ADQUISICIÓN DE FICHEROS BLOQUEADOS
Hola lectores,
Uno de los problemas que nos encontramos a la hora de realizar un análisis forense en la obtención o adquisición de discos y archivos, es encontrarnos con ficheros bloqueados o abiertos por una aplicación o dependiendo del caso por el propio sistema operativo.
Las soluciones son sencillas cuando hay que hacer un clonado y podemos apagar el dispositivo a copiar, pero no lo es tanto cuando el equipo debe de estar encendido. Por ejemplo en Windows un motivo fundamental para la realización de un buen análisis consiste en la obtención de ficheros HIVE y los registros de ‘log’ del sistema.
Ambos proporcionan datos muy valiosos y pueden esclarecer tanto lo que hizo un usuario y que ocurrió en el sistema. El problema radica cuando se copian, dado que al ser ficheros utilizados por el sistema este los bloquea.
Bloqueo en la copia de NTUSER.DAT
UTILIDADES AL RESCATE
Para la adquisición de estos ficheros en un sistema ‘vivo’ existen varias herramientas que recomiendo encarecidamente.
Hemos hablado mucho y muy bien en anteriores post sobre ella. Esta utilidad permite recuperar (entre otras cosas) cualquier fichero del sistema, incluido la $MFT, $JOURNAL, NTUSER.DAT, etc.
Es una utilidad muy útil para equipos individuales pero se convierte en tediosa cuando tenemos que automatizar procesos en múltiples ficheros o diferentes unidades de disco.
Ofrece un enfoque más sencillo y más seguro. Se trata de una herramienta basada en la consola. Es de código abierto y copia archivos NTFS mediante el acceso a disco en bajo nivel, por encima de todas las restricciones habituales. Si el archivo está bloqueado por una aplicación y Windows no tiene los permisos necesarios, no hay problema: RawCopy lo copiará independientemente.
Lo importante de utilizar esta herramienta es no equivocarse con la sintaxis exacta. El parámetro de origen debe incluir una ruta completa (no relativa), el destino no puede incluir un nombre de archivo, debe ser sólo una ruta y como de costumbre con programas de la consola, si los parámetros de origen o de destino contiene espacios, entonces hay que poner comillas.
Por último y no por ello la más importante tenemos a HDD Raw Copy Tool.
Esta herramienta crea una copia sector por sector de todas las áreas del disco duro (MBR, registros de arranque, todas las particiones, así como espacios intermedios) sin preocuparse del sistema operativo ni particiones (incluyendo las ocultas).
Además, HDD Raw Copy puede crear una copia exacta (dd) o imagen comprimida de la totalidad de los dispositivos de disco.
Entre sus usos se puede encontrar:
- Recuperación de datos: permite realizar una copia de la unidad dañada e intentar la recuperación con la copia.
- Recuperación de datos: permite copiar un disco duro dañado y omitir los sectores defectuosos.
- Migración: migrar completamente de un disco duro a otro.
- Copia de seguridad final: Hacer una copia exacta del disco duro para usos futuros.
- Copia de seguridad: crear una imagen de un USB y copiar / restaurar en cualquier momento.
- Duplicar / Clonar / Guardar imagen completa de todo tipo en cualquier dispositivo.
Todas estas utilidades mencionadas son muy útiles de emplear y muy recomendables.