Posts Tagged ‘ Análisis Forense Digital ’

Análisis Forense Digital, preservando la evidencia – Protegiendo USB

En un proceso de Análisis Forense Digital, una vez que se ha procedido con el secuestro de la evidencia es necesario mantenerla intacta tal cual se ha obtenido, para poder preservar su integridad. Es así que, si se va a realizar un análisis de un dispositivo (una USB por ejemplo), es importante que la información contenida no sea modificada ni que se modifiquen, creen, borren, copien, etc datos de la misma; por ello, debemos proteger la USB de ESCRITURA y dejarla de solo LECTURA.

Para lograr esto, procedemos de la siguiente manera, en un equipo Windows:

Añadir al registro la siguiente key:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

– Aquí, añadir nueva DWORD de 32 bits con el nombre “StorageDevicePolicies”, sin comillas.

– Dentro de esta, crear una nueva key, y la llamaremos “WriteProtect”, sin comillas y la seteamos en 1

Para comprobar esto, he intentado copiar un archivo llamado test.txt a la USB protegida y esta es la ventana de error que me sale:

USB write-protect

USB write-protect

Ahora, si montamos las USB en el equipo y podemos comprobar, al tratar de crear, copiar, cortar, borrar, modificar algún archivo, etc, nos va a mostrar un mensaje de que no esta permitido realizar tal operación.

Preservación de la evidencia digital, Análisis Forense

Cuando se realiza un Análisis Forense es necesario, luego del secuestro de la evidencía, la preserrvación de la misma. Es de suma importancia que ésta mantenga la integridad, con documentos y pruebas que respalden su confiabilidad.

Existen algunas maneras de asegurar la evidencia digital para poder probar que ésta no ha sido modificada o alterada. Una de las formas principales es a traves del uso del algoritmo hash que es un algoritmo de comprobación de integridad y que nos genera un valor/clave  para algún dato/archivo. De esta manera, si la evidencia ha sufrido alguna alteración en el transcurso de la investigación este valor ya no será el mismo.

Herramienta para la comprobación del valor hash

Existe gran cantidad de herramientas para esta labor, voy a mencionar una: HashCalc

HashCalc es una herramienta gráfica y sencilla  para entornos Windows mediante la cual podemos generar y/o comprobar el valor hash de algún archivo:

HashCalc

HashCalc

En la gráfica observarmos un simple ejemplo, donde modificamos un archivo (en este caso llamado test) y comprobamos el valor del hash MD5.

Cont….