"Aprender a esterilizar un medio de almacenamiento para evitar lacontaminación de la evidencia• Aprender a realizar un procedimiento de adquisición de evidenciadigital. Tomando una imagen forense de un medio dealmacenamiento.• Comparar el desempeño y resultados de diferentes herramientas parala toma de imágenes forenses"
Diplomado en Seguridad Informtica Asignatura: Introduccin a la
Informtica Forense Taller # 2
Objetivos Aprender a esterilizar un medio de almacenamiento para
evitar la contaminacin de la evidencia Aprender a realizar un
procedimiento de adquisicin de evidencia digital. Tomando una
imagen forense de un medio de almacenamiento. Comparar el desempeo
y resultados de diferentes herramientas para la toma de imgenes
forenses.
El taller se debe realizar en grupos de mximo 3
personasHerramientas dd (Linux) dcfldd (Linux) Sha1sum (Linux)
Netcat (Linux y Windows) 2 memorias USB de Mximo 2 GB Enunciado
ADVERTENCIA: Algunos de los procedimientos que se van a realizar
a continuacin pueden daar o eliminar los datos almacenados de
manera permanente. Asegrese de tener una copia de respaldo de los
datos almacenados. Tambin sea extremadamente cuidadoso al ejecutar
los comandosDaniel Torres Falkonert 2011
descritos, especialmente evite escribir datos en el disco duro
del computador que tiene asignado.Parte 1 Esterilizacin de medios.
1- Determinar cul es la ruta para acceder a la memoria USB a.
Utilizar el comando fdisk l 2- Una vez se tenga certeza de cul es
dispositivo se puede proceder a realizar la esterilizacin. Esta se
realizar sobre la primera particin de este. a. Utilizar el comando
dd de la siguiente manera dd if=/dev/zero of= bs= Remplazar: con la
ruta que encontr en el paso 1 con la cantidad de bytes que se
escribirn simultneamente en el dispositivo. Probar con los
siguientes valores y documente el tiempo que se demora cada
ejecucin1: 12M, 14M, 16M Realice el mismo procedimiento pero usando
el comando dcfldd dcfldd if=/dev/zero of= bs= Remplazar: con la
ruta que encontr en el paso 1 con la cantidad de bytes que se
escribirn simultneamente en el dispositivo. Probar con los
siguientes valores y documente el tiempo que se demora cada
ejecucin2: 12M, 14M, 16M
3- Para restaurar el sistema de archivos a. Ejecute el siguiente
mkfs.vfat Remplazar: con la ruta que encontr en el paso 1
1 2
Para calcular el tiempo de ejecucin anteponga el comando time a
el llamado a dd Para calcular el tiempo de ejecucin anteponga el
comando time a el llamado a dd Daniel Torres Falkonert 2011
Responda las siguientes preguntas: Hay alguna diferencia
significativa en desempeo al ejecutar el comando utilizando los
diferentes valores del tamao de bloque? Hay alguna diferencia
significativa en desempeo entre dd y dcfldd? Explique. Parte 2 Toma
de una imagen Forense de medio a medio 1. Esterilice la memoria USB
de mayor tamao, de ahora en adelante ser la USB1 (destino) 2.
Conecte la otra memoria al computador. De ahora en adelante ser la
USB2 (origen). a. Si est vaca, copie algunos archivos en ella.
Llene aproximadamente el 10% de la capacidad 3. Ejecute el comando
dd para tomar la imagen forense (registre el tiempo): dd if= of=
bs= a. Remplazar con los siguientes valores y documente el tiempo
que se demora cada ejecucin : i. 12M, 14M, 16M 4. Calcule la suma
de verificacin para los 2 dispositivos y compare el resultado.
Ejecutar: a. sha1sum Responda las siguientes preguntas: Son
diferentes los resultados? Est mal el procedimiento? Se puede hacer
algo para evitarlo? Qu pas? Explique. Parte 3 Toma de una imagen
Forense de medio a archivo 1. Esterilice la memoria USB de mayor
tamao, de ahora en adelante ser la USB1 (destino) a. Cree un
directorio llamado evidencia mkdir evidencia b. Monte la particin
del dispositivo USB1 en este directorio mount t vfat evidencia
Remplace con el nmero de la particin (seguramente es 1)Daniel
Torres Falkonert 2011
2. Conecte la otra memoria al computador. De ahora en adelante
ser la USB2 (origen). a. Si est vaca, copie algunos archivos en
ella. Llene aproximadamente el 10% de la capacidad 3. Ejecute el
comando dd para tomar la imagen forense (registre el tiempo): dd
if= of=evidencia/imagenUSB2.dd bs= a. Remplazar con el valor que le
dio el mejor tiempo de ejecucin. b. Calcule la suma de verificacin
para el dispositivo origen y para el archivo resultado y compare el
resultado (Registre el tiempo de cada verificacin): c. sha1sum d.
sha1sum evidencia/imagenUSB1.dd Responda las siguientes preguntas:
Son diferentes los resultados? Qu pas ahora? Se demor ms el
procedimiento de tomado de imagen? y la suma de verificacin, en que
caso es ms rpida? Explique.
