Salta el contingut

Metodologia d'anàlisi forense

Introducció

La metodologia és el cor de la informàtica forense. Sense un procés rigorós i documentat, fins i tot les eines més avançades produiran resultats que no podran ser defensats davant d'un tribunal. La metodologia forense digital no va sorgir del no-res: és el resultat de dècades d'experiència en investigació criminal, adaptada a les particularitats dels sistemes digitals.

El cas United States v. Carey (1999) va ser un dels primers a establir jurisprudència sobre l'admissibilitat de les proves digitals als EUA. L'agent que investigava un cas de tràfic de drogues va trobar imatges de pornografia infantil en l'ordinador de l'acusat, però havia anat més enllà dels límits de l'ordre de registre. El tribunal va excloure les proves per no haver seguit el procediment correcte. Aquest cas, i molts d'altres, van demostrar que el com es recullen les proves és tan important com el que es troba.

A Espanya, la Guia de les bones pràctiques en l'adquisició d'evidències electròniques del CCN-CERT i les instruccions de la Fiscalia General de l'Estat sobre proves digitals estableixen els estàndards que han de seguir els investigadors en procediments penals.


Principis fonamentals de la informàtica forense

Tota investigació forense digital ha de respectar quatre principis que garanteixen la validesa i utilitat dels resultats:

Admissibilitat: Les evidències han d'haver estat obtingudes i tractades de manera que siguin acceptades per un tribunal. Això implica respectar el marc legal (autoritzacions, ordres judicials) i seguir procediments documentats i defensables. Una prova tècnicament impecable que s'ha obtingut vulnerant el dret a la intimitat és inadmissible en judici.

Autenticitat: Cal poder demostrar que les evidències presentades en judici són les mateixes que es van recollir a l'escena, sense alteracions. Aquí és on la verificació criptogràfica mitjançant hash i la cadena de custòdia juguen un paper clau. Si no es pot demostrar l'autenticitat, la defensa argumentarà que les proves han estat manipulades.

Completesa: L'investigador ha de cercar totes les evidències rellevants, no només les que confirmen una hipòtesi predeterminada. El biaix de confirmació és un perill real en la investigació forense: un investigador que busca únicament proves que culpin a una persona concreta pot ignorar evidències exculpatòries que, a més de ser una falta ètica, pot constituir una mala praxis professional.

Fiabilitat: Els mètodes i eines emprades han d'haver estat validats i acceptats per la comunitat forense. Fer servir eines no provades o mètodes no estàndard pot posar en dubte la fiabilitat dels resultats. Per aquesta raó, eines com Autopsy, FTK o Volatility han passat per processos de validació rigorosos i s'accepten àmpliament als tribunals.


La regla d'or: no tocar mai l'original

El principi més important de tota la metodologia forense es pot resumir en una frase: no modificar mai les evidències originals. Qualsevol sistema digital és extrem·ament fràgil des del punt de vista forense: simplement engegar un ordinador modifica centenars de fitxers (temps d'accés, fitxers temporals, registre del sistema), i l'accés a un disc sense les precaucions adequades pot sobreescriure dades valuoses.

El dispositiu que garanteix aquesta protecció és el write blocker (bloquejador d'escriptura). Un write blocker és un dispositiu hardware que s'interposa entre el disc original i l'ordinador de l'investigador, permetent llegir totes les dades del disc però bloquejant absolutament qualsevol intent d'escriptura. Existeixen models de hardware (Tableau, WiebeTech, Logicube) i solucions de software (en Linux, es pot usar hdparm -r1 o muntar en mode lectura exclusiva amb mount -o ro).

Cadena de custòdia

Mai connecteu un disc sospitós directament a un ordinador sense un write blocker. Un sistema Windows modern, en detectar un disc nou, pot escriure-hi automàticament (actualitzar els timestamps, crear fitxers autorun, etc.), modificant les evidències de manera irreversible. Fins i tot en Linux, si no es munten els sistemes de fitxers en mode lectura exclusiva, el kernel pot escriure-hi metadades.

