Adquisición de imágenes de disco

🧱 Fundamento técnico

La adquisición de imágenes de disco busca capturar una copia bit a bit (sector por sector) de un medio de almacenamiento persistente, sin alterar su contenido original y manteniendo cadena de custodia.

📦 Tipos de almacenamiento no volátil

  • Tipo - Ejemplos - Consideraciones técnicas
  • HDD - SATA, IDE, SCSI - Suceptibles a errores físicos. Soportan adquisición sectorial.
  • SSD - NVMe, M.2, SATA - Cuidado con TRIM (borra bloques libres de forma automática).
  • Memoria flash - USB, tarjetas SD, microSD - Puede haber wear-leveling: bloques lógicos ≠ bloques físicos.
  • Firmware / UEFI - BIOS/UEFI dumps, chip ROM - Necesaria interfaz JTAG o SPI.
  • Medios ópticos - CD, DVD, Blu-ray - Usa ISO o formato bin/cue para preservar estructura.
  • Móviles - NAND interna, SD, chips integrados - Requiere técnicas especializadas (JTAG, chip-off, logical dump).

⚙️ Tipos de adquisición según el estado del dispositivo

Método Ventajas Riesgos / Limitaciones
Adquisición en vivo - Captura RAM activa
- Posible acceso a datos cifrados - Contamina el sistema
- Riesgo legal
- Puede alertar al atacante
Apagado controlado - Preserva la estructura
- Menor volatilidad - Malware con shutdown triggers puede activarse
Desconexión abrupta (hard off) - Evita ejecución
- Minimiza actividad del malware - Puede dañar el sistema de archivos
- Inaceptable en entornos críticos

📝 Siempre documentar:

  • Hora exacta de acciones

  • Métodos usados

  • Personal involucrado

  • Número de serie del dispositivo y del disco

  • Estado físico (fotos) del dispositivo

🔒 Consideraciones Críticas

1. Cifrado de disco (BitLocker, FileVault, VeraCrypt, LUKS)

  • Si está activo:

    • Captura RAM primero: claves pueden estar en memoria

    • No apagar el sistema: perderías la clave si no está almacenada

    • Usa herramientas como Elcomsoft Forensic Disk Decryptor, Magnet RAM Capture, Volatility.

2. SSD con TRIM habilitado

  • TRIM borra bloques de disco considerados "vacíos".

  • En discos SSD modernos:

    • Adquisición forense puede omitir bloques que ya fueron limpiados por el firmware.

    • Herramientas como FTK Imager o X-Ways intentan omitir zonas TRIMeadas.

3. Dispositivos móviles (Android/iOS)

  • Logical acquisition: extrae archivos del sistema de usuario (requiere acceso o root/jailbreak)

  • Physical acquisition: chip-off o JTAG → solo con autorización legal, extremadamente técnico

🛠 Herramientas recomendadas

  • Herramienta - Descripción
  • dd / dcfldd - Bajo Linux. Básico pero potente. Requiere cuidado manual.
  • FTK Imager - GUI completa, genera hashes y gestiona múltiples formatos.
  • X-Ways Forensics - Adquisición + análisis avanzado + imágenes RAW / E01 / AFF.
  • Magnet Acquire - Profesional, compatible con RAM, discos, USB, móviles.
  • Guymager - Linux GUI. Rápido y ligero, ideal para entornos offline.
  • Paladin (Linux LiveCD) - Ideal para entorno de adquisición forense de campo.
  • Autopsy + Sleuth Kit - Análisis posterior sobre imagen adquirida.

📐 Formatos de imagen forense

Formato Descripción
.dd Raw image (bit a bit) – sin compresión ni metadatos extra.
.E01 EnCase image – incluye metadatos, hash, compresión. Muy usado judicialmente.
.AFF Advanced Forensics Format – moderno, flexible, con firmas digitales.

🔗 Cadena de custodia

Cada adquisición debe ser reproducible, verificable y trazable. Requiere:

  • Hashes SHA256 (antes y después)

  • Documentación escrita + fotos de cada paso

  • Firma digital de bitácora

  • Registro de dispositivos usados (PC, OS, versión de herramientas)

  • Copias WORM (Write Once Read Many) o cifrado GPG y almacenamiento seguro

🎯 Protocolo rápido de adquisición forense

# 1. Identificar disco lsblk
#2. Montar disco de destino en solo lectura mount -o ro /dev/sdX /mnt/forensics
# 3. Adquirir imagen dcfldd if=/dev/sda of=/mnt/forensics/disco.img hash=sha256 hashlog=/mnt/forensics/hash.txt
# 4. Verificar integridad sha256sum /mnt/forensics/disco.img > /mnt/forensics/verify.txt
# 5. Documentar todo en formato PDF + fotos


📌 Buenas prácticas finales

  • Nunca conectes un disco sospechoso a tu SO principal.

  • Usa write-blockers físicos o virtuales.

  • Si dudas del cifrado: haz RAM dump primero.

  • No ejecutes comandos sobre el disco original.

Curiosidades Avanzadas sobre la Adquisición de Imágenes de Disco

1. 🧨 Técnicas anti-forenses modernas

Los atacantes avanzados no solo borran archivos, sino que intentan inutilizar la evidencia digital deliberadamente:

  • Técnica - Qué hace
  • Wiper malware - (ej: WhisperGate) Sobrescribe sectores del disco con ceros o datos basura
  • Secure erase en SSD - Llama al firmware para realizar un wipe físico de la NAND
  • LoJax / UEFI rootkits - Esconden malware en el firmware UEFI que sobrevive formateos
  • Volatile-only malware - Solo viven en RAM → si apagas, se pierde todo
  • Data fragmentation - Divide datos clave en múltiples archivos de apariencia inocente
  • Timestamp tampering - Cambia fechas de creación/modificación para despistar cronologías
  • Slack space encoding - Oculta datos en espacio libre no asignado por el sistema operativo
  • Alternate Data Streams (ADS) - En NTFS: ocultan archivos en flujos alternos invisibles para el explorador


2. 🛑 Errores comunes que invalidan pruebas

  • Montar el disco en modo lectura-escritura → cambia automáticamente metadatos (último acceso).

  • Usar herramientas sin write-blocker físico o lógico.

  • No capturar RAM cuando el disco está cifrado.

  • Desconectar el cable SATA mientras el sistema sigue encendido → corrompe el sistema de archivos.

  • Usar dd sin especificar bloque de lectura grande → procesos eternos y riesgos de corrupción:

    bashCopiardd if=/dev/sda of=disco.img bs=64K conv=noerror,sync


3. 🧠 SSD y el "borrado fantasma" (TRIM)

  • Aunque clones el SSD, los bloques TRIMeados (marcados como "vacíos") no se copian.

  • Resultado: la imagen clonada puede carecer de evidencia crítica que sí estaba presente horas antes.

  • Herramientas como Magnet Acquire o X-Ways tienen módulos específicos para SSD y mapean zonas TRIM.


4. 🧬 Firmware forense no confiable

  • Algunos discos SSD, especialmente en portátiles de gama baja, mienten al sistema operativo:

    • Ejemplo real: dispositivos que reportan espacio limpio pero en realidad mantienen los bloques.

    • Esto permite que atacantes utilicen el espacio "fantasma" para guardar payloads.

  • Solo se detecta con herramientas que acceden a nivel ATA/NVMe, como hdparm y fwupdate-tools.


5. 🕵️ Bypass de cifrado temporal (RAM)

  • Algunos malware y atacantes cifran su contenido en el disco, pero operan en RAM.

  • Al capturar RAM antes de apagar el sistema, puedes obtener:

    • Claves de cifrado

    • Carga útil descifrada

    • Comandos ejecutados en shell

    • Páginas de navegador con credenciales

  • Herramientas: volatility, rekall, Belkasoft RAM Capturer, Magnet RAM Capture.


