterior
ddexe if=PhysicalMemory | ncexe 101122 9000
Por uacuteltimo tambieacuten podriacuteamos usar DD para realizar un hash MD5 de los datos que estamos copiando esto es muy uacutetil si queremos verificar que los datos no han sido alterados
ddexe if=C of=GvolCimg --md5sum --verifymd5 -- md5out=GvolCmd5
Herramientas tipo Windows Utilizadas para preservacioacuten de la evidencia
ftk imagen (libre)
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
4
Forensic Replicator (Comercial)
Encase(Comercial)
En este apartado los aprendices deberaacuten revisar los videos de ejemplos de utilizacioacuten de dichas herramientas
para acceder a ellos deben descargar el archivo VIDEO PRESERVACION DE EVIDENCIARAR
Equipos para anaacutelisis forense
Veamos algunos equipos que se utilizan para la extraccioacuten de imaacutegenes de discos duros utilizados por los
forenses informaacuteticos
VOOM modelo SHADOW 2
Dispositivo Hardware disentildeado para ayudar a los investigadores forenses a
Acceder al soporte magneacutetico sin alterar su contenido
Caracteriacutesticas
bull Permite arrancar en caliente al investigador forense el sistema a analizar
sin alterar su contenido
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
5
bull Permite instalar herramientas propietarias en caliente sin alteracioacuten de
contenidos
bull Permite actualizar el Firmware del Shadow 2 con futuras actualizaciones y mejoras
VOOM modelo HARDCOPY I
Dispositivo hardware que permite las siguientes funciones
middot Clona discos a una velocidad de hasta un maacuteximo de 55 GB por minuto
en condiciones optimas middot MD5 permitido en toda la imagen
Permite imaacutegenes automaacuteticas de las Aacutereas Protegidas
middot Permite imaacutegenes ISO (dd tambieacuten llamadas copias planas)
middot Compatible con el software ENCASE middot Pantalla LCD para control de errores o procesos
middot Por el momento NO permite copias de dispositivos SCSI
middot Con sus adaptadores correspondientes permite copia de dispositivos IDEATA SATA 25 y dispositivos de memoria
middot Puede trabajar con discos de hasta 2 TB de capacidad
Ejercicio
1 Realizar una copia o imagen de su memoria USB Utilizando el software de Preservacioacuten de evidencia llamado imager ftk_imager-261 el cual pueden descargar de este modulo
2 Realizar una imagen de su memoria usando para ello el live CD Helix con el cual pueden obtener una
versioacuten grafica del comando ddexe para ello deben descargar la imagen Live CD de Helix y el video que muestra su utilizacioacuten
3 Realizar un estudio e investigacioacuten de dispositivos fiacutesicos utilizados para anaacutelisis forense
4 Documentar y evidenciar todos los ejercicios anteriores
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
4
Forensic Replicator (Comercial)
Encase(Comercial)
En este apartado los aprendices deberaacuten revisar los videos de ejemplos de utilizacioacuten de dichas herramientas
para acceder a ellos deben descargar el archivo VIDEO PRESERVACION DE EVIDENCIARAR
Equipos para anaacutelisis forense
Veamos algunos equipos que se utilizan para la extraccioacuten de imaacutegenes de discos duros utilizados por los
forenses informaacuteticos
VOOM modelo SHADOW 2
Dispositivo Hardware disentildeado para ayudar a los investigadores forenses a
Acceder al soporte magneacutetico sin alterar su contenido
Caracteriacutesticas
bull Permite arrancar en caliente al investigador forense el sistema a analizar
sin alterar su contenido
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
5
bull Permite instalar herramientas propietarias en caliente sin alteracioacuten de
contenidos
bull Permite actualizar el Firmware del Shadow 2 con futuras actualizaciones y mejoras
VOOM modelo HARDCOPY I
Dispositivo hardware que permite las siguientes funciones
middot Clona discos a una velocidad de hasta un maacuteximo de 55 GB por minuto
en condiciones optimas middot MD5 permitido en toda la imagen
Permite imaacutegenes automaacuteticas de las Aacutereas Protegidas
middot Permite imaacutegenes ISO (dd tambieacuten llamadas copias planas)
middot Compatible con el software ENCASE middot Pantalla LCD para control de errores o procesos
middot Por el momento NO permite copias de dispositivos SCSI
middot Con sus adaptadores correspondientes permite copia de dispositivos IDEATA SATA 25 y dispositivos de memoria
middot Puede trabajar con discos de hasta 2 TB de capacidad
Ejercicio
1 Realizar una copia o imagen de su memoria USB Utilizando el software de Preservacioacuten de evidencia llamado imager ftk_imager-261 el cual pueden descargar de este modulo
2 Realizar una imagen de su memoria usando para ello el live CD Helix con el cual pueden obtener una
versioacuten grafica del comando ddexe para ello deben descargar la imagen Live CD de Helix y el video que muestra su utilizacioacuten
3 Realizar un estudio e investigacioacuten de dispositivos fiacutesicos utilizados para anaacutelisis forense
4 Documentar y evidenciar todos los ejercicios anteriores
SERVICIO NACIONAL DE APRENDIZAJE SENA
ldquo Material de Cursordquo
5
bull Permite instalar herramientas propietarias en caliente sin alteracioacuten de
contenidos
bull Permite actualizar el Firmware del Shadow 2 con futuras actualizaciones y mejoras
VOOM modelo HARDCOPY I
Dispositivo hardware que permite las siguientes funciones
middot Clona discos a una velocidad de hasta un maacuteximo de 55 GB por minuto
en condiciones optimas middot MD5 permitido en toda la imagen
Permite imaacutegenes automaacuteticas de las Aacutereas Protegidas
middot Permite imaacutegenes ISO (dd tambieacuten llamadas copias planas)
middot Compatible con el software ENCASE middot Pantalla LCD para control de errores o procesos
middot Por el momento NO permite copias de dispositivos SCSI
middot Con sus adaptadores correspondientes permite copia de dispositivos IDEATA SATA 25 y dispositivos de memoria
middot Puede trabajar con discos de hasta 2 TB de capacidad
Ejercicio
1 Realizar una copia o imagen de su memoria USB Utilizando el software de Preservacioacuten de evidencia llamado imager ftk_imager-261 el cual pueden descargar de este modulo
2 Realizar una imagen de su memoria usando para ello el live CD Helix con el cual pueden obtener una
versioacuten grafica del comando ddexe para ello deben descargar la imagen Live CD de Helix y el video que muestra su utilizacioacuten
3 Realizar un estudio e investigacioacuten de dispositivos fiacutesicos utilizados para anaacutelisis forense
4 Documentar y evidenciar todos los ejercicios anteriores