Write blockers: com funcionen

El write blocker hardware treballa a nivell de protocol ATA/SATA/USB: intercepta els comandaments enviats al disc i filtra tots els que impliquen escriptura (WRITE, FORMAT, ERASE). Permet el pas dels comandaments de lectura (READ, IDENTIFY) sense modificació. El resultat és que l'investigador pot llegir el disc amb total llibertat sabent que cap dada original serà alterada.

# En Linux, bloqueig d'escriptura per software (abans de muntar)
# Marcar el dispositiu com a només lectura
hdparm -r1 /dev/sdb

# Muntar en mode lectura exclusiva
mount -o ro,noatime /dev/sdb1 /mnt/evidencia

# Verificar que el muntatge és en mode ro
mount | grep sdb1
# Ha de mostrar: /dev/sdb1 on /mnt/evidencia type ext4 (ro,noatime)

Les fases del procés forense

Fase 1: Identificació

La identificació consisteix a determinar quins dispositius i sistemes poden contenir evidències rellevants per a la investigació en curs. Aquesta fase requereix tant coneixement tècnic (saber on es poden emmagatzemar dades) com comprensió del context investigatiu (saber quin tipus de dades es busquen).

En arribar a una escena, l'investigador ha de:

  1. Fotografiar i documentar l'estat actual de tots els dispositius visibles, incloent-hi les pantalles, les connexions i la disposició física.
  2. Identificar tots els dispositius que poden contenir dades: ordinadors (fixos i portàtils), dispositius mòbils, tauletes, dispositius d'emmagatzematge extern (USBs, discos externs), consoles de videojocs, smart TVs, routers, etc.
  3. Avaluar la volatilitat de les evidències: la RAM del sistema s'esborra en apagar-lo; les connexions de xarxa actives desapareixeran; els processos en execució s'acabaran. Aquestes evidències volàtils han de recollir-se primer.
  4. Determinar l'ordre de recollida basat en la volatilitat i la rellevància per a la investigació.

L'ordre de volatilitat és un concepte clau. Seguint l'estàndard RFC 3227 (Guidelines for Evidence Collection and Archiving), les fonts d'evidència s'han de recollir en el següent ordre, de més a menys volàtil:

flowchart TD
    A["Registres del processador\nCache, taules ARP\n(microsegons)"] --> B["Memòria RAM\nProcessos actius, connexions\n(mentre el sistema estigui encès)"]
    B --> C["Tràfic de xarxa\nConnexions actives\n(mentre duren)"]
    C --> D["Fitxers temporals\nPàgina/swap del disc\n(fins al proper reinici)"]
    D --> E["Disc dur\nFitxers, metadades, espai lliure\n(persistent)"]
    E --> F["Dades remotes\nLogs de servidors, Cloud\n(depenent de la politica de retenció)"]
    F --> G["Backups i arxius\nMitjans d'emmagatzematge extens\n(molt persistent)"]

Fase 2: Preservació

La preservació té com a objectiu protegir les evidències de qualsevol alteració, ja sigui accidental o deliberada. Les accions de preservació han de començar immediatament en arribar a l'escena:

  • Aïllar els dispositius de xarxes: Desconnectar el cable Ethernet i desactivar el WiFi i el Bluetooth. Alguns atacants sofisticats configuren mecanismes d'esborrat remot que s'activen si el dispositiu perd la connectivitat, però el risc de deixar el dispositiu connectat (i que l'atacant continuï tenint accés) és major.
  • Decidir si apagar o no: En general, si el sistema està apagat, s'ha de deixar apagat (per evitar modificar-lo en l'arrencada). Si el sistema està encès, s'ha de valorar si hi ha dades volàtils critiques que justifiquen fer una captura de la RAM abans d'apagar-lo.
  • Embolcallar correctament: Els dispositius mòbils s'han de posar en mode avió i en una gàbia de Faraday (o una bossa metàl·lica especial) per evitar les comunicacions i l'esborrat remot.
  • Iniciar la documentació de la cadena de custòdia.

