Jun 18

Imágenes de disco para RAID 0 o 5

Tag: Informática LegalJoaquim Anguas @ 11:24 am

Una de las actividades más comunes en informática forense es capturar el estado de un sistema informático para su posterior análisis. Para ello se utilizan herramientas de copia que:

  • No modifican el estado del disco origen.
  • Hacen una copia exacta del mismo, copiando también el espacio marcado como borrado, etc.

Aunque no es una herramienta certificada, es muy común el uso del comando Unix dcfldd, evolución de dd. Usar software abierto tiene sus ventajas e inconvenientes: se puede auditar su código y ver que no tiene errores, pero si la parte contraria encuentra un error, la prueba practicada estará comprometida. Sad but true, con soft propietario no existe esa posibilidad. Tampoco es una herramienta para aquellos que no se encuentren cómodos en la línea de comandos. Cambia una «i» por una «o» puedes destruir la prueba original, lo que te puede llevar a una situación muy, muy desagradable.

Normalmente se ejecuta desde un LiveCD, siendo F.I.R.E. o HELIX distribuciones especialmente pensadas para este tipo de actuaciones.

Podéis encontrar una excelente guía al respecto aquí.

Pero, ¿y si te encuentras con una configuración de discos en RAID 0 o 5?

Recientemente he probado una herramienta Windows que reconstruye volúmenes RAID 0 o 5 a partir de imágenes de los discos que los componen. Se llama Raid Reconstructor y la podéis encontrar aquí. Realiza un análisis de entropía para determinar el tamaño de las slides y demás parámetros en el caso muy probable de que no los conozcáis a priori. Como salida proporciona una imagen del volumen como un solo disco sobre el que después se puede iniciar el análisis necesario.

One Response to “Imágenes de disco para RAID 0 o 5”

  1. Blog de informatica says:

    pues para mi que en la mayoria de los casos es mejor utilizar open source