ciberseguridad
Kali Linux
e01
ewfacquire
forense
En el análisis forense digital, preservar la integridad de la evidencia es esencial. Por ello, la creación de una imagen forense en formato .E01 (Expert Witness Format) es una práctica estándar para clonar discos sin alterarlos. En este artículo aprenderás paso a paso cómo crear una imagen forense desde Kali Linux usando herramientas libres y siguiendo buenas prácticas.
sudo.E01libewf-tools (incluye ewfacquire)Conecta el disco sospechoso y abre una terminal y ejecuta:
1sudo fdisk -l
ewfacquireewfacquire es una herramienta de línea de comandos que forma parte del paquete libewf-tools. Su función es crear una imagen forense en formato .E01 (Expert Witness Format), ampliamente utilizado en investigaciones digitales por su capacidad para permitir la incluisión de metadatos, calcular hashes, comprimir datos y es ampliamente aceptado en el ámbito forense.
1sudo apt update 2sudo apt install libewf-tools -y
Ejecuta el siguiente comando, reemplazando /dev/sdb con el nombre correcto del disco:
1sudo ewfacquire /dev/sdb
caso-001evidencia-01Disco duro extraído de laptop sospechosa/home/kali/evidencia001.E01La herramienta calculará automáticamente los hashes MD5 y SHA1.
Cuando realizas una copia forense, es vital asegurarte de que sea una copia exacta, bit a bit del disco original. Para verificar esto, usamos funciones hash como MD5 y SHA1. Un hash es como una huella digital de un archivo. Es una cadena de caracteres generada por una fórmula matemática. Si algo cambia en los datos originales (aunque sea un solo bit), el hash resultante cambia completamente.
Ejemplo, supongamos que el hash MD5 de un disco original es:
19e107d9d372bb6826bd81d3542a419d6
Y el hash de la imagen generada también es:
19e107d9d372bb6826bd81d3542a419d6
Esto significa que la copia es exacta. La imagen es válida y no ha sido alterada. Pero si los hashes no coinciden, algo falló.La imagen no es confiable como evidencia. ewfacquire calcula estos hashes automáticamente antes y después de copiar el disco para garantizar la integridad de la imagen.
Ahora que queda claro el tema de los hashes, continuamos con el ultimo paso.
Puedes verificar la imagen generada así:
1sudo ewfverify /home/kali/evidencia001.E01
Si el resultado es exitoso, tu imagen está lista para ser usada en un análisis forense.
Una vez creada y verificada la imagen, es posible que desees explorar su contenido sin modificarlo. Para ello, es necesario montar la imagen. Montar una imagen significa hacer visible su contenido en una carpeta del sistema, como si hubieras conectado físicamente el disco original. Es decir, la imagen .E01 se comporta como un disco real que puedes explorar.
Esto es especialmente útil en análisis forense, ya que te permite navegar entre archivos, copiar evidencia y examinar estructuras sin alterar la imagen original.
Para montar la imagen crea un directorio, montala la imagen como tal y luego navega sobre ella.
1sudo mkdir /mnt/evidencia #crea un directorio 2sudo ewfmount /home/kali/evidencia001.E01 /mnt/evidencia #este comando monta la imagen 3cd /mnt/evidencia/ewf1 #navega en el directorio creado 4ls
Para desmontar:
1sudo umount /mnt/evidencia
Recuerda que es recomendable no trabajar directamente sobre el disco original, además es importante que documentes el proceso (fechas, hashes, nombres) y que debes usar bloqueador de escritura si es posible.
Crear una imagen forense no es complicado, pero requiere atención a los detalles y hacerlo en Kali Linux que proporciona herramientas potentes y gratuitas para adquirir imágenes forenses de forma segura con herramientas como ewfacquire, manteniendo la integridad y confiabilidad de la evidencia digital, es un plus.