Cloud Computing: CAINE y Guymager en forense digital

Computación en la nube: CAINE

Caine se puede ejecutar desde un pendrive USB en cualquier ordenador. Para ello, podemos utilizar la herramienta Rufus para inyectar el Sistema Operativo Caine en dicha memoria. Una vez volcada adecuadamente, podemos utilizarlo como Sistema Operativo en cualquier lugar, para por ejemplo, hacer una copia de seguridad del DD.

WARP Computer CAINE Computer Aided Investigative Environment The free utility Rufus (http://rufus.ie/) is a suitable tool to create a bootable USB key.

Rufus 3.0.1304 × Drive Properties Device Ubuntu 18.04 LTS amd64 (G:) [8GB] Boot selection ubuntu-18.04-desktop-amd64.iso > 0 SELECT Partition scheme MBR Target system BIOS or UEFI > v Show advanced drive properties Format Options Volume label Ubuntu 18.04 LTS amd64 File system FAT32 (Default) Cluster size 4096 bytes (Default) V v Show advanced format options Status READY START CLOSE 1 device found 00:00:22

1. Select the device from the first pull down menu. The device is the USB key onto which you will be installing CAINE.
2. Select the CAINE ISO by clicking on "SELECT" and navigating to the ISO image.
3. Partition scheme: MBR
4. Volume Label: CAINE
5. File system: FAT32 (Default)
6. Cluster size (4096 (Default) Once all the options are selected, the READY bar at the bottom will change from grey to green. Click on START to begin creating the bootable USB drive.

U Inated CAR & 22.64

Computación en la nube: Rufus

Rufus es una aplicación portable, libre y de código abierto para Microsoft Windows que se puede usar para formatear y crear unidades flash USB de arranque o Live USB.

Rufus 3.0.1304 × Propiedades de la unidad Dispositivo Ubuntu 17.10 amd64 (G:) [8GB] V Elección de arranque ubuntu-17.10.1-desktop-amd64.iso SELECCIONAR Opciones de imagen Instalación de Windows estandar V Esquema de partición. Sistema destino MBR v BIOS o UEFI V v Muestra propiedades avanzadas de la unidad Opciones de formateo Etiqueta de volumen Ubuntu 17.10 amd64 Sistema de archivos Tamaño del clúster FAT32 (Por defecto) V 4096 bytes (Por defecto) v Muestra opciones avanzadas de formato Estado PREPARADO 85 EMPEZAR CERRAR 1 dispositivo encontrado 00:00:07

Computación en la nube: Guymager

Guymager es una herramienta de código abierto utilizada principalmente para la adquisición forense de discos duros y otros medios de almacenamiento. Está diseñada para clonar dispositivos de manera rápida y segura, garantizando la integridad de los datos mediante técnicas de verificación y hashing.

GUYMAGER 0.8.13 (as superuser) x Devices Misc Help Rescan Serial nr. Linux device Model State Size Hidden areas Bad sectors Progress Average speed [MB/s] VB2-01700376 /dev/sr0 VBOX_CD-ROM )Idle 4.2GB unknown VBe3e041af-47aa85b9 /dev/sda VBOX_HARDDISK Idle 39,9GB unknown /dev/loop0 filesystem.squashfs Idle 4,1GB unknown 4 Linux dd raw image (file extension .dd or .xxx) Split image files Expert Witness Format, sub-format Guymager (file extension .Exx) Split size 2047 MiB ¥ Case number Evidence number Examiner Description Notes VBe3e041af-47aa85b9 Destination Image directory 1 Image filename (without extension) Info filename (without extension) ive Hash calculation / verification V Calculate MD5 Calculate SHA-1 Calculate SHA-256 Re-read source after acquisition for verification (takes twice as long) V Verify image after acquisition (takes twice as long) Cancel Duplicate image ... Start Acquire image of /dev/sda (as superuser) × File format Linux dd raw image (file extension .dd or .xxx) Split image files Expert Witness Format, sub-format Guymager (file extension .Exx) Split size 2047 MiB Case number Evidence number Examiner Description Notes VBe3e041af-47aa85b9 Destination Image directory 1 Image filename (without extension) Info filename (without extension) Hash calculation / verification Calculate MD5 Calculate SHA-1 Calculate SHA-256 Re-read source after acquisition for verification (takes twice as long) Verify image after acquisition (takes twice as long) Cancel Duplicate image ... Start 1 Acquire image of /dev/sda (as superuser) × File format Size Sector size Image file Info file Current speed Started 39.851. 512 Hash calculation Source verification Image verification Overall speed (all acquisitions)

Principales usos de Guymager

1. Adquisición forense de imágenes de disco: Permite crear copias bit a bit de discos duros, memorias USB y otros dispositivos de almacenamiento.
2. Verificación de integridad: Utiliza algoritmos de hashing (MD5, SHA-1, SHA-256) para garantizar que la imagen creada sea idéntica al original.
3. Clonado de discos: Puede copiar un disco directamente a otro sin alterar los datos.
4. Soporte para múltiples formatos de imagen: Como EWF (Expert Witness Format) y RAW (.dd).
5. Interfaz gráfica intuitiva: A diferencia de otras herramientas forenses, Guymager tiene una interfaz gráfica fácil de usar.

¿Quién utiliza Guymager?

