Adquisición de un disco con extensiones .dd o .xxx

Contenido del Bootcamp dirigido por:

Adquisición de un disco
¿Qué encontrarás en este post?

En este artículo vamos a simular lo que es la pequeña adquisición de un disco con extensión .dd o .xxx. Estas extensiones generalmente se usan como imágenes de disco que contienen una copia del contenido exacto de una unidad de memoria, como un disco duro o un pendrive. Este tipo de extensiones son muy usadas en informática forense.

Adquisición de un disco con extensiones .dd o .xxx

Primero veamos qué necesitaremos para la adquisición de un disco con estas especificaciones. En caso de que queramos hacer la adquisición desde un sistema Ubuntu:

Máquina linux forense

  • Constará de una máquina Linux – Ubuntu 18.04
  • Instalaremos las herramientas necesarias para análisis.
  • Convertiremos en Sans – SIFT.
  • Añadiremos módulos para la gestión de malware.

Instalación de la máquina

Descargamos el binario correspondiente:

Adquisición de un disco con extensiones .dd o .xxx

Máquina Windows

Si queremos hacer la adquisición de un disco desde Windows, nos descargamos una máquina virtual de Windows. Prueba de noventa días.

Microsoft Windows 10 Enterprise.

Distribución forense

  • Distribución con herramientas preinstaladas.
  • Monta los volúmenes en modo lectura.
  • URL de descarga: Tsurugi

Descargamos la máquina virtual con usuario tsurugi/tsurugi.

Virtual Box y Tsurugi

También podríamos usar el Kali de Linux para esta labor, no obstante, es mucho más útil usar el Tsurugi cuando se trata de análisis forense.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Después de haber descargado todas las herramientas necesarias para hacer la adquisición de un disco, vamos a abrir Tsurugi y digitamos la contraseña que hayamos elegido durante la instalación.

Lo bueno de Tsurugi es que a cada dispositivo nuevo que conectamos, por defecto, les tiene bloqueo de escritura. Esto quiere decir que si, por ejemplo, conectamos un disco duro en esta distribución, va a bloquear la escritura y solo podremos leerlo.

Si lo que queremos es desbloquearlo, nos vamos a la herramienta:

Adquisición de un disco con extensiones .dd o .xxx

Aquí nos aparecerán todos los dispositivos que tengamos conectados.

Adquisición de un disco con extensiones .dd o .xxx

Si solo tenemos conectado el disco duro del sistema, este no nos dejará modificarlo por defecto. Esto es útil por si vamos a hacer una adquisición de un disco de evidencias y, por cualquier razón, nos equivocamos en la evidencia origen; en ese caso, no vamos a poder escribir sobre ella porque se encuentra bloqueada.

Para desbloquear esta herramienta, tenemos que abrir Tsurugi y darle a la herramienta los permisos correspondientes de escritura.

Veamos cómo sería el proceso:

  • Abrimos la máquina virtual, en este caso es Virtual Box.
  • Una vez allí seleccionamos la opción de configuración:
Adquisición de un disco con extensiones .dd o .xxx
  • General/Control SATA.
Adquisición de un disco con extensiones .dd o .xxx
  • Vamos a simular un disco duro. En este caso, usaremos el disco duro virtual que se nos pone a disposición:
Adquisición de un disco con extensiones .dd o .xxx
  • Ahora abrimos Tsurugi:
Adquisición de un disco con extensiones .dd o .xxx

Vemos que se nos abre el dispositivo solo con lectura.

Guymayer

Ahora bien, para hacer la adquisición de un disco vamos a conectar el Guymayer y, una vez allí, veremos que nos aparecen todas las unidades que tengamos conectadas:

Adquisición de un disco con extensiones .dd o .xxx

Escogemos el disco virtual que hemos creado. Vemos que en este caso ocupa 2GB para que no quede muy pesado y cargue rápido.
Le damos botón derecho y Acquire Image:

Adquisición de un disco con extensiones .dd o .xxx

Una vez allí, tendremos dos opciones para hacer la adquisición de un disco. Una es el Expert Witness format, con extensión .Exxx; la otra es el Linux dd raw image, file extensión .dd o .xxx.

Este primer formato tiene una pequeña compresión para imágenes muy grandes.

Vamos a hacer la adquisición de un disco primero con el primer formato (aunque siempre es más recomendable el segundo):

Adquisición de un disco con extensiones .dd o .xxx

Hacemos clic en los tres puntos y elegiremos dónde queremos guardar la imagen.

El siguiente paso es ponerle un nombre a la imagen que vamos a crear. La idea es ponerle un nombre que sea fácil de recordar. En este caso le pondremos «Evidencia_01»:

Adquisición de un disco con extensiones .dd o .xxx

Ahora le pondremos el hash que queremos utilizar. Como consejo, nunca dejes el MD5 que por defecto marca, ya que este tiene colección. Si queremos que sea más rápido, lo que haremos es combinar el MD5 con SHA – 1.

Adquisición de un disco con extensiones .dd o .xxx

Dejamos marcada esta casilla si es pequeña la imagen que crearemos.

Adquisición de un disco con extensiones .dd o .xxx

Y listo, ya tenemos nuestra adquisición de un disco creada.

¿Cómo aprender más?

Ya hemos visto cómo hacer la adquisición de un disco con extensiones .dd o .xxx. Si quieres formarte para ser un gran profesional, en KeepCoding tenemos el mejor curso intensivo para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un especialista en muy pocos meses con la guía de profesores expertos y una gran variedad de conocimientos teóricos y prácticos. ¡Pide información ahora y transforma tu futuro!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado