Portada
mis comunidades
otras secciones
#6:
Un "forense" tampoco usaría un live de Ubuntu ...
Hay lives y distribuciones para estas tareas:
http://www.deftlinux.net/
http://www.forensicswiki.org/wiki/Helix3
Y lo más normal, es que depende el entorno, se lleve un cd propio con tus herramientas, scripts, etc, etc.
Para lo cual suele ser útil: http://www.opensourceforensics.org/tools/index.html
Pero bueno, como aproximación ...
Hay lives y distribuciones para estas tareas:
http://www.deftlinux.net/
http://www.forensicswiki.org/wiki/Helix3
Y lo más normal, es que depende el entorno, se lleve un cd propio con tus herramientas, scripts, etc, etc.
Para lo cual suele ser útil: http://www.opensourceforensics.org/tools/index.html
Pero bueno, como aproximación ...
#3:
Solo un consejo, si quieren recuperar datos NUNCA trabajen sobre el disco, hacer una imagen raw y luego a jugar sobre ella.
#5:
Primer principio forense: "No tocar las pruebas con los dedacos digitales".
Como bien dice #3 es imprescindible tener un disco idéntico (o mayor) al que volcar los datos crudos o hacer una imagen.
Puedes jugar con ella sin problemas.
Y volver a sacar la imagen.
Y volver a intentarlo de otra forma.
Lo de "forense" queda bien pero no es exacto.
Un forense primero saca un hash (MD5, etcd.) del disco (con esto se certifica que no se ha modificado nada desde que se intervino el disco), luego una imagen raw y se trabaja con la imagen. El disco original no se toca. En muchos casos ni para montar particiones. Te pueden invalidar la prueba.
Como bien dice #3 es imprescindible tener un disco idéntico (o mayor) al que volcar los datos crudos o hacer una imagen.
Puedes jugar con ella sin problemas.
Y volver a sacar la imagen.
Y volver a intentarlo de otra forma.
Lo de "forense" queda bien pero no es exacto.
Un forense primero saca un hash (MD5, etcd.) del disco (con esto se certifica que no se ha modificado nada desde que se intervino el disco), luego una imagen raw y se trabaja con la imagen. El disco original no se toca. En muchos casos ni para montar particiones. Te pueden invalidar la prueba.
Comentarios
Solo un consejo, si quieren recuperar datos NUNCA trabajen sobre el disco, hacer una imagen raw y luego a jugar sobre ella.
Primer principio forense: "No tocar las pruebas con los dedacos digitales".
Como bien dice #3 es imprescindible tener un disco idéntico (o mayor) al que volcar los datos crudos o hacer una imagen.
Puedes jugar con ella sin problemas.
Y volver a sacar la imagen.
Y volver a intentarlo de otra forma.
Lo de "forense" queda bien pero no es exacto.
Un forense primero saca un hash (MD5, etcd.) del disco (con esto se certifica que no se ha modificado nada desde que se intervino el disco), luego una imagen raw y se trabaja con la imagen. El disco original no se toca. En muchos casos ni para montar particiones. Te pueden invalidar la prueba.
Yo cuando quería recuperar algo porque Windows no arrancaba tiraba de live cd de ubuntu y respaldaba datos accediendo a la partición desde ubuntu, sin usar programas, es decir lo básico. Veo que hay maneras de hacerlo mejor por si la cosa se pone muy fea así que pregunto:
#3 #5 ¿Como se saca la imagen raw? ¿Es algo así como hacer una copia de seguridad del disco dañado?
Pregunta general:
Mi disco duro tiene algunos sectores que están dañados. Más o menos sé que gigabytes son ya que cualquier instalación de Windows en esos gigas falla (del 1er al 15º gb más o menos).
Pude instalar Ubuntu dejando como espacio no particionado del 1ºgb al 5ºgb, pero a veces al copiar archivos empiezan a sonar los discos duros de mala manera y se cuelga el sistema. x
Se perfectamente que los sectores están dañados porque eso mismo me dice Ubuntu al iniciar el sistema ¿Con que o como puedo arreglarlo?
#11 creo que sistemas de ficheros como ext2,ext3 marca esos sectores como dañados, y entonces no intentaría escribir en ellos; no debería dar problemas entonces una vez que lo formatearas.
Gracias a #12, #13 y en especial a #16 y #23 por la explicación detallada
#11 "¿Como se saca la imagen raw?"
Con dd, o con un aparato parecido a estos: http://www.logicubeforensics.com/
#11 Un par de consejos:
1º Respaldo de datos de ese disco duro YA
2º Cambia el disco duro
Ya con ese disco "sonando de mala manera" tendrías que haberlo cambiado hace rato.
#11 Básicamente con un
$ sudo dd if=/dev/discoquequieres of=/dondequieras/disco.img
Donde disco que quieres será:
sda --> disco sata/scsi
sdb --> disco sata/scsi
sda1 --> partición 1 de disco sata/scsi
hda --> disco ide
También puedes hacerlo por red juntando dd con netcat:
(ORIGEN)
sudo dd if=/dev/discoquequieras | gzip -c | nc -v -w 60 6666
(DESTINO)
$ nc -v -w 120 -p 6666 -l < /dev/null > image.gz
#16 si el disco esta tocado tienes q añadir
dd if=/dev/sdaX of=/iso_a_guardar.img conv=noerror,sync
Un "forense" tampoco usaría un live de Ubuntu ...
