Cómo realizar la adquisición (clonado) de un disco duro de un equipo con Windows 10 mediante el LiveCD Caine, una distribución de Linux con herramientas para Análisis Forense. Mostramos cómo descargar e iniciar este LiveCD Caine en un equipo y cómo clonar (adquirir) un disco duro para su posterior análisis forense. Explicamos cómo clonar de disco a disco y cómo clonar de disco a fichero de imagen dd.
- Descargar distribución Linux Caine (LiveCD) para análisis forense.
- Simular entorno de pruebas con equipo Windows.
- Adquisición de disco duro de equipo para análisis forense, clonar disco a disco con DDRescue-GUI.
- Adquisición de disco duro a fichero de imagen con dd.
Descargar distribución Linux Caine (LiveCD) para análisis forense
Caine es una distribución de Linux, montada sobre Ubuntu 20.04, que incluye numerosas herramientas y utilidades para Análisis Forense. No incluye instalador, dado que para realizar la adquisición de los discos duros NO debe instalarse software en ellos, al tratarse de evidencias deben usarse siempre bloqueadas contra escritura. Por ello, esta distribución, sólo está disponible en LiveCD, de modo que se arrancará sin usar el disco duro del equipo (en memoria).
Descargaremos el ISO de Caine desde su web oficial
https://www.caine-live.net/page5/page5.html
Actualmente la versión disponible es la CAINE 12.4 «SIDEREAL». El fichero ISO ocupa unos 3,9 GB.
Una vez descargado el fichero caine12.4.iso lo conveniente será pasarlo o bien a un Pendrive (lápiz de memoria USB) o bien a un DVD. Para ello usaremos alguna herramienta que permita pasar un ISO a un DVD o pendrive y hacerlo «arrancable», como por ejemplo CDBurnerXP o Infra Recorder o incluso de forma manual, como indicamos en este artículo:
En el caso de este artículo, dado que usaremos una máquina virtual de pruebas para la adquisición de las evidencias, transferiremos el fichero ISO de Caine al entorno de virtualización:
Agregaremos este ISO como CD/DVD a la máquina virtual de la que queremos realizar el análisis forense. De esta forma podremos arrancar desde el LiveCD de Caine, que detectará los discos duros de la máquina virtual y los montará pero de sólo lectura.
Para agregar el ISO como CD/DVD, editaremos las propiedades de la máquina virtual y agregaremos un nuevo dispositivo «Unidad de CD/DVD». Elegiremos de tipo «Archivo ISO del almacén de datos» y seleccionaremos el fichero ISO de Caine subido al datastore del entorno de virtualización. Marcaremos la opción «Conectar al encender».
Simular entorno de pruebas con equipo Windows
Para este ejemplo, crearemos varios ficheros en el equipo que analizaremos posteriormente. Crearemos un entorno de pruebas creando ficheros con contraseñas, con números de tarjetas de crédito, con números de cuentas bancarias, etc. Incluso eliminaremos estos ficheros:
Crearemos alguna imagen, transferiremos imágenes realizadas con móviles o cámaras fotográficas, vídeos y cualquier otro fichero o base de datos para su posterior análisis forense.
Incluso podemos eliminar alguno de estos ficheros, para comprobar que las herramientas de análisis forense son capaces de recuperarlos.
Adquisición de disco duro de equipo para análisis forense, clonar disco a disco con DDRescue-GUI
Puesto que una de las primeras y más importantes reglas del forense debe ser la de NO alterar las pruebas, nunca se debe instalar software en un disco duro (o cualquier dispositivo) al que queramos realizar el análisis forense. Por ello, Caine es LiveCD, para NO interferir en el sistema a analizar.
