Adquisicion de Imagen Forense de Disco: dd, dc3dd, FTK Imager y Formato E01

Por que la imagen forense es la primera prioridad

La adquisicion forense es el acto de crear una copia exacta, bit a bit, de un dispositivo de almacenamiento. No es una copia de archivos. No es un backup. Es una replica del disco completo: sistema de archivos, espacio no asignado, sectores defectuosos, particiones ocultas y cualquier dato residual que exista en el medio.

Sin una imagen forense verificada, no hay analisis forense. Todo lo que haces despues (timeline analysis, recuperacion de archivos borrados, analisis de artefactos) se realiza sobre esta imagen. Si la imagen es incorrecta o incompleta, todo el analisis posterior hereda ese error.

Este articulo cubre el proceso completo: la preparacion del entorno, los write blockers, las tres herramientas principales (dd, dc3dd, FTK Imager), los formatos de imagen, y la verificacion de integridad.

Write blockers: proteger el original

Que es un write blocker

Un write blocker es un dispositivo (hardware) o una configuracion (software) que permite leer un disco de almacenamiento pero impide cualquier escritura sobre el. Su funcion es proteger la integridad del disco original durante la adquisicion.

Sin write blocker, conectar un disco a una estacion de trabajo puede modificarlo. Windows actualiza automaticamente timestamps de archivos, monta volumenes y puede ejecutar indexacion. Linux es mas conservador pero puede modificar el journal del sistema de archivos al montar.

Write blockers hardware

Los write blockers hardware se interponen fisicamente entre el disco y la estacion forense. Son dispositivos independientes del sistema operativo, lo que los hace mas confiables desde la perspectiva legal.

Fabricantes principales: Tableau (ahora OpenText) con modelos para SATA, IDE, SAS, USB y NVMe. WiebeTech (CRU) con la serie UltraDock. MediaClone con la serie SuperImager que combina write blocker con capacidad de clonado.

El funcionamiento es simple: conectas el disco al write blocker por un lado y la estacion forense por el otro. El write blocker intercepta todos los comandos de escritura y los bloquea, permitiendo solo operaciones de lectura.

Write blockers software

En Linux, montar un dispositivo con la opcion ro (read-only) proporciona proteccion basica. Sin embargo, hay una diferencia critica: el kernel puede modificar el dispositivo antes de que se aplique la opcion de montaje. Para evitar esto, se configura el subsistema de bloques para rechazar escrituras a nivel de dispositivo.

# Proteccion a nivel de dispositivo en Linux
# Activar write protection antes de montar
blockdev --setro /dev/sdb

# Verificar que esta en modo solo lectura
blockdev --getro /dev/sdb
# Salida: 1 (protegido)

# Ahora es seguro montar o adquirir
mount -o ro,noexec,noatime /dev/sdb1 /mnt/evidencia

# Al terminar, desactivar la proteccion
blockdev --setrw /dev/sdb

Los write blockers software son aceptables en entornos de practica y en situaciones donde no hay hardware disponible. En contexto legal, los write blockers hardware son preferidos porque su funcionamiento es independiente del sistema operativo y mas facil de demostrar ante un tribunal.

Adquisicion con dd

El comando basico

dd (data duplicator) es la herramienta de adquisicion mas basica y universal. Viene incluida en practicamente todos los sistemas Unix y Linux. Copia bloques de datos de una fuente (if, input file) a un destino (of, output file).

# Adquisicion basica con dd
dd if=/dev/sdb of=/caso/evidencia/disco01.raw bs=4096 conv=noerror,sync status=progress

Parametros clave:

if (input file): dispositivo fuente. En Linux, los discos son /dev/sda, /dev/sdb, etc.

of (output file): ruta de destino para la imagen. Usar un disco o particion diferente al original.

bs (block size): tamano del bloque de lectura/escritura. 4096 bytes (4K) es un buen equilibrio entre velocidad y granularidad. Valores mas grandes (64K, 1M) aumentan la velocidad pero pueden perder datos si hay sectores defectuosos.

conv=noerror,sync: noerror indica a dd que continue si encuentra errores de lectura (sectores defectuosos). sync rellena los bloques con errores con ceros para mantener la alineacion de la imagen.

status=progress: muestra el progreso durante la adquisicion.

Limitaciones de dd

dd es simple y universal, pero tiene limitaciones significativas para uso forense:

No calcula hashes de verificacion. Hay que ejecutar sha256sum por separado antes y despues de la adquisicion, lo que anade tiempo y riesgo de error humano.

No genera logs automaticos. El analista debe documentar manualmente los parametros usados, la fecha y hora, y los resultados.

No soporta compresion ni metadatos. La imagen raw ocupa exactamente el mismo espacio que el disco original. Un disco de 1 TB genera una imagen de 1 TB.

No maneja bien los errores de lectura. La opcion conv=noerror,sync funciona, pero dd no registra que sectores fallaron ni cuantos errores hubo.

Adquisicion con dc3dd

Mejoras sobre dd

dc3dd es una version mejorada de dd desarrollada por el Department of Defense Cyber Crime Center (DC3) de Estados Unidos. Mantiene la sintaxis de dd pero anade funcionalidades forenses criticas:

Hashing integrado durante la adquisicion (MD5, SHA-1, SHA-256, SHA-512). El hash se calcula on-the-fly, sin necesidad de un segundo paso.

Registro detallado de errores. Cada sector con error de lectura se registra con su offset exacto.

Verificacion automatica. dc3dd puede verificar la imagen contra el original inmediatamente despues de la adquisicion.

Split de imagen. Permite dividir la imagen en multiples archivos de tamano fijo, util para medios de almacenamiento con limitaciones de tamano de archivo (FAT32).

# Adquisicion con dc3dd y hashing integrado
dc3dd if=/dev/sdb of=/caso/evidencia/disco01.raw \
  hash=sha256 \
  log=/caso/logs/adquisicion_disco01.log \
  hlog=/caso/logs/hash_disco01.log \
  rec=on \
  progress=on

# Adquisicion con split en fragmentos de 2 GB
dc3dd if=/dev/sdb ofs=/caso/evidencia/disco01.raw.000 \
  ofsz=2G \
  hash=sha256 \
  log=/caso/logs/adquisicion.log

Salida de dc3dd

dc3dd genera un log que incluye: fecha y hora de inicio y fin, tamano del dispositivo fuente, bytes copiados, sectores con error (si los hay), y hash final calculado. Este log, combinado con el formulario de cadena de custodia, proporciona documentacion completa de la adquisicion.

Adquisicion con FTK Imager

La herramienta estandar en Windows

FTK Imager (AccessData, ahora Exterro) es la herramienta de adquisicion gratuita mas utilizada en entornos Windows. Ofrece una interfaz grafica intuitiva, soporte para multiples formatos de imagen, y funcionalidad de preview que permite examinar el contenido del disco antes de la adquisicion.

Las capacidades principales incluyen: adquisicion en formato raw (dd), E01 (EnCase), AFF y SMART. Hashing automatico con MD5 y SHA-1 (SHA-256 disponible). Vista previa del sistema de archivos sin modificar el disco. Exportacion de archivos individuales. Captura de memoria RAM.

Proceso de adquisicion en FTK Imager

El proceso en FTK Imager sigue estos pasos:

1. Conectar el disco al write blocker hardware.
2. Abrir FTK Imager y seleccionar File, Create Disk Image.
3. Seleccionar el tipo de fuente: Physical Drive (disco completo) o Logical Drive (particion).
4. Seleccionar el disco fuente de la lista.
5. Elegir el formato de destino (E01 recomendado para casos legales).
6. Rellenar los metadatos del caso: numero de caso, numero de evidencia, descripcion, analista.
7. Seleccionar la ruta de destino y el tamano de fragmento (si aplica).
8. Iniciar la adquisicion y esperar.
9. Verificar los hashes al finalizar.

FTK Imager genera un resumen de la adquisicion que incluye hashes MD5 y SHA-1 del disco original y de la imagen, junto con los metadatos del caso. Este resumen se incluye en la documentacion de cadena de custodia.