Cadena de custòdia

El document de cadena de custòdia ha de crear-se en el moment en que es toca per primer cop l'evidència. Qualsevol retard en la documentació pot crear dubtes sobre el que va passar en el temps no documentat. En el context d'un judici, el dubte beneficia sempre la defensa.

Fase 3: Adquisició

L'adquisició és el procés tècnic de crear una còpia forense de les evidències. Existeixen dos tipus principals d'adquisició:

Imatge forense de disc (bit-by-bit): És una còpia exacta de tot el dispositiu d'emmagatzematge, byte per byte, incloent-hi els sectors buits, el slack space (espai no utilisat al final dels clústers) i les dades eliminades que encara no han estat sobreescrites. El resultat és un fitxer d'imatge (.dd, .raw, .E01, .AFF) que conté una rèplica perfecta del disc original.

Captura de memòria RAM: Copia el contingut actual de la memòria volàtil del sistema. Aquesta imatge conté els processos en execució, les connexions de xarxa obertes, les claus de xifrat carregades en memòria i fragments de dades de les aplicacions actives. Una vegada el sistema s'apaga, tota aquesta informació es perd.

Eines d'adquisició

dd (Data Duplicator): L'eina clàssica de Linux per a la còpia bit a bit. Simple, fiable i disponible en qualsevol sistema Unix. Llegeix bytes del dispositiu origen i els escriu en el destí:

# Creació d'imatge forense bàsica amb dd
# /dev/sdb és el disc original (protegit amb write blocker)
# /mnt/forense/imatge.dd és el fitxer de sortida
dd if=/dev/sdb of=/mnt/forense/imatge.dd bs=512 conv=noerror,sync

# Paràmetres:
# if= : input file (dispositiu d'origen)
# of= : output file (fitxer de destí)
# bs=512 : block size de 512 bytes (el sector estàndard)
# conv=noerror : continua si hi ha errors de lectura (sectors danyats)
# conv=sync : omple amb zeros els sectors no llegibles

dc3dd: Versió millorada de dd desenvolupada pel Departament de Defensa dels EUA (DC3). Afegeix funcionalitats forenses importants: verificació de hash en temps real, compressió, divisió de la imatge en múltiples fitxers i registre d'errors detallat.

# Creació d'imatge amb dc3dd i hash SHA-256 automàtic
dc3dd if=/dev/sdb of=/mnt/forense/imatge.dd \
  hash=sha256 \
  log=/mnt/forense/imatge.log \
  verb=on

# dc3dd calcula i mostra el hash SHA-256 de l'origen i del destí
# i verifica que coincideixen automàticament

FTK Imager (Windows): Eina gràfica professional de AccessData. A més de crear imatges forenses en múltiples formats (RAW, E01, AFF), permet visualitzar el contingut del disc sense necessitat de restaurar la imatge. El format E01 (EnCase Evidence File) inclou metadades de cas, compressió i verificació d'integritat integrada.

Guymager: Eina gràfica de codi obert per a Linux, inclosa en distribucions forenses com CAINE i Tails. Amb interfície gràfica senzilla, permet crear imatges en format DD, EWF/E01 i AFF. Incorpora verificació de hash automàtica i pot dividir les imatges en múltiples fitxers.

Miniactivitat

Objectiu: Crear una imatge forense d'un USB i verificar la seva integritat.

  1. Connecteu un USB (sense dades importants) a un sistema Linux.
  2. Identifiqueu el dispositiu: lsblk o fdisk -l
  3. Calculeu el hash SHA-256 de l'original: sha256sum /dev/sdX
  4. Creeu la imatge: dd if=/dev/sdX of=/tmp/usb_imatge.dd bs=4M conv=noerror,sync
  5. Calculeu el hash de la imatge: sha256sum /tmp/usb_imatge.dd
  6. Compareu els dos hashes. Han de ser idèntics.
  7. Documenteu el procés en un full de cadena de custòdia.