El equipo/dispositivo a analizar debe estar apagado en la medida de lo posible (siempre y cuando se vayan a realizar análisis a posteriori y de elementos no volátiles). Una vez agregado el CD/DVD de Caine al equipo y marcado como arrancable, por seguridad, es conveniente acceder a las propiedades de la máquina virtual e indicar que la próxima vez que se inicie lo haga desde la BIOS. Esto lo necesitamos para especificar la secuencia de arranque (el orden), de forma que indiquemos que primero arranque desde el CD/DVD de Caine:
Ahora iniciaremos la máquina virtual y se abrirá la BIOS. Accederemos al menú «Boot» y subiremos el CD-ROM Drive al primer lugar, de forma que cuando se inicie el equipo lea el SO Caine y arranque desde este:
Se iniciará Caine, pulsaremos en «START CAINE LIVE»:
Lo habitual en análisis forense será hacer al menos dos copias (clones) del disco duro a dispositivos de almacenamiento externo, por ejemplo a un pendrive (lápiz de memoria USB). Para ello, o bien conectamos el pendrive (previamente limpio) por USB a la máquina virtual en la que hemos iniciado CAINE o bien podríamos hacer el clon por red (por ejemplo con nc). En este caso, al tratarse de una máquina virtual, agregaremos un segundo disco duro (esto no debe hacerse en un análisis forense real) de 64GB, que será el destino de la clonación.
Una vez arrancado el sistema CAINE, podremos consultar las unidades disponibles, tanto para clonar como de destino de la clonación. Para ello pulsaremos en UnBlock:
Nos mostrará tanto la unidad de disco duro del equipo a adquirir (bloqueada), de 20GB, como la unidad secundaria (de 64GB), escribible:
Por supuesto, podremos consultar las unidades también por comando, abriendo una ventana de terminal, para cambiar el idioma del teclado a español introduciremos el comando:
1 |
setxkbmap es |
Y ejecutaremos este otro comando para mostrar las unidades detectadas por CAINE:
1 |
sudo fdisk -l |
La unidad de 20GB es la que tiene el sistema operativo Windows 10 Pro N y es la que queremos clonar para guardar la cadena de custodia de forma correcta. Para que no sea alterada la original siempre trabajaremos con la copia.
Para hacer el clon (la adquisición) podemos usar diferentes herramientas y métodos. En este caso usaremos la herramienta DDRescue-GUI, disponible en «Forensic tools» – «Disks» – «DDRescue-GUI»:
Para trabajar sobre seguro, lo primero que haremos es mostrar la información de los discos duros disponibles en el sistema. Para ello pulsaremos en el menú «View» – «Disk Information»:
Nos mostrará todos los discos detectados, anotaremos los que nos interesan:
- [1]: el disco duro (partición) con las 20GB que contiene el sistema operativo Windows 10 y que es objeto del análisis, al que queremos realizar la clonación para el futuro análisis forense. En este caso con el identificador /dev/sda.
- [2]: el disco duro (o pendrive) de destino de la clonación, en el que se almacenará la imagen del clon del disco duro a analizar. En este caso con el identificador /dev/sdb.
Por lo tanto, elegiremos los siguientes datos para hacer la adquisición (el clon del disco duro):
- Image Source: elegiremos «/dev/sda» (el disco duro con Windows 10).
- Recovery Map File: elegiremos «None».
- Image Destination: elegiremos «/dev/sdb» (el disco duro secundario).
Al elegir el disco duro secundario de destino, nos mostrará un aviso de que la información que contenga será eliminada. Responderemos «Yes»:
Cuando tengamos definido el origen y el destino pulsaremos en «Start» para iniciar el proceso de adquisición (clon):
El proceso puede tardar varios minutos, en función de la velocidad de los discos origen y destino y en función del tamaño del disco duro origen a clonar. La herramienta DDRescue-GUI nos mostrará el progreso, así como el tiempo estimado para su finalización:
El asistente de clonación de DDRescue-GUI nos mostrará un menaje una vez finalizado el proceso de adquisición/clonación del disco duro origen (evidencia):
DDRescue-GUI nos ofrece la posibilidad de montar la unidad de destino (la que contiene el clon). Pulsando en «Mount Image/Disk» la montará:
Puesto que la unidad /dev/sda contenía tres particiones (/dev/sda1, /dev/sda2, /dev/sda3) el asistente nos mostrará estas tres particiones en la unidad de destino /dev/sdb, seleccionaremos la partición que contiene los datos, que es la /dev/sdb2 y pulsaremos «OK»:
Nos indicará que la unidad ha sido montada, pulsaremos «OK»:
Se habilitará el botón «Open File Viewer», pulsaremos sobre él:
Y tendremos acceso a todas las carpetas y ficheros del disco duro original Windows 10, pero accediendo al clon:
El proceso anterior de montaje de la imagen y acceso a sus ficheros puede realizarse a posteriori, o bien por comando o bien ejecutando herramientas específicas para ello (como veremos en el siguiente artículo de análisis forense).
