Forensic Hard Copy – F.H.C. – distro enfocada a las imágenes forenses

Forensic Hard Copy, es una distribución de Linux arrancable desde CD / USB (en modo Live), creada exclusivamente para automatizar y acelerar la copia forense de las memorias masivas. Dichos procedimientos de copia se utilizan comúnmente en el campo forense. Es una práctica común en este campo de la tecnología de la información, adquirir datos de los medios ofensores para preservarlos de posibles alteraciones o daños, y luego analizar la copia idéntica.

El proyecto se creó para satisfacer las necesidades operativas de los organismos encargados de hacer cumplir la ley que participan en actividades de investigación de la policía judicial, consultores técnicos (CTU) y parte (CTP), lo que garantiza la inalterabilidad y el uso de pruebas de TI en el juicio penal.

Herramientas disponibles

  • badblocks
  • bunzip2
  • bzip2
  • bzip2recover
  • cfdisk
  • chntpw
  • cmospwd
  • dc3dd
  • dcfldd
  • dd_rescue
  • dislocker
  • dosfsck
  • dosfslabel
  • ewfacquire
  • ewfacquirestream
  • ewfdebug
  • ewfexport
  • ewfinfo
  • ewfmount
  • ewfrecover
  • ewfverify
  • foremost
  • jfs_debugfs
  • jfs_fsck
  • jfs_fscklog
  • jfs_logdump
  • jfs_mkfs
  • jfs_tune
  • magicrescue
  • md5sum
  • ms-sys
  • nmon
  • ntfs-3g
  • ntfscat
  • ntfscluster
  • ntfscmp
  • ntfsfix
  • ntfsinfo
  • ntfsls
  • nwipe
  • openssl
  • photorec_static
  • rsync
  • safecopy
  • scalpel
  • sfdisk
  • sha1sum
  • sha224sum
  • sha256sum
  • sha384sum
  • sha512sum
  • tcplay
  • testdisk_static
  • truecrypt-cmline
  • veracrypt-cmline
  • wpass
  • dislocker.sh
  • virus_scan.sh

¿Qué es una copia forense?

En pocas palabras, una imagen o copia forense es una copia de información electrónica inalterada. Un archivo de imagen puede contener un único archivo o un disco duro completo. Obtener una imagen forense es un primer paso crucial para cualquier investigación forense digital, y si no se hace correctamente, es posible que las pruebas sean consideradas inadmisibles.

¿Qué tipo de imagen forense debe elegir?

Existen tres métodos principales de imagen forense: físico, lógico o dirigido. Los beneficios y desventajas de cada uno dependen de los detalles de cada caso.

Físico – Una imagen física de un disco duro captura todos los unos y ceros contenidos en la unidad. También captura el espacio eliminado en la unidad (incluso si se ha formateado recientemente), archivos eliminados y fragmentos de archivos. Por lo tanto, una imagen física de una unidad de 500 GB producirá un archivo de imagen resultante de 500 GB. Este es el tipo más minucioso de imagen forense. Es útil para los casos en los que sospecha que la evidencia se ha eliminado o manipulado y donde los metadatos son un factor importante.

Lógico – Una imagen lógica de un disco duro captura todos los datos “activos”. Normalmente, no se capturarán archivos, espacios y fragmentos de archivos eliminados. Por lo tanto, si una imagen lógica está hecha de una unidad de 500 GB, pero solo 50 GB contienen archivos activos, la imagen resultante será de 50 GB. Esto es perfecto para casos en los que se está preocupado sólo con la información contenida en la unidad.

Dirigido – A veces se sabe el conjunto exacto de archivos o documentos que necesita para el caso. Esos archivos se pueden copiar selectivamente en un archivo de imagen en lo que se conoce como una colección de destino. Esto puede reducir considerablemente los costos y la mano de obra, ya que tiene un conjunto de datos mucho más pequeño con el que trabajar desde el principio.

Os dejo su página oficial, donde encontraréis las imágenes de descargas tanto en 64 cómo en 32 bits.

Un cafelito con Cryptocoin

Impactos: 13

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *