Análisis Forense Digital, preservando la evidencia – Protegiendo USB

En un proceso de Análisis Forense Digital, una vez que se ha procedido con el secuestro de la evidencia es necesario mantenerla intacta tal cual se ha obtenido, para poder preservar su integridad. Es así que, si se va a realizar un análisis de un dispositivo (una USB por ejemplo), es importante que la información contenida no sea modificada ni que se modifiquen, creen, borren, copien, etc datos de la misma; por ello, debemos proteger la USB de ESCRITURA y dejarla de solo LECTURA.

Para lograr esto, procedemos de la siguiente manera, en un equipo Windows:

Añadir al registro la siguiente key:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

– Aquí, añadir nueva DWORD de 32 bits con el nombre “StorageDevicePolicies”, sin comillas.

– Dentro de esta, crear una nueva key, y la llamaremos “WriteProtect”, sin comillas y la seteamos en 1

Para comprobar esto, he intentado copiar un archivo llamado test.txt a la USB protegida y esta es la ventana de error que me sale:

USB write-protect

USB write-protect

Ahora, si montamos las USB en el equipo y podemos comprobar, al tratar de crear, copiar, cortar, borrar, modificar algún archivo, etc, nos va a mostrar un mensaje de que no esta permitido realizar tal operación.

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: