Laboratorio de Práctica 1

LABORATORIO DE PRÁCTICA 1 Uso de herramientas Clonezilla y FTK Imager

PRESENTADO POR: DORIAN ALONSO GÓMEZ BARRIENTOS

TUTOR: MARTÍN CAMILO CANCELADO

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA –UNAD MEDELLIN OCTUBRE 2016

DESARROLLO DE LA PRÁCTICA

1. Cree una partición en el disco duro de la máquina de práctica de 50 Mb, según el tutorial de la página de descarga de Clonezilla o utilice el de su elección. Se crea una partición mayor, se crea una partición de 8 Gb debido a que para efectos prácticos se clonó todo el sistema operativo Ubuntu alojado en una máquina virtual. 2. Renombre la partición creada con su primer nombre y apellido.

3. Desde el Cd booteable creado de Clonezilla cree la imagen de la partición creada anteriormente según se muestra en la página de descarga de Clonezilla http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=524 a. Se bootea con el iso de Clonezilla

b. Se realiza la configuración inicial siguiendo los pasos del asistente

c) se selecciona la fuente de la copia para este caso el disco duro local de la máquina virtual

d) El sistema solicita que se seleccione el disco donde se copiará la partición. Para mi caso es la partición de NTFS que está etiquetada con mi nombre (SDB1)

e) Seleccione el modo de ejecución principiante y generé la copia de todo el disco

3. Estando en Clonezilla nombre la imagen con su primer nombre y apellido.

e) de acuerdo a la instrucción del laboratorio antepuse mi nombre mas el timestamp para generar el nombre de la imagen

f) Active la opción de comprobación de imagen y deje esta imagen sin encriptar. El sistema genera la copia de la imagen

g) Una vez terminó el proceso Clonezilla solicita apagar, reiniciar o hacer un nuevo repositorio.

h) Se comprueba la creación de la imagen:

4. Después de terminar realizar con el FTK imager la creación de la imagen de la memoria volátil, es decir la memoria ram, del mismo dispositivo en donde se encuentra el disco duro que se creó anteriormente. El nombre de la imagen volátil debe ser el mismo del disco duro pero terminado en MV (memoria volátil). El aplicativo FTK imager desde la página oficial tiene compatibilidad para sistemas operativos Windows y para distribuciones de Linux a 32 bits. El laboratorio creado fue en Ubunto de 64 bits por lo que no se puede instalar FTK imager, por lo que realice la prueba del FTK Imager en un sistema operativo Windows 10

5. Al realizar la creación de la imagen volátil, usar el FTK imager para la revisión de lo que se encuentra en la memoria ram de dicha imagen

CONCLUSIONES

Los registros informáticos permiten evidenciar y generar hallazgos de cualquier tipo de novedad, por lo que es importante realizar la respectiva custodia de la información y sacar copias de seguridad del mismo tenor que el equipo a analizar. Las herramientas informáticas deben ser el apoyo a un proceso debidamente documentado el cual generará evidencias de manera objetiva, las utilidades usadas en este laboratorio tienen como objetivo capturar y blindar la información ante futuras manipulaciones y sabotajes. En la práctica de este laboratorio identifiqué que la herramienta usada para sacar imagen de la memoria RAM solo permite realizarlo en sistemas operativos Windows o en distribuciones de Linux de 32 bits que están en vía de obsolescencia, por lo que se requieren plataformas de diagnóstico y de recolección de evidencias que sean multiplataformas pues no solo ocurren novedades con los sistemas operativos de Microsoft ®.