Fase 4: Anàlisi

L'anàlisi és la fase en la qual l'investigador examina les còpies forenses en busca d'evidències rellevants. Tota l'anàlisi es fa sempre sobre les còpies, mai sobre els originals. La fase d'anàlisi és iterativa: cada descoberta pot obrir noves línies d'investigació.

Verificació de la integritat: hash criptogràfic

Abans de començar cap anàlisi, cal verificar que la còpia forense és idèntica a l'original. Això es fa comparant els valors hash calculats durant l'adquisició amb els valors hash de la còpia:

# Calcular hash SHA-256 d'una imatge forense
sha256sum /mnt/forense/imatge.dd

# Resultat esperat:
# a3f8c2d1e4b7a9f2... imatge.dd

# Comparar amb el hash calculat durant l'adquisició
# Els dos valors han de ser idèntics

La probabilitat que dos fitxers diferents tinguin el mateix hash SHA-256 és astronòmicament baixa (1 en 2^256). Si els hashes coincideixen, podem afirmar amb certesa matemàtica que la còpia és idèntica a l'original.


Anàlisi de sistemes de fitxers

NTFS (New Technology File System)

NTFS és el sistema de fitxers predeterminat de Windows. Des del punt de vista forense, és extraordinàriament ric en artefactes:

Master File Table ($MFT): El cor de NTFS. La $MFT és una base de dades que conté un registre per a cada fitxer i directori del volum. Cada registre inclou el nom, mida, timestamps (creat, modificat, accedit, canviat: MACE), atributs i els punts als clústers de dades. Fins i tot quan un fitxer s'elimina, el seu registre a la $MFT es marca com a disponible però el contingut es pot recuperar si els clústers no han estat sobreescrits.

Alternate Data Streams (ADS): Una característica poc coneguda de NTFS que permet emmagatzemar múltiples fluxos de dades en un sol fitxer. El flux principal és el contingut visible del fitxer; els ADS són fluxos ocults que no apareixen en un simple llistat de directoris. El malware sovint utilitza els ADS per amagar-hi payload o dades de configuració.

# Llistat de fitxers amb ADS en Windows
dir /r

# Lectura d'un ADS
more < fitxer.txt:stream_ocult

Volume Shadow Copies (VSS): Windows crea automàticament còpies de seguretat del sistema de fitxers en moments clau (actualitzacions, punts de restauració). Aquestes còpies, accessibles a través de l'API de VSS, poden contenir versions anteriors de fitxers que l'usuari ha eliminat o modificat. Autopsy pot analitzar les VSS i recuperar versions anteriors de fitxers.

Windows Registry: El registre de Windows és una base de dades jeràrquica que emmagatzema la configuració del sistema i les aplicacions. Des del punt de vista forense, el registre conté una quantitat ingent d'artefactes: programes d'inici automàtic, últimes connexions USB, historial de xarxes WiFi connectades, historial de recerques i molt més.

Ext4 (Linux)

Ext4 és el sistema de fitxers predeterminat de la majoria de distribucions Linux. La seva estructura es basa en inodes i grups de blocs:

Inodes: Cada fitxer (i directori) té un inode associat que emmagatzema les seves metadades: propietari, permisos, timestamps i punters als blocs de dades. A diferència de NTFS, els inodes no emmagatzemen el nom del fitxer: el nom es troba als blocs del directori que conté el fitxer. Quan un fitxer s'elimina, el seu inode es marca com a disponible, però el contingut dels blocs pot romandre fins que sigui sobreescrit.

Journal: Ext4 manté un journal (diari) de les transaccions del sistema de fitxers per garantir la consistència en cas de tall de corrent o fallada del sistema. El journal és una font valuosa d'artefactes forenses, ja que pot contenir operacions recents que no es reflecteixen en l'estructura principal del sistema de fitxers.