La unidad habrá quedado montada (si así lo hemos indicado en DDRescue-GUI) en:
/tmp/ddrecue-gui/destination
Podremos acceder con cualquier herramienta de CAINE o incluso desde la línea de comandos, para realizar cualquier análisis, búsqueda o lo que necesitemos.
Adquisición de disco duro a fichero de imagen con dd
En el proceso anterior hemos realizado un clon de una unidad de disco a otra. En este caso, explicaremos cómo realizar un clon (adquisición) de una unidad de disco a un fichero de imagen. La ventaja de este método es que podremos realizar el clon en un pendrive (o cualquier dispositivo extraíble) y así poder transportarla a cualquier otro equipo, para su posterior análisis. De esta forma preservaremos el original inalterado (incluso apagado y custodiado).
Revisaremos las unidades, tendremos la unidad /dev/sda de 20GB con el sistema operativo Windows 10 y la unidad /dev/sdb de 32GB correspondiente al pendrive (con fdisk -l).
Como ejemplo, crearemos una unidad secundaria correspondiente al pendrive /dev/sdb, lo haremos con fdisk, con:
1 |
sudo fdisk /dev/sdb |
Pulsaremos «p» para mostrar las particiones. Pulsaremos «n» para crear una nueva. Iremos pulsando INTRO a las preguntas para dejar las opciones por defecto.
Por último, pulsaremos en «w» para guardar los cambios.
Si volvemos a entrar con fdisk y pulsamos «p» veremos que nos ha creado la partición /sdb1
1 |
fdisk /dev/sdb |
Saldremos de fdisk con «q» y formatearemos la partición /dev/sdb1 con:
1 |
sudo mkfs -t ext4 /dev/sdb1 |
(si queremos simular un pendrive usaremos fat32 en lugar de ext4)
Crearemos un punto de montaje para la unidad:
1 |
sudo mkdir /media/pendrive |
Y montaremos la unidad en el punto anterior:
1 |
sudo mount /dev/sdb1 /media/pendrive |
No necesitaremos editar el fichero fstab para hacer persistente esta unidad porque retiraremos el pendrive una vez realizado el clon (adquisición).
Haciendo un:
1 |
df -h |
Podremos comprobar que se ha creado la unidad /media/pendrive:
Para realizar el proceso de clonación del disco duro de Windows 10 (/dev/sda) a un fichero de imagen .dd en el pendrive (/media/pendrive), usaremos el comando dd, ejecutando:
1 |
sudo dd if=/dev/sda of=/media/pendrive/disco_w10.dd |
El comando anterior no mostrará ninguna información de progreso, esperaremos a que finalice. Mostrará el texto:
…. records in
…. records out
…. bytes (21 GB, 20 GiB) copied, 1380,83 s, 15,6 MB/s
Y habrá generado el fichero disco_w10.dd de 20GB de tamaño, en /media/pendrive:
El siguiente paso será obtener el hash del fichero disco_w10.dd creado, necesario para un proceso de análisis forense, para incluirlo en el informe. Será el dato que confirme que el fichero de imagen no ha sido modificado. Para generar este hash ejecutaremos el comando:
1 |
sudo sha256sum /media/pendrive/disco_w10.dd |
Este proceso tardará varios minutos, dado que el fichero disco_w10.dd puede ocupar varias GB. En cuanto finalice, mostrará el hash SHA 256, para añadir al informe:
Extraeremos de forma segura el pendrive, desmontándolo con:
1 |
umount /dev/sdb1 |