Soy novato en estas cosas, y he podido tener acceso a una imagen de disco a fichero hecho con esta herramienta.

Concretamente, tengo un conjunto de ficheros, IMAGE.001, IMAGE.002, … y la verdad, no se que hacer con ellos. Como puedo analizar/montar la imagen????

Quiero ver el sistema de ficheros original, ver el $MFT (es NTFS…), esas cosas… perdón por la ignorancia.

Muchas gracias.

Un saludo.

soy novato en estas cosas y he podido tener acceso a una imagen de disco a fichero, hecho con esta herramienta.

Tengo un conjunto de ficheros (IMAGE

Saludos

a) Depende del tipo de disco, pero si haces cuentas con 3 GB/minuto puedes hacerte una idea más o menos certera para la mayoría de escenarios.

b) Sí, hagas DD o E01, se genera un reporte automáticamente con todos los datos necesarios

c) La verdad es que no, pero pueden ocurrir. La temperatura de operación de discos convencionales está entre los 5 y los 50 grados centígrados, así es que es siempre recomendable el empleo de refrigeración auxiliar (http://www.forensic-computers.com/acqAccessories.php) bien sea mediante un accesorio, que es lo recomendable, bien trabajando en un ambiente refrigerado, como un centro de datos. Para presupuestos bajos se puede emplear un ventilador portátil.

Un saludo,

No hay preguntas tontas. Nunca :)

CloneZilla es una herramienta de clonación de discos y particiones, no es una herramienta para la adquisición de imágenes. Por tanto no genera logs adecuados para la preservación de evidencias, como por ejemplo, los siempre necesarios hashes de origen y destino.

La idea de adquirir una imagen, principalmente, es convertir a ficheros los contenidos de un disco. Trabajar con ficheros es cómodo, se pueden agregar, disgregar, montar, desmontar, mover, copiar … y CloneZilla no te lo permite. Por tanto olvídate de los formatos comprimidos, tan útiles en estos tiempos que corren con discos de muchos GBs.

Un duplicador forense te permite conectar discos de manera nativa, IDE o SATA en este caso. Hacer imágenes por USB es mucho más lento, salvo que utilices USB 3.0 o eSATA.

Por último la ejecución de CloneZilla necesita un portátil, y este es siempre más frágil que una unidad de duplicación forense. Otro factor a tener en cuenta. Tampoco olvides que, salvo que puedas garantizar la protección contra escritura, no es buena idea enganchar un disco evidencia a un sistema en ejecución por el impacto que puede sufrir el sistema de ficheros.

Un saludo,

Dicho eso, aqui va mi pregunta tonta:

Aparte de un maletin muy resistente y de esas funcionalidades para saltarse el HPA y DCO, esto aporta algo mas que un clonezilla corriendo en tu portatil con los discos origen y destino conectados por USB