Parte 4 Toma de una imagen Forense a travs de la red Para este
ejercicio debe utilizar 2 computadores. Se llamarn cliente y
Servidor 1. Configure la red de los 2 sistemas y asegrese que se
pueden comunicar 2. Esterilice la memoria USB de mayor tamao, de
ahora en adelante ser la USB1 (destino). a. Conctela en servidor b.
Cree un directorio llamado evidencia mkdir evidencia c. Monte la
particin del dispositivo USB1 en este directorio mount t vfat
evidencia Remplace con el nmero de la particin (seguramente es 1)
3. En el servidor Inicie el proceso para recibir la imagen
transmitida desde el clienteDaniel Torres Falkonert 2011
a. Ejecute la siguiente lnea de comando: nc -vv l p 12345 |
dcfldd of=imagenUSB2.dd hash=sha1 b. Calcule el tiempo. Y ejecute
el siguiente paso rpidamente. 4. Conecte la otra memoria al
computador cliente. De ahora en adelante ser la USB2 (origen). a.
Si est vaca, copie algunos archivos en ella. Llene aproximadamente
el 10% de la capacidad 5. Ejecute el comando dcfldd para tomar la
imagen forense y netcat para transmitirla (registre el tiempo):
dcfldd if= hash=sha1 bs= | nc w 3 vv 12345 a. Remplazar con el
valor que le dio el mejor tiempo de ejecucin. b. En este caso la
suma de verificacin la realiz automticamente el programa de imagen.
Compare los resultados resultado Responda las siguientes preguntas:
Son diferentes los resultados? Qu pas ahora? Se demor ms el
procedimiento de tomado de imagen? Explique. Parte 5 Toma de una
imagen Forense a travs de la red utilizando compresin Para este
ejercicio debe utilizar 2 computadores. Se llamarn cliente y
Servidor 1. Configure la red de los 2 sistemas y asegrese que se
pueden comunicar 2. Esterilice la memoria USB de mayor tamao, de
ahora en adelante ser la USB1 (destino). a. Conctela en servidor b.
Cree un directorio llamado evidencia mkdir evidencia c. Monte la
particin del dispositivo USB1 en este directorio mount t vfat
evidencia Remplace con el nmero de la particin (seguramente es
1)Daniel Torres Falkonert 2011
3. En el servidor Inicie el proceso para recibir la imagen
transmitida desde el cliente a. Ejecute la siguiente lnea de
comando: nc -vv l p 12345 | gzip d c |dcfldd of=imagenUSB2.dd
hash=sha1 b. Calcule el tiempo. Y ejecute el siguiente paso
rpidamente. 4. Conecte la otra memoria al computador cliente. De
ahora en adelante ser la USB2 (origen). a. Si est vaca, copie
algunos archivos en ella. Llene aproximadamente el 10% de la
capacidad 5. Ejecute el comando dcfldd para tomar la imagen forense
y netcat para transmitirla (registre el tiempo): dcfldd if=
hash=sha1 bs= | gzip c | nc w 3 vv 12345 a. Remplazar con el valor
que le dio el mejor tiempo de ejecucin. b. Remplazar con la rata de
compresin utilizar los siguientes valores: 1, 5, 9 c. En este caso
la suma de verificacin la realiz automticamente el programa de
imagen. Compare los resultados resultado Responda las siguientes
preguntas: Son diferentes los resultados? Qu pas ahora? Se demor ms
el procedimiento de tomado de imagen? Explique.
Conclusiones Haga un cuadro comparativo entre los diferentes
procedimientos. Cul procedimiento tiene los mejores resultados?
Verifique otras opciones de las herramientas y trate de optimizar
el proceso. Qu herramienta es mejor y por qu? En qu casos es mejor
utilizar un procedimiento y cules otro? Qu otras pruebas
interesantes se le ocurre que se podran hacer? Comentarios
adicionales?
Daniel Torres Falkonert 2011