Hay lives y distribuciones para estas tareas:
http://www.deftlinux.net/
http://www.forensicswiki.org/wiki/Helix3
Y lo más normal, es que depende el entorno, se lleve un cd propio con tus herramientas, scripts, etc, etc.
Para lo cual suele ser útil: http://www.opensourceforensics.org/tools/index.html
Pero bueno, como aproximación ...
Se habla de Ubuntu y ya sale portada, aunque lo que hace el live cd no sea ni la mitad que lo que hacen otros live cds creados exclusivamente para reparar sistemas de particiones como Hiren's BootCD, recuperar particiones y datos borrados, aislar errores físicos, analizar errores de ram, clonar discos.. etc.... confundido me hallo..
#0 Falta [ing]
Ademas de Helix (Imprescindible), un "técnico de análisis forense" utiliza sobre todo, una herramienta que se llama fastblock, que monta las particiones en solo lectura, o bien utilizar CUALQUIER DISTRIBUCION para realizar una imagen "dd" del disco duro en cuestion. Además se suele recurrir a herramientas de pago (increíblemente caras).
Efectivamente, vanalizar diciendo que una ubuntu live basta, es como decir que un curso de ofimática te convierte en programador.
#10 La verdad es que Encase y FTK te simplifican la vida, sin ellos, pues con TSK + autopsy o PTK + pyFlag ... algo se puede hacer ... y en época de crisis ...
#14 Tu lo has dicho en una palabra: Encase. Es increible la cantidad de trabajo que ahorra, sobre todo para los que somos muy metódicos.
En mi caso, utilizo Helix cuando el ordenador está encendido, para volcar RAM y VRAM. Despues, tiro del cable sin apagar, y ale, encase hasta que se te caigan las pestañas.
Ah, y para los que quieren evitar que se recuperen archivos borrados del disco, cifrado. LUKS, TrueCrypt, etc.
No hablo a nivel de profesional. La ultima vez que tuve que recuperar datos de un disco duro no dañado me fué muy bien la distro de puppy linux desde un usb. Es pequeñito y bastante amistoso y visual a la hora de encontrar discos duros y particiones, te aparecen directamente en el escritorio. Para los que no tenemos ni idea viene perfecto.
Siguiendo con ubuntu, también existe el ubuntu rescue remix:
http://ubuntu-rescue-remix.org/
Me ha parecido muy interesante, solo espero que tener que hacerlo nunca! (Me lo guardo por si las moscas.)
#1 idem
Howto clone Ubuntu for backup or make your own custom live CD/DVD
Joer me viene al pelo, tengo 2 discos duros que no consigo reparar por métodos habituales y con datos que sería interesante recuperar, a ver si con esto saco algo
photorec me ha sido muy útil con tarjetas SD borradas.
Para los entendidos en el tema: ¿Se puede recuperar información de un disco encriptado?
Lo pregunto porque mi padre en su momento encriptó el disco duro con un programa (Endpoint encryption, de Symantec) y un día, no se a que se debió, el programa se bloqueó y no nos permitía acceder a los datos del disco duro.
Probamos con un Live Cd de Ubuntu y no había forma de montar el disco y acceder a él. Tratamos de clonarlo para poder trastear con varios programas, y tampoco se dejaba (muchos programas no lo detectaban, otros lo reconocían pero lo catalogaban como disco erróneo e inaccesible...) y al final lo tuvimos que dar por perdido.
¿Se podría haber hecho algo? Es que solo se me ocurre utilizar algún programa para reventar encriptaciones a lo bestia (que supongo que habrá, pero dudo que sea muy legal utilizarlos, no lo se)
#21 Nunca me he visto en un escenario con Endpoint Encryption, así que no podría decirte ni una cosa, ni otra. A priori, la respuesta más genérica es "no". Evidentemente, todo tiene matices.
Igual que en su momento rompieron Bitlocker, o igual que apareció alguna vulnerabilidad para TrueCrypt. Pero vamos, en un principio, si el sistema no está en ejecución, y no existe una vulnerabilidad específica para ese software ( que no tiene porqué haberla ) el único ataque sería "fuerza bruta"/"diccionario".
Dicho sea de paso, tampoco conozco ninguna implementación para ningún sistema de "cracking" de Endpoint Encryption.
#25 Gracias por la respuesta. Aunque lo del ataque por "fuerza bruta"... casi que paso....que yo de esos métodos no tengo ni idea, y creo que prefiero seguir sin conocerlos jejeje.
Sensacionalista??..nooooo que va. Por favor, lo de "experto forense" queda un poco grande para el artículo. Simplemente "Cómo recuperar archivos o particiones borradas", poco más.
Son herramientas muy buenas que también las utilizan los profesionales, pero la profundidad con las que se trata no es suficiente.
Como apunte, si se desea obtener algo más como el contenido de la swap (en linux), habría que pasar el parámetro "noswap", para que el live-cd/usb no utilice la del disco duro.
Ahh, un live que utilizo mucho SystemRescueCD http://www.sysresccd.org/
Como bien han apuntado otros, existen distribuciones específicas para todo el tema forense. No sólo por las herramientas que traen por defecto sino por pequeñas cosas como no modificar el sistema de ficheros en absoluto cuando se arrancan.
Yo no usaría estas distros para escritorio pero tampoco Ubuntu como distro para tareas forenses.
Ahí va otro más, basada en debian y muy profesional:
http://grml.org/
spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam spam