1. Investigadores forenses digitales.
2. Peritos informáticos.
3. Administradores de sistemas que necesitan hacer copias exactas de discos.

Es una herramienta ideal para garantizar la adquisición de evidencia digital sin alteraciones.

¿Cómo hacer copias en Guymager?

Utilizando EWF (Expert Witness Format) y RAW (.dd), que son dos formatos utilizados en la adquisición forense de imágenes de discos, aunque tienen diferencias clave en cómo almacenan y manejan los datos.

¿Cuándo usar cada formato?

EWF: Ideal para análisis forense, ya que almacena metadatos, permite compresión y garantiza la integridad de los datos. RAW: Mejor cuando se necesita una copia exacta y rápida sin preocuparse por el tamaño del archivo o los metadatos.

Diferencias entre EWF (Expert Witness Format) y RAW (.dd)

Compresión: EWF: Sí, permite reducir el tamaño de la imagen. RAW: No, es una copia exacta sin compresión. Metadatos forenses: EWF: Sí, almacena información como hashes, fechas y notas. RAW: No, solo contiene los datos en bruto. Fragmentación: EWF: Sí, puede dividirse en varios archivos (.E01, .E02 ... ). RAW: No, genera un único archivo. Integridad: EWF: Incluye verificación con hashes (MD5, SHA1, SHA256). RAW: No tiene verificación integrada, los hashes deben calcularse aparte. Velocidad de escritura: EWF: Más lenta debido a la compresión y metadatos. RAW: Más rápida porque es una copia directa sin procesamiento adicional. Compatibilidad: EWF: Menos compatible, necesita herramientas como ewf-tools, FTK Imager, Autopsy, etc. RAW: Más compatible, puede abrirse con dd, FTK, Autopsy y otros programas.

Diferencias entre EWF y RAW: Tabla comparativa

Característica EWF (.E01, .Exx) RAW (.dd, .img) Compresión Sí (reduce tamaño de la imagen) X No (copia exacta sin compresión) Metadatos forenses Sí (almacena hash, fecha, notas, etc.) X No (solo datos en bruto) Fragmentación Sí (división en .E01, .E02, etc.) X No (archivo único) Integridad Incluye hashes (MD5, SHA1, SHA256) X No (se debe calcular aparte) Velocidad de escritura Más lenta (por compresión/metadatos) Más rápida (copia exacta) Compatibilidad Menos compatible (requiere software) Más compatible (carga en varios programas)

Computación en la nube: Alternativas

Alternativas a Caine y Guymager

Otra opción basada en Linux es Paladin, suite forense gratuita también gratuita basada en Ubuntu. Dentro de esta distro podemos encontrar Paladín Tool box Imager, que tiene un benchmark de lo mejor del mercado en tiempo de ejecución de imágenes para aplicaciones de software.

PALADIN PALADIN TOOLBOX × File Edit View Go i DEVICES Imager File System Image Type Imager Command Line 119 GB Volume Destination + E-2TB.4 4 Label ewfacquire uC "CF001-DFE HD1" E "CF001 DFE HD1" e "Digital Forensic Examiner" D "SSD 120 " -c fast -N none -f encase7 /dev/sda -$ 7.9EB -d sha1 -t /media/E-2TB.4/ CF001-DFE-HD1/CF001-DFE-HD1-1/media/E-2TB.4/CF001-DFE-HD1/CF001-DFE-HD1.log PLACES Unallocated paladin Additional Desktop Image Type Network Share Start Time : Jul-15-2020 14:04:14 medi net NETWORK Source Device Info Browse Network /dev/sda: ATA device, with non-removable media Model Number: KINGSTON SUV400537120G Task Logs Serial Number: 50026872680405E6 Firmware Revision: D 319689 DFE-HD1.log Jul-15-2020 14:46:46 Imager 1 completed successfully Jul-15-2020 14:46:46 Verification started for imager 1 Jul-15-2020 15:12:36 Imager1 verification completed successfully Sumuri LLC, USA SUMUTU Imager1 Logs + X Source Image Converter * SUMURI.COM Trash Destination End Time : Jul-15-2020 14:46:46 Label MAGERS NO STANDARD IMAGER NS INCLUDED TONALITY ED! Segment Size 2000 DNI for Mac OS X was designed to pito what a real export Mac ferenc iner would do d given works to on a cane. RECON for Mac OS x y minutes. Additionally, RECON for 08 X wmn designed to daconver parso artifacts commonly by oport cocminions ONI for Mac: 08 X is the only bodi to poi cally croate Achonicodi Ariach ine, rotantly mcover Kaychan words and tun on a live Mac! ste Included d Eftons Indudod) jes and Skype Vaut Drives SUMURI.COM MALARIALAasi + X Segment Size 2000 NUTES! Disk Manager Time I + Find

Computación en la nube: Forensics Analysis

Además de hacer una imagen forense en el menor tiempo posible, también es muy importante documentar exhaustiva y claramente todo el trabajo para fortalecer y sostener el mismo judicialmente.

1 0 0 0 0 0 010 O 0 0 0 0 0 0 1 0 0 1 0 0 0 0 1 1 0 1 0 0 1 0 1 0 1 1 0 D 0 0 0 0 1 0 1 0 0 1 0 0 0 110 1 0 0 0 1 1 1 10 0 1 0 0 0 1 1 10 1 0 0 D10 11 0 0 00 00 0 10 10 00 0 1 0 0 0