sábado, 14 de enero de 2017

Clonación, bit a bit, de un disco con #OSForensics en #Windows

Sigamos con la clonación de un disco duro, bit a bit, con OSForensics. Esta Suite Forense permite la adquisición de un disco duro, tanto en un entorno vivo, (Sistema encendido), como en un entorno muerto, (Sistema apagado). Veamos primero el procedimiento para el entorno con el Sistema apagado.

Os comenté en la entrada anterior que, a pesar de que puede que no sea la mejor forma de hacerlo, porque hay varias maneras de adquirir discos duros, (y esta es sólo una más), es muy difícil cometer errores. Veamos el porqué.

Arrancamos el Sistema desde el Pendrive autoarrancable con la suite forense y se nos presenta directamente la pantalla principal de la aplicación.

001

Una vez que ha cargado el ‘Sistema’, (podéis cacharrear lo que queráis), NO nos va a permitir hacer nada que requiera interacción con el disco duro.

002-bis

Como veis, nos arroja un error en el que se nos dice que no tenemos creado ningún caso.

Esto, para mí, es una ventaja. No tenemos ningún explorador de ficheros, no tenemos ningún volúmen montado, no tenemos una terminal sobre la que arrojar ningún comando. No tenemos opción para el error, (al menos accidentalmente).

Lo primero que debemos hacer es crear un caso. Para ello, nos dirigimos a ‘Manage Case’ y clicamos en ‘New Case’. Nos da igual el nombre que le pongamos porque se eliminará en el siguiente reinicio del Sistema.

002

Se nos presentará la siguiente ventana, donde rellenamos los datos que queramos. Sólo es obligatorio asignar un nombre al caso, (y tener muy en cuenta la zona horaria).

003

Una vez generado el caso, lo veremos agregado correctamente en la misma pantalla principal de la suite forense.

004

Ahora nos dirigimos a ‘Drive Imaging’.

005

Se nos presenta una nueva ventana, donde nos posicionará directamente en la pestaña de ‘Create Image’. Aquí, debemos seleccionar el Disco objetivo del clonado y el directorio donde se creará el fichero de imagen, (lógicamente, en otro disco duro). También tenemos que tener en cuenta que hay que seleccionar la casilla para verificar el fichero de imagen una vez creado, ‘Verify File After Completion’. No hace falta que diga el porqué, verdad??

009-bis

Ahora clicamos en ‘Create Image’ y comenzará el proceso de clonación.

010

Una vez que ha finalizado, correctamente, nos lo comunicará en esa misma pantalla, con un ‘Imaging Successfully Completed’.

012

Si ahora nos dirigimos a ‘Verify / Create Hash’

013

Y seleccionamos el fichero de imagen que acabamos de crear, podemos abrir también el fichero .info que se nos ha generado, donde se encuentra la información del clonado. Y si calculamos su algoritmo hash veremos que coincide.

014

Ahora bien, (y a modo de curiosidad), quizás no nos interese adquirir el disco duro completo, si no algunos ficheros que consideramos clave para la realización de un Análisis Forense. Pues también lo podemos hacer desde aquí mismo.

Nos dirigimos a ‘File System Browser’

015

Y seleccionamos la casilla de ‘Physical Disk’, donde se nos mostrará un desplegable para que seleccionemos el disco que queremos montar. Una vez hecho, clicamos en ‘OK’.

016

Ahora podemos explorar el disco duro con normalidad.

017

Y si seleccionamos algún fichero y clicamos con el botón derecho encima de él, se nos mostrará un menú desplegable, donde podemos observar la opción ‘Save to disk’, que será la que usemos.

018

Y donde se nos presentará esta pantalla para que seleccionemos el disco donde se exportarán los ficheros que seleccionemos.

Ahora vamos a ver la adquisición de un disco en caliente, (con el Sistema encendido). Pensareis, ¿Para qué? Seguro que se os ocurre algún caso donde no se pueda apagar el Sistema, (a mí se me ocurren algunos).

El proceso es muy similar al anterior. La única diferencia que le veo es que NO es necesario crear un caso para ello.

Para ello, nos dirigimos a ‘Drive Imaging’

019

Se nos presenta la ventana de ‘Drive Imaging’, donde seleccionamos el disco duro. Elegimos el fichero de imagen de salida y marcamos la opción de verificación del fichero de imagen después de la completación. Podemos rellenar los datos de ‘Description’ y de ‘Location/Place’.

023

Clicamos en ‘Create Image’.

024

Para que comience el proceso de clonación.

Como en el caso anterior, una vez que finalice correctamente, nos lo dirá.

025

En cualquier caso, y para evitar que nos echen por tierra todo el trabajo por una falta de ‘buenas prácticas’, podemos documentar todo este proceso con una grabación de video.

Marcos @_N4rr34n6_