APFS (Apple File System)

APFS, introduït per Apple el 2017, és el sistema de fitxers de macOS, iOS, iPadOS i watchOS. Presenta algunes característiques forenses particulars:

  • Snapshots: Semblants a les VSS de Windows, permeten crear còpies instantànies del sistema de fitxers en un moment donat.
  • Clonació de fitxers: APFS permet clonar fitxers de manera eficient (copy-on-write). Les còpies no ocupen espai addicional fins que l'original o la còpia es modifiquen.
  • Xifrat natiu: APFS integra xifrat a nivell de volum, el que pot complicar l'accés a les dades sense la clau correcta.

Eines d'anàlisi forense

Autopsy: la plataforma forense de codi obert

Autopsy és la interfície gràfica de codi obert per a The Sleuth Kit (TSK), un conjunt d'eines de línia d'ordres per a l'anàlisi forense de sistemes de fitxers. Autopsy és una de les eines forenses més utilitzades tant en entorns professionals com acadèmics, i els seus resultats s'accepten als tribunals d'arreu del món.

Les capacitats d'Autopsy inclouen:

  • Anàlisi de sistemes de fitxers: Navegar per l'estructura de fitxers, inclosos fitxers eliminats i espai no allotjat.
  • Recuperació de fitxers eliminats: Cercar en l'espai no allotjat per recuperar fitxers la referència dels quals ha estat eliminada del sistema de fitxers però el contingut dels quals no ha estat sobreescrit.
  • Extracció d'artefactes web: Historial de navegació, cookies, descarregues de Chrome, Firefox, Edge, Safari.
  • Anàlisi de correu electrònic: Extracció de missatges de clients de correu com Outlook, Thunderbird.
  • Anàlisi de fitxers de registre de Windows: Extracció automàtica d'artefactes del registre.
  • Reconstrucció de línia temporal: Visualització cronològica de tota l'activitat del sistema.
  • Cerca per paraules clau i expressions regulars.
  • Generació d'informes en múltiples formats (HTML, Excel, TSK Body File).
# The Sleuth Kit (TSK) per línia d'ordres

# Llistar els sistemes de fitxers d'una imatge
mmls imatge.dd

# Llistar fitxers en una partició (offset en sectors)
fls -r -o 2048 imatge.dd

# Mostrar el contingut d'un inode específic
icat -o 2048 imatge.dd 1234

# Llistar tots els fitxers eliminats
fls -r -d -o 2048 imatge.dd

# Crear una timeline del sistema de fitxers
fls -r -m / -o 2048 imatge.dd > body_file.txt
mactime -b body_file.txt -d > timeline.csv

Volatility: anàlisi de memòria RAM

Volatility és el framework de codi obert de referència per a l'anàlisi de memòria RAM. Disponible en Python, pot analitzar imatges de memòria de Windows, Linux i macOS. La versió actual, Volatility 3, no requereix la configuració manual de perfils del sistema operatiu.

La memòria RAM és una de les fonts d'evidències més riques i, al mateix temps, la més efímera. En una imatge de RAM es poden trobar: processos en execució (incloent-hi processos de malware que no escriuen en disc), connexions de xarxa actives, credencials en text pla, claus de xifrat, fragments de documents oberts i el contingut dels portapapers.

# Volatility 3: plugins principals

# Llistar processos en execució
python3 vol.py -f imatge.raw windows.pslist.PsList

# Arbre de processos (mostrar processos pare-fill)
python3 vol.py -f imatge.raw windows.pstree.PsTree

# Connexions de xarxa actives i recents
python3 vol.py -f imatge.raw windows.netscan.NetScan

# Historial de comandes (cmd.exe)
python3 vol.py -f imatge.raw windows.cmdline.CmdLine

# Detectar codi injectat (tècnica comuna en malware)
python3 vol.py -f imatge.raw windows.malfind.Malfind

# Llistar fitxers referenciats en memòria
python3 vol.py -f imatge.raw windows.filescan.FileScan

# Extreure un fitxer de la memòria
python3 vol.py -f imatge.raw windows.dumpfiles.DumpFiles --virtaddr 0x...

Miniactivitat

Objectiu: Analitzar una imatge de memòria i identificar processos sospitosos.

