Existen diferentes modos de hacer una adquisición de disco en informática forense. Si utilizamos la adquisición de disco con extensión Exx (.Exx), Guymager nos obliga a hacer split. Veamos cómo sería este proceso.
Adquisición de disco con extensión Exx
Vamos a crear una adquisición de disco con extensión Exx desde Guymager:
En este caso, nos pone como opción predeterminada hacer split también. Vamos a hacer un split de 50mb.
No es necesario llenar todos los campos que disponibles, aun así, en este caso, lo haremos.
¿Qué sucede con el split?
El tamaño máximo que le podemos dar al disco es el que nosotros queramos. La trampa que podemos usar aquí es que, si no queremos que nos haga un split, le decimos al programa que nos haga un split mayor al tamaño de la imagen que estamos usando.
La razón por la que nos obliga a hacer el split es por el tipo de formato que le estamos diciendo que nos genere.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEste tipo de formato, además, nos deja guardar más información sobre la adquisición, como el nombre y la descripción. Estos aspectos no suelen ser muy importantes, porque nosotros mismos nos encargaremos por nuestra cuenta de la cadena de custodia.
El siguiente paso en nuestro proceso de realizar una adquisición de disco con extensión Exx es guardar el fichero.
Como último paso antes de darle a “Start”, vamos a marcar la casilla que dice “Re-read source after acquisition for verification (takes twice as long)”. Esta casilla, después de hacer la adquisición y de verificar que nuestra imagen es correcta, nos vuelve a hacer otra comprobación sacando de nuevo el hash al origen y lo comprueba con el hash de destino. El problema es que esto conlleva mucho más tiempo.
Ahora hacemos clic en el botón “Start” y esperamos a que se haga la comprobación de que ha finalizado el proceso:
Ya hemos visto cómo se hace la adquisición de disco con extensión Exx. Si quieres formarte para ser un gran profesional en estas áreas de la informática forense, en KeepCoding tenemos el mejor curso intensivo para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un especialista en solo unos meses con el acompañamiento de profesores expertos y una gran variedad de conocimientos teóricos y prácticos. ¡Inscríbete ahora e impulsa tu futuro!