Hola lectores,
Uno de los problemas que nos encontramos a la hora de realizar un
análisis forense en la obtención o adquisición de discos y archivos, es
encontrarnos con ficheros bloqueados o abiertos por una aplicación o
dependiendo del caso por el propio sistema operativo.
Las soluciones son sencillas cuando hay que hacer un clonado y podemos
apagar el dispositivo a copiar, pero no lo es tanto cuando el equipo
debe de estar encendido. Por ejemplo en Windows un motivo fundamental
para la realización de un buen análisis consiste en la obtención de
ficheros HIVE y los registros de ‘log’ del sistema.
Ambos proporcionan datos muy valiosos y pueden esclarecer tanto lo que
hizo un usuario y que ocurrió en el sistema. El problema radica cuando
se copian, dado que al ser ficheros utilizados por el sistema este los
bloquea.
Bloqueo en la copia de NTUSER.DAT
UTILIDADES AL RESCATE
Para la adquisición de estos ficheros en un sistema ‘vivo’ existen varias herramientas que recomiendo encarecidamente.
Hemos hablado mucho y muy bien en anteriores post sobre ella. Esta
utilidad permite recuperar (entre otras cosas) cualquier fichero del
sistema, incluido la $MFT, $JOURNAL, NTUSER.DAT, etc.
Es una utilidad muy útil para equipos individuales pero se convierte en
tediosa cuando tenemos que automatizar procesos en múltiples ficheros o
diferentes unidades de disco.
Ofrece un enfoque más sencillo y más seguro. Se trata de una herramienta
basada en la consola. Es de código abierto y copia archivos NTFS
mediante el acceso a disco en bajo nivel, por encima de todas las
restricciones habituales. Si el archivo está bloqueado por una
aplicación y Windows no tiene los permisos necesarios, no hay problema:
RawCopy lo copiará independientemente.
Lo importante de utilizar esta herramienta es no equivocarse con la
sintaxis exacta. El parámetro de origen debe incluir una ruta completa
(no relativa), el destino no puede incluir un nombre de archivo, debe
ser sólo una ruta y como de costumbre con programas de la consola, si
los parámetros de origen o de destino contiene espacios, entonces hay
que poner comillas.
Por último y no por ello la más importante tenemos a HDD Raw Copy Tool.
Esta herramienta crea una copia sector por sector de todas las áreas del
disco duro (MBR, registros de arranque, todas las particiones, así como
espacios intermedios) sin preocuparse del sistema operativo ni
particiones (incluyendo las ocultas).
Además, HDD Raw Copy puede crear una copia exacta (dd) o imagen comprimida de la totalidad de los dispositivos de disco.
Entre sus usos se puede encontrar:
- Recuperación de datos: permite realizar una copia de la unidad dañada e intentar la recuperación con la copia.
- Recuperación de datos: permite copiar un disco duro dañado y omitir los sectores defectuosos.
- Migración: migrar completamente de un disco duro a otro.
- Copia de seguridad final: Hacer una copia exacta del disco duro para usos futuros.
- Copia de seguridad: crear una imagen de un USB y copiar / restaurar en cualquier momento.
- Duplicar / Clonar / Guardar imagen completa de todo tipo en cualquier dispositivo.
Todas estas utilidades mencionadas son muy útiles de emplear y muy recomendables.
Fuente: http://conexioninversa.blogspot.com/2014/01/adquisicion-de-ficheros-bloqueados.html
Entradas
No hay comentarios:
Publicar un comentario