  1. Descarregueu una imatge de memòria de CTF (ex: CTF de MemLabs a GitHub).
  2. Executeu windows.pslist i identifiqueu tots els processos en execució.
  3. Busqueu processos amb noms similars als del sistema però lleugerament diferents (ex: svchost.exe correcte vs scvhost.exe maliciós).
  4. Executeu windows.netscan i identificeu connexions sortints sospitoses.
  5. Executeu windows.malfind i analitzeu els resultats.
  6. Documenteu les vostres conclusions.

Anàlisi de logs i línia temporal

Logs de Windows

El Windows Event Log emmagatzema events del sistema en fitxers .evtx. Els canals principals d'interès forense són:

Canal Ruta Contingut forense
Security %SystemRoot%\System32\winevt\Logs\Security.evtx Inicis de sessió (4624), fallades (4625), creació de comptes, canvis de privilegis
System ...System.evtx Arrencades/aturades del sistema, errors de servei
Application ...Application.evtx Errors d'aplicació, instal·lació de software
PowerShell ...PowerShell\PowerShell.evtx Comandes PowerShell executades
TaskScheduler Tasques programades creades, modificades o eliminades
# En Linux, analitzar fitxers .evtx amb python-evtx
pip install python-evtx
python3 -m evtx.view Security.evtx | grep "EventID>4624" | head -20

# Amb la utilitat evtxexport (de libevtx)
evtxexport -f xml Security.evtx > security_events.xml

Logs de Linux

En sistemes Linux, els logs principals es troben a /var/log/:

  • /var/log/auth.log (Debian/Ubuntu) o /var/log/secure (RHEL/CentOS): Autenticació, sudo, SSH.
  • /var/log/syslog: Events generals del sistema.
  • journald: El sistema de logging modern de systemd, consultable amb journalctl.
  • /var/log/audit/audit.log: Si auditd és actiu, registra crides al sistema, accés a fitxers i canvis de privilegis.
# Cercar intents d'autenticació fallits
grep "Failed password" /var/log/auth.log

# Cercar inicis de sessió reeixits via SSH
grep "Accepted publickey\|Accepted password" /var/log/auth.log

# Comandaments de superusuari executats
grep "sudo:" /var/log/auth.log

# Revisió del journal de systemd (últimes 24h)
journalctl --since "24 hours ago" --priority=err

# Auditd: cercar accés a fitxers sensibles
ausearch -f /etc/passwd --start today

Timeline Analysis: log2timeline i Plaso

La línia temporal (timeline) d'un incident és una representació cronològica de totes les accions que van tenir lloc en un sistema. Construir una línia temporal precisa és una de les tasques més importants —i laborioses— d'una investigació forense.

log2timeline (part del projecte Plaso) és l'eina de referència per a la construcció de línies temporals. Pot extreure timestamps de centenars de fonts diferents (sistemes de fitxers, logs, bases de dades de navegadors, registre de Windows, artefactes de Linux, etc.) i consolidar-los en una línia temporal unificada.

# Instal·lar Plaso
pip install plaso

# Crear una línia temporal des d'una imatge forense
log2timeline.py /tmp/timeline.plaso imatge.dd

# Filtrar i exportar la línia temporal en format CSV
psort.py -o l2tcsv /tmp/timeline.plaso > timeline.csv

# Analitzar la línia temporal amb Timesketch (eina web)
# (requereix instal·lació separada de Timesketch)
gantt
    title Exemple de Línia Temporal d'un Incident
    dateFormat  YYYY-MM-DD HH:mm
    section Reconeixement
    Escaneig de ports detectat    :done, 2024-03-10 14:23, 5m
    section Accés inicial
    Intents d'autenticació SSH    :done, 2024-03-10 14:35, 10m
    Login reeixit via SSH         :crit, done, 2024-03-10 14:47, 2m
    section Escalada de privilegis
    Execució de exploit local     :crit, done, 2024-03-10 14:52, 3m
    Obtenció de root              :crit, done, 2024-03-10 14:55, 1m
    section Persistència
    Instal·lació de backdoor      :done, 2024-03-10 15:01, 10m
    Modificació /etc/crontab      :done, 2024-03-10 15:15, 2m
    section Exfiltració
    Compressió de dades           :done, 2024-03-10 15:30, 20m
    Transferència via SFTP        :done, 2024-03-10 15:52, 15m

