14. Copia forense bajo sistemas Linux

 ¡Perfecto! Aquí tienes un post para redes sociales o un blog, estructurado y listo para publicar, basado en el contenido que proporcionaste.

📢 Post: Guía Práctica - Realizando una Copia Forense en Linux (Solo Terminal)

¿Alguna vez te has preguntado cómo se realiza una copia forense en un servidor Linux sin interfaz gráfica? 🖥️➡️🛡️

Es una situación muy común en entornos corporativos. Los servidores priorizan el rendimiento, la tolerancia a fallos y la eficiencia, por lo que una GUI consume recursos valiosos que simplemente no podemos permitirnos desperdiciar.

En este escenario, donde solo contamos con la línea de comandos, te mostramos el procedimiento paso a paso para crear una copia forense confiable.

🎯 El Escenario:
Tienes un servidor en producción (físico en un rack o un VPS en la nube) al que has conectado un disco duro externo (vía USB, por ejemplo) para recibir la copia forense. El objetivo es obtener una imagen bit a bit del disco principal sin tener que desactivar el servidor.

🛠️ Procedimiento Paso a Paso:

  1. Identificar los Discos:

    bash
    lsblk

    Este comando lista las unidades. Busca tu disco principal (ej. sda) y el disco secundario donde guardarás la copia (ej. sdb). ¡Asegúrate de identificar correctamente el disco destino!

  2. Crear un Punto de Montaje:
    Necesitamos una carpeta para acceder al disco externo.

    bash
    mkdir /mnt/disco

    (Puede ser en /mnt//media/ o incluso en la raíz).

  3. Formatear la Unidad:
    Formateamos el disco destino con un sistema de archivos (ej. ext4).

    bash
    mkfs.ext4 /dev/sdb

    ⚠️ Atención: Esto borrará todos los datos del disco sdb. Asegúrate de que es la unidad correcta.

  4. Montar la Unidad:
    Vinculamos el disco formateado con la carpeta que creamos.

    bash
    mount /dev/sdb /mnt/disco

    Verifica con lsblk nuevamente. Verás que sdb ahora apunta a /mnt/disco.

  5. ¡Ejecutar la Copia Forense con dd!
    Este es el comando crucial. Aquí el detalle:

    bash
    dd if=/dev/sda of=/mnt/disco/disco.img bs=512 conv=noerror,sync

    Desglose del comando:

    • if=/dev/sdaInput File. La fuente, el disco completo a copiar (¡no solo una partición!).

    • of=/mnt/disco/disco.imgOutput File. El destino y el nombre de la imagen forense.

    • bs=512Block Size. Define el tamaño de los bloques a copiar (512 bytes es un valor estándar y seguro).

    • conv=noerror,syncConversión. ¡Parámetro crítico! Le dice a dd que continúe incluso si encuentra un sector dañado (noerror) y que rellene con ceros el bloque si hay error (sync), evitando que la copia se detenga.

    Al ejecutarlo, la terminal no mostrará una barra de progreso. Es un comando para valientes que confían en su sintaxis. ⏳

  6. Verificar la Copia:
    Una vez finalizado, navega al disco destino y verifica el archivo de imagen.

    bash
    cd /mnt/disco
ls -lh disco.img

  7. Generar la Firma Hash (Integridad):
    Es fundamental crear un hash criptográfico de la imagen para garantizar su integridad en el futuro.

    bash
    sha256sum disco.img

    Este comando calculará un hash único (SHA-256) del archivo. Guarda este valor en un lugar seguro, ya que es la prueba de que la copia no ha sido alterada.

🔑 Puntos Clave:

  • Universalidad: Este procedimiento funciona en cualquier distribución Linux (Ubuntu, Debian, Red Hat, SUSE, etc.).

  • Precisión: El comando dd crea una réplica exacta, bit a bit, del disco de origen.

  • Robustez: Los parámetros bsnoerror y sync ayudan a manejar errores físicos en el disco.

  • Evidencia: El hash sha256 es tu garantía de integridad forense.

¿Te ha sido útil esta guía? ¿Tienes algún otro comando o método que uses para estos casos? ¡Déjanos tus comentarios! 👇

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más