Guía de Procedimiento - Adquisición de Evidencias (Cold Clone)
Descripción General
Paso 1: Configuración de la Máquina Virtual
Descarga el archivo proporcionado y configura el segundo disco en el programa de virtualización.
Instrucciones Detalladas
Añade el disco descargado con la opción “add” y arranca la máquina con un live ISO de Kali Linux. Selecciona la opción “forensic” para evitar contaminación del disco.
Configuración inicial del disco
Selección de disco virtual
Configuración completada
Arranque en modo forense
Paso 2: Verificación de Discos
En Kali Linux, usa el siguiente comando para listar los discos disponibles:
1
fdisk -l
Instrucciones Detalladas
Verifica que puedes ver el disco de evidencia y el disco contenedor. Asegúrate de que hay espacio suficiente en el disco contenedor.
Resultado del comando fdisk -l
Paso 3: Cálculo del Hash de la Evidencia
Antes de empezar con el clonado o la creación de una imagen, calcula el hash del disco de evidencia:
1
sha512sum /dev/sdX # Reemplaza /dev/sdX con el dispositivo adecuado
Hash calculado de la evidencia original
Paso 4: Clonado del Disco
Ejecuta el comando de clonado:
1
dd if=/dev/sdX of=/dev/sdY bs=4M
Verifica el hash del disco clonado:
1
sha512sum /dev/sdY
Proceso de clonado en ejecución
Verificación del hash del clonado
Paso 5: Creación de Imagen del Disco
Crea una imagen del disco de evidencia:
1
dd if=/dev/sdX of=/ruta/a/imagen.img bs=4M
Verifica el hash de la imagen:
1
sha512sum /ruta/a/imagen.img
Inicio del proceso de imagen
Progreso de la imagen
Verificación de la imagen
Comprobación final
Proceso completado