En un proceso de Análisis Forense Digital, una vez que se ha procedido con el secuestro de la evidencia es necesario mantenerla intacta tal cual se ha obtenido, para poder preservar su integridad. Es así que, si se va a realizar un análisis de un dispositivo (una USB por ejemplo), es importante que la información contenida no sea modificada ni que se modifiquen, creen, borren, copien, etc datos de la misma; por ello, debemos proteger la USB de ESCRITURA y dejarla de solo LECTURA.
Para lograr esto, procedemos de la siguiente manera, en un equipo Windows:
Añadir al registro la siguiente key:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
– Aquí, añadir nueva DWORD de 32 bits con el nombre «StorageDevicePolicies», sin comillas.
– Dentro de esta, crear una nueva key, y la llamaremos «WriteProtect», sin comillas y la seteamos en 1
Para comprobar esto, he intentado copiar un archivo llamado test.txt a la USB protegida y esta es la ventana de error que me sale:
USB write-protect
Ahora, si montamos las USB en el equipo y podemos comprobar, al tratar de crear, copiar, cortar, borrar, modificar algún archivo, etc, nos va a mostrar un mensaje de que no esta permitido realizar tal operación.