Formato E01 (EnCase Evidence File)

Estructura del formato

El formato E01 fue creado por Guidance Software (ahora OpenText) para su herramienta EnCase. Se ha convertido en un estandar de facto en la industria forense por sus ventajas sobre las imagenes raw.

La imagen E01 se organiza en segmentos (chunks) de tamano configurable. Cada segmento contiene: datos comprimidos del disco (zlib), un hash CRC-32 del segmento para verificar integridad, y metadatos del segmento.

El archivo E01 tambien almacena metadatos del caso en una cabecera: numero de caso, numero de evidencia, nombre del analista, fecha de adquisicion, descripcion del medio original, y hashes MD5 y SHA-1 del disco completo.

Ventajas de E01

Compresion. Los datos se comprimen con zlib, reduciendo el tamano de la imagen entre un 30% y un 60% dependiendo del contenido. Un disco de 1 TB con mucho espacio vacio puede generar una imagen E01 de 300-400 GB.

Verificacion granular. Cada segmento tiene su propio hash CRC-32. Si un segmento se corrompe (error de almacenamiento, error de transferencia), se puede detectar exactamente que porcion de la imagen esta afectada sin recalcular el hash de toda la imagen.

Metadatos integrados. La informacion del caso viaja con la imagen. No dependes de archivos externos que pueden perderse o separarse de la evidencia.

Fragmentacion. La imagen se puede dividir en multiples archivos (.E01, .E02, .E03...) de tamano configurable. Util para almacenamiento en medios con limitaciones de tamano o para transferir por red.

Desventajas de E01

El formato es propietario, aunque bien documentado y soportado por la mayoria de herramientas forenses (Autopsy, FTK, X-Ways, Sleuth Kit con libewf).

La compresion anade tiempo de adquisicion (10-20% mas que raw). El acceso aleatorio a un sector especifico requiere descomprimir el segmento correspondiente, lo que puede ser mas lento que en una imagen raw.

Alternativas a E01

AFF (Advanced Forensic Format). Formato open source con compresion, metadatos y soporte para firmas digitales. Menos adopcion que E01 pero sin restricciones de licencia.

AFF4. Evolucion de AFF basada en contenedores ZIP con soporte para multiples tipos de evidencia (disco, memoria, trafico de red) en un solo contenedor.

EWF (Expert Witness Format). Nombre tecnico del formato E01. Libewf es la implementacion open source que permite crear y leer imagenes E01 sin software propietario.

Verificacion de la imagen

Verificacion inmediata

Inmediatamente despues de la adquisicion, el hash de la imagen debe coincidir con el hash del disco original. Este es el momento mas critico de verificacion.

# Verificacion con sha256sum
sha256sum /dev/sdb > /caso/logs/hash_original.txt
sha256sum /caso/evidencia/disco01.raw > /caso/logs/hash_imagen.txt

# Comparar
diff /caso/logs/hash_original.txt /caso/logs/hash_imagen.txt

Si dc3dd o FTK Imager se usaron para la adquisicion, la verificacion se realiza automaticamente y queda registrada en los logs de la herramienta.

Verificacion periodica

La imagen se verifica periodicamente durante su almacenamiento, especialmente antes de cada acceso para analisis. Si el hash cambia, la imagen ha sido modificada o corrompida y no es fiable para el analisis.

Creacion de copia de trabajo

El analisis nunca se realiza sobre la imagen original de adquisicion. Se crea una copia de trabajo (working copy) de la imagen y se verifica su hash contra la imagen original. El analisis se realiza sobre la copia de trabajo. Si la copia se corrompe durante el analisis, se crea una nueva copia desde la imagen original.

# Crear copia de trabajo
cp /caso/evidencia/disco01.raw /caso/trabajo/disco01_work.raw

# Verificar copia
sha256sum /caso/evidencia/disco01.raw
sha256sum /caso/trabajo/disco01_work.raw
# Ambos hashes deben ser identicos

Adquisicion de discos especiales

Discos SSD con TRIM

Los discos SSD con TRIM habilitado borran bloques de datos de forma activa cuando el sistema operativo marca archivos como eliminados. Esto significa que los datos borrados en un SSD con TRIM se destruyen permanentemente mucho mas rapido que en un HDD, donde permanecen en espacio no asignado hasta que se sobrescriben.

