Una pregunta muy común con respecto al proceso de adquisición de evidencia, a veces llamado generación de imágenes forenses, es cómo se puede hacer con bajo presupuesto.
Si bien muchas veces recomiendo el uso de un protector contra escritura como los Firefly y UltraBlocks de Tableau, FastBlock de EnCase, LockDown de Paraben, etc.; muchas veces es costoso el tener este tipo de herramientas.
Obviamente uno de las razones más importantes que me impulsan a siempre recomendar un protector contra escritura o writeblocker, es el hecho de que es un elemento externo a la estación forense y que en muchas ocasiones es posible tomar una fotografía para mostrarle a las personas y explicar el proceso que sucede en esa pequeña caja negra.
Con el paso del tiempo, también estamos viendo el incremento en la existencia de duplicadores de discos, que permiten generar imágenes forenses de disco a disco, así como de disco a imagen sin la necesidad de una estación forense como el Talon o Dossier de Logicube, el TD1 de Tableau, etc.
Pero si no tengo el presupuesto para realizarlo, otra opción es el uso de un sistema en Linux (o incluso booteable) que me permita montar los discos en sólo escritura para poder generar la imagen forense. Personalmente este caso lo considero a veces peligroso, ya que si no se tiene el cuidado y experiencia, uno puede perder el control y empezar a modificar el disco evidencia con el disco destino. Adicionalmente que uno debe conocer perfectamente los comandos que serán ejecutados en ese momento.
Para aquellos que no sean linuxeros y que la cartera no les permita obtener un duplicador o un protector contra escritura, mi recomendación es un truco de modificar el registro de Windows para convertir los USB’s a sólo escritura.
Cabe mencionar que si uno tiene 4 puertos USB, todos los puertos se convertirán de sólo lectura, por lo que es necesario tener suficiente disco duro local para generar la imagen forense.
Lo siguiente funciona en un Windows XP Profesional SP2, donde hay que modificar del registro:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies]
«WriteProtect»=dword:00000001
Una vez realizado, se coloca el disco evidencia en un Enclosure (dispositivo que permite conectar discos duros por USB o Firewire) donde por razones antes mencionadas uno de Firewire NO nos funcionaría, tiene que ser de USB.
Mi recomendación es hacer uno de FTK Imager de AccessData, que es una herramienta completamente gratuita y que se puede descargar de la misma página de AccessData para poder generar la imagen forense.
Ahora, si no sabes cómo modificar el registro de Windows, no deberías estar haciendo forense. Pero si eres un poco flojo, aquí hay una aplicación que te permite habilitar y deshabilitar los puertos con sólo apretar un botón.
http://www.netwrix.com/usb_blocker_freeware.html