Cadena de custòdia: documentació pràctica

Un formulari de cadena de custòdia professional ha d'incloure les seccions següents:

Identificació de l'evidència:

  • Número d'evidència (únic per al cas)
  • Descripció física (marca, model, número de sèrie, color, estat visible)
  • Fotografia de referència

Recollida inicial:

  • Data i hora de recollida
  • Lloc de recollida (adreça, sala, descripció exacta)
  • Nom i signatura del recol·lector
  • Número de cas i número d'ordre judicial (si aplica)
  • Estat del dispositiu en el moment de la recollida (encès/apagat, pantalla visible, etc.)

Registre de transferències:

Data/Hora Lliurant (Nom i signatura) Receptor (Nom i signatura) Motiu

Accions realitzades sobre l'evidència:

  • Data, hora, qui i quina acció
  • Hash MD5/SHA-256 calculat (si aplica)
  • Eines i versions emprades

Emmagatzematge: - Ubicació (armari, laboratori, caixa forta) - Condicions (temperatura, humitat, seguretat física)

Risc legal: alteració de proves

Qualsevol modificació no autoritzada o no documentada de les evidències pot constituir un delicte. A Espanya, la destrucció, alteració o ocultació de proves en un procés judicial pot ser constitutiva del delicte de "obstrucció a la justícia" o "desobediència a l'autoritat judicial" previstos al Codi Penal.


Exercici pràctic del tema

AC5042: Adquisició forense i verificació d'integritat

Descripció: Realitzeu una adquisició forense completa seguint la metodologia correcta.

Pas 1: Prepareu el vostre entorn de treball (directori de cas, formulari de cadena de custòdia).

Pas 2: Connecteu un USB (de pràctiques, sense dades importants) a un sistema Linux.

Pas 3: Identifiqueu el dispositiu i documenteu les seves característiques.

# Identificar el dispositiu
lsblk -o NAME,SIZE,VENDOR,MODEL,SERIAL
fdisk -l /dev/sdX

# Calcular hash original
sha256sum /dev/sdX | tee /tmp/cas001/hash_original.txt

Pas 4: Creeu la imatge forense.

# Crear directori de cas
mkdir -p /tmp/cas001

# Adquisició amb dc3dd
dc3dd if=/dev/sdX of=/tmp/cas001/evidencia_001.dd \
  hash=sha256 \
  log=/tmp/cas001/adquisicio.log \
  verb=on \
  2>&1 | tee /tmp/cas001/dc3dd_sortida.txt

Pas 5: Verifiqueu la integritat.

# Calcular hash de la imatge resultant
sha256sum /tmp/cas001/evidencia_001.dd | tee /tmp/cas001/hash_imatge.txt

# Comparar els dos hashes (han de ser idèntics)
diff /tmp/cas001/hash_original.txt /tmp/cas001/hash_imatge.txt

Pas 6: Completeu el formulari de cadena de custòdia.

Pas 7: Munteu la imatge en mode lectura exclusiva i exploreu el seu contingut.

# Muntar la imatge en mode ro
mkdir -p /mnt/cas001
mount -o ro,loop,offset=$((2048*512)) /tmp/cas001/evidencia_001.dd /mnt/cas001

# Explorar el contingut
ls -la /mnt/cas001/

# Desmuntar quan acabeu
umount /mnt/cas001

Lliurament: Document de cadena de custòdia + hash verificats + informe breu del contingut trobat.