6. 🧬 Ataques con auto-destrucción digital

  • Caso real (APT29 / Cozy Bear): malware con detección de depuración o forense → se elimina a sí mismo y borra logs.

  • Algunos rootkits y bootkits modernos verifican si hay actividad forense y responden:

    • Borrando la MFT (Master File Table)

    • Iniciando bucle de sobreescritura

    • Enviando una señal de auto-borrado remoto (kill switch)

7. 📀 Imágenes parciales y firmas corruptas

  • Un disco puede tener sectores defectuosos o metadatos dañados.

  • A veces, ni siquiera se puede montar la imagen.

  • Solución: adquirir a nivel físico con error skipping, usando:

    bashCopiarddrescue /dev/sda disco.img disco.log

    • El archivo .log permite reintentar sectores dañados más tarde.

    • dc3dd también permite estas opciones con más granularidad.

8. 👀 Steganografía en particiones ocultas

  • Algunos atacantes usan software como TrueCrypt/VeraCrypt para crear:

    • Particiones cifradas dentro de otras particiones

    • Volúmenes "ocultos" con negación plausible

  • No aparecen a simple vista ni con fdisk, mount, lsblk.

  • Requiere escaneo de firma binaria en sectores del disco para detectar estructuras escondidas.

9. 🔐 Caso especial: discos cifrados por ransomware

  • Si el disco fue cifrado por ransomware:

    • NO INTENTES DESENCRIPTAR sin clonar primero.

    • Usa herramientas como Emsisoft Decryptor, pero solo en copia forense.

    • Algunos ransomware borran el descifrador si detectan manipulación.

10. 🔥 Documentación forense defectuosa = caso perdido

Un caso se ha perdido en juicio por:

  • No registrar la hora exacta de la adquisición.

  • Hashes que no coinciden.

  • Falta de firma del técnico o testigo.

  • Vídeo ausente de la adquisición.

  • Cadena de custodia interrumpida.

Curiosidades Forenses Nivel Avanzado – Adquisición de Disco

Vamos a sumergirnos en curiosidades forenses altamente avanzadas relacionadas con la adquisición de imágenes de disco, enfocadas en lo que solo profesionales élite (equipos de respuesta a incidentes, forenses judiciales y cazarrecompensas digitales) saben y utilizan. Estas técnicas se sitúan en el límite entre la ingeniería inversa, la defensa nacional y la ciberinteligencia.


1. 🧠 Análisis de metadatos residuales en NAND (borrado no fiable en SSD)

  • Algunos SSD no borran físicamente las celdas marcadas para eliminación inmediata.

  • Aunque el sistema operativo lo crea "borrado", es recuperable mediante técnicas de microscopía electrónica o firmware hijacking.

  • Ataques conocidos: Cold Boot Re-imaging, TRRespass, Rowhammer for NAND.

  • Herramientas experimentales: Scalpel con extensiones NAND-aware, módulos avanzados de X-Ways Forensics.

2. ⛓️ Firmware-based rootkits que engañan al proceso de adquisición

  • Algunos rootkits residen en firmware del disco (ATA/NVMe) y responden con contenido falso cuando detectan una adquisición:

    • Te devuelven una "imagen limpia" si ejecutas dd o FTK Imager.

    • Pero si el sistema se enciende normalmente, ejecutan el payload.

  • Ejemplo real: GrayFish de Equation Group (revelado por Kaspersky).

  • Única defensa: acceso directo por JTAG o puertos de depuración del controlador.

3. 🔒 Secure Enclave & TEE forensics (ARM, Apple, Android)

  • Los dispositivos modernos usan entornos de ejecución seguros (Trusted Execution Environment, como ARM TrustZone o Apple Secure Enclave) que:

    • Cifran automáticamente los discos con claves efímeras.

