Generación de Imagenes Forenses
Normalmente, después de la fase de identificación, tenemos que abordar la etapa de preservación. En discos duros de computadora, normalmente se realizan extrayendo el disco duro.
Haciendo uso de un dispositivo conocido como protector contra escritura (Write-Protector) para evitar la modificación o alteración de la información contenida en el disco duro, se procede a calcular el valor de integridad para después realizar una imagen forense de cada uno de los discos duros.
Al terminar dicho proceso, para poder asegurar la integridad de la información se realiza nuevamente el cálculo del valor de integridad, debiendo ser éste exactamente igual al calculado originalmente.
Una imagen forense es una copia exacta del contenido de un disco duro, incluyendo el “espacio no-asignado”. En sistemas operativos como el Microsoft Windows® cuando un archivo es “borrado”, realmente no es eliminado del disco duro; sino que el sistema operativo espera poder utilizarlo de nuevo. Si este espacio no-asignado no es sobrescrito por alguna otra información, por medio del cómputo forense es posible recuperar dicho archivo “borrado”. Estas imágenes forenses de cada uno de los discos permiten realizar el análisis sin manipular el disco duro original.
El valor de integridad, conocido técnicamente como valor hash o digest, es una función matemática que convierte una cadena de longitud variable a una cadena de longitud fija, la cual permite validar que la información contenida en el disco duro no ha sido modificada o alterada. El proceso aceptado internacionalmente establece que se debe calcular el valor de integridad al momento de iniciar la imagen forense y posteriormente realizar una verificación para comprobar que la información contenida en los discos duros no ha sido alterada de ninguna manera.
Es gracias a la tecnología usada, como son los dispositivos de protección contra escritura y los programas especializados para realizar el cómputo forense que podemos asegurar la integridad de los discos duros originales así como sus imágenes forenses.
Después de esta fase, tenemos la del Análisis y Presentación.
Buenos dias Andres, disculpa que te hable de tu, soy exalumno de la Salle de la carrera de Cibernetica en Cuernavaca, tuve la oportunidad de escuchar una conferencia tuya en La Salle Mexico hace algun tiempo y he leido tus articulos en BSecure, estoy realizando mi tesis sobre RBAC y administracion basada en roles, por lo que tocar informacion referente a seguridad informatica es muy importante para mi, hace algun tiempo le ofreciste asesoria a un excompañero mio de la ciudad de Iguala, se llama Francisco, por lo que me atrevi a solicitar tu ayuda para guiarme un poco sobre este tema, espero no te moleste mi comentario. Saludos Paul JuarezProgramador Sr. para Interware de Mexico.