Para la adquisicion forense de un SSD, es critico desconectar el disco de la alimentacion lo antes posible para detener el proceso de garbage collection del controlador SSD. Incluso con el equipo apagado, algunos controladores SSD ejecutan garbage collection si tienen alimentacion.

Discos cifrados (BitLocker, LUKS, FileVault)

Si el equipo esta encendido y el disco desbloqueado, hay dos opciones:

Opcion 1: Adquirir una imagen logica del volumen descifrado. Esto captura los datos en claro pero no captura el espacio no asignado cifrado ni los metadatos del cifrado.

Opcion 2: Capturar la memoria RAM primero (puede contener las claves de cifrado) y luego adquirir la imagen bit a bit del disco cifrado. Despues, intentar descifrar la imagen usando las claves extraidas de la memoria.

Si el equipo esta apagado, se adquiere la imagen bit a bit del disco cifrado y se intenta el descifrado con las claves de recuperacion disponibles (clave de recuperacion BitLocker, passphrase LUKS, clave FileVault de iCloud).

Discos RAID

Los arrays RAID (0, 1, 5, 6, 10) pueden adquirirse de dos formas: a nivel de controladora RAID (imagen del volumen logico, mas simple pero depende de la controladora) o a nivel de disco individual (imagen de cada disco por separado, luego reconstruccion del array con herramientas forenses).

La segunda opcion es mas robusta porque no depende de la controladora y permite analizar datos residuales en discos individuales, pero requiere conocimiento del tipo de RAID y la configuracion de stripe para reconstruir el volumen.

Adquisicion remota

Cuando se necesita

No siempre es posible o practico llevar un disco fisicamente al laboratorio forense. Los servidores en centros de datos, los endpoints en oficinas remotas y los sistemas criticos que no pueden desconectarse requieren adquisicion remota.

Herramientas

Velociraptor. Agente open source que permite recopilar artefactos forenses de endpoints remotos. No hace imagen completa de disco pero captura los artefactos mas relevantes (registros, event logs, prefetch, memoria) de forma eficiente.

KAPE (Kroll Artifact Parser and Extractor). Herramienta de triage que recopila y procesa artefactos forenses. Puede ejecutarse remotamente y esta optimizada para velocidad sobre completitud.

F-Response. Software comercial que monta discos remotos como dispositivos locales sobre una conexion cifrada. Permite usar cualquier herramienta forense local (FTK Imager, Autopsy) contra un disco remoto.

GRR (Google Rapid Response). Framework de IR de Google para investigaciones forenses a escala. Permite adquirir artefactos de miles de endpoints simultaneamente.

Documentacion de la adquisicion

Cada adquisicion debe documentar como minimo:

Identificador de la pieza de evidencia. Fecha y hora de inicio y fin de la adquisicion (UTC). Herramienta utilizada y version. Parametros exactos del comando o la configuracion. Modelo y numero de serie del write blocker. Hash SHA-256 del disco original. Hash SHA-256 de la imagen resultante. Tamano del disco y tamano de la imagen. Numero de errores de lectura (si los hay). Nombre del analista que realizo la adquisicion.

Esta documentacion se adjunta al formulario de cadena de custodia y se referencia en el informe forense final.

Conclusion

La adquisicion forense es la base sobre la que se construye todo el analisis posterior. Una imagen bien adquirida, verificada con hashes y documentada con cadena de custodia, es irrebatible. Una imagen mal adquirida, sin write blocker, sin hashes o sin documentacion, es inutil ante un tribunal y poco fiable para el analisis tecnico.

La eleccion de herramienta (dd, dc3dd, FTK Imager) depende del entorno y las necesidades. dc3dd para Linux con sus hashes integrados es la opcion mas solida para linea de comandos. FTK Imager para Windows con su interfaz grafica y soporte E01 es la mas accesible. dd es el ultimo recurso cuando no hay nada mas disponible, pero requiere trabajo manual adicional para la verificacion.