    • Impiden que una imagen física revele contenido sin acceso al enclave.

  • Implicación: ni siquiera una adquisición completa del disco servirá sin la clave activa del enclave.

  • Técnicas posibles:

    • Ataques DMA durante la ejecución.

    • Volcado del TEE mediante vulnerabilidades kernel (ej: checkm8, exploit CVE-2021-26341).

4. 🧬 Ghost Partitions y volúmenes dobles

  • Algunos criminales avanzados usan volúmenes falsos que muestran contenido inofensivo.

  • El verdadero volumen está oculto con técnicas como:

    • Volúmenes escondidos VeraCrypt con negación plausible.

    • Estructuras GPT corruptas para ocultar particiones.

    • Escritura directa en sectores ocultos del disco sin sistema de archivos.

  • Detección: escaneo binario del disco en busca de encabezados de partición (MBR/GPT) o firmas mágicas (ex: 50 4B 03 04 para ZIP).

5. 🐍 Rootkits con firma forense falsa (manipulación de hash)

  • Rootkits avanzados como Tardigrade alteran dinámicamente los archivos en disco y modifican su hash en tiempo real.

  • Resultado: cuando el forense calcula el hash SHA256, devuelve el hash "oficial" limpio, pero el contenido es malware.

  • Solo detectable con lectura física directa del controlador o uso de RAM snapshots para comparación de hash dinámico.

6. 🛸 Evidencia forense en artefactos ocultos (embedded systems)

  • Algunos entornos de crimen organizado digital utilizan:

    • Enrutadores hackeados con OpenWRT para almacenar archivos en caché

    • Discos duros externos con doble firmware

    • Modificaciones físicas a USBs que cambian de VID/PID para ocultarse como teclado/mouse

  • El forense debe revisar:

    • Conexiones en red sospechosas durante la adquisición.

    • Identificación de dispositivos ocultos mediante herramientas como usbguard, udevadm, usb-devices.

7. 🧬 Análisis de errores CRC como canal de covert data

  • Algunos rootkits altamente sofisticados ocultan comandos en errores de CRC deliberadamente fabricados.

  • Estas señales pueden pasar desapercibidas en logs normales, pero son visibles si:

    • Se analiza el tráfico SATA o NVMe a nivel físico.

    • Se capturan patrones anómalos en secuencias de bloques con herramientas como Bus Pirate, Logic Pro 8, o incluso osciloscopios digitales.

8. 🕯️ Shadow data en la zona HPA/DCO del disco

  • Muchos discos duros poseen áreas ocultas por hardware llamadas:

    • Host Protected Area (HPA)

    • Device Configuration Overlay (DCO)

  • Estas zonas no son accesibles por el SO o por dd.

  • Comando para revelar HPA:

    hdparm -N /dev/sda

    • Si el número es menor al tamaño real del disco → hay HPA activo.

  • Comando para desactivar temporalmente:

    hdparm -N pXXXXXXXX /dev/sda

    Requiere precaución: puede romper discos si se hace mal.

9. 🧠 Time-stamping forense inteligente (firmado y encadenado)

  • Los investigadores de élite están comenzando a usar técnicas de blockchain forensics:

    • Cada hash de adquisición se encadena al anterior y se sella criptográficamente.

    • Se sube a blockchains públicas (como Ethereum o Arweave) para asegurar integridad intocable.

    • Esto se usa en investigaciones corporativas o de inteligencia nacional.

10. 🧬 Forense predictivo con IA generativa (fase experimental)

  • Se están entrenando modelos de lenguaje (LLMs) en logs forenses, cadenas de eventos y estructuras de disco para:

    • Predecir rutas de evasión futuras.

    • Encontrar relaciones ocultas entre archivos aparentemente no conectados.

    • Sugerir hipótesis de backdoors no documentados.

  • Herramientas emergentes: CyberGenesis, Velociraptor AI modules, OpenCTI + GPT plugins.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar