El documento describe los pasos para clonar un disco duro de forma bit a bit, incluyendo calcular la cadena HASH para verificar la autenticidad de la copia y bloquear la escritura de los dispositivos conectados para prevenir alteraciones a la evidencia original. Primero, se debe hacer una copia bit a bit del disco duro usando hardware para garantizar una copia auténtica e indubitable. Luego, se calculan las cadenas HASH de MD5, SHA1 y SHA256 para verificar la integridad de la copia. Finalmente, el documento explica
5.1-La 1ª parte del reinado de Alfonso XIII y los proyectos de regeneracionis...
Clonar bit a bit un disco duro
1. Clonar bit a bit un disco duro
MGTI. Elvin R. Castellanos
2. Introducción
Una de las prioridades que debe contemplar un forense a la hora de
duplicar una prueba es garantizar la autenticidad y indubitabilidad de la
copia. En otras palabras: debe garantizar que el clonado de los discos
duros, o del dispositivo de almacenamiento que esté duplicando, se ha
efectuado de forma correcta.
Para certificar que el clonado ha sido exacto, suele calcularse la
cadena HASH (Ya lo sabemos todos, pero no conviene calcular solo MD5
o SHA1, debido a la teórica colisión que puede producirse en los
resultados de estos algoritmos), ya sea de las particiones o, incluso, del
disco duro entero. Es más: conviene calcular tanto MD5 como SHA1; que
colisionen por separado es muy improbable, pero los dos a la vez es ya
imposible. En cualquier caso, y si se quiere atinar a la primera, lo mejor es
calcular con la funcíón SHA256.
3. El primer problema al que deberá enfrentarse un informático forense,
una vez realizado el clonado, es el del cálculo de estas funciones.
Ejemplo práctico:
Un forense se ha desplazado a un despacho Notarial (con todos sus
accesorios), para efectuar un clonado de un disco duro. Después tendrá
que efectuar la práctica forense, una vez recolectada la evidencia.
Lo primero que tiene que hacer es preservar el original, no
contaminarlo. Es decir: debe hacer la copia asegurándose de que el
sistema operativo no modificará (ni añadirá), un solo de los bit de la
información almacenada en el original. En caso de hacerlo se habrá
dañado la prueba, o por lo menos habrá dejado abierta la puerta para
que le pongan en duda la autenticidad del original mismo, cuanto más
de la copia.
4. Por lo general un perito informático
dispone de una máquina clonadora por
hardware, que permite la copia bit a bit de
los dispositivos, sin necesidad de
conectarlos a un equipo informático.
Cuando se hace una copia “bit a bit”,
mediante una clonadora de hardware, se
garantiza la autenticidad y exactitud de la
misma, pero si se quiere calcular el HASH
(existen algunas clonadoras -generalmente
caras-, que permiten calcularlo).
Además este proceso puede hacerse utilizando herramientas de software -hay muchas
en el mercado, algunas incluso gratuitas-, que lo extraen de forma fácil. Esto implica
que habrá que conectar esos dispositivos a un ordenador, hecho que podría -si se
comete un error-, alterar la copia, antes incluso de haberse empezado a leer el disco.
Por tanto, es preciso bloquear los procesos de escritura de los dispositivos conectados,
normalmente, mediante puertos USB.
5. Bloquear escritura de los dispositivos
conectados a USB en Windows 7
Para poder bloquear estos puertos contra escritura será preciso entrar
en el archivo de registro, con la utilidad “RegEdit”, antes de conectar los
discos duros sobre los que hay que calcular el Hash.
Ya en el regedit, navegamos hasta llegar a la clave
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
En esta dirección se busca la clave llamada StorageDevicePolicies, si no
existe debe crearse; posteriormente, en la parte derecha de la ventana
de regedit, crear un valor dando click derecho y seleccionando ‘Nuevo-
>Valor DWORD’, se debe nombrar ‘WriteProtect’. Una vez creado,
doble click en dicho valor y poner la información del valor en 1.
6. Cuando se necesite volver activar la escritura, sólo debe cambiarse a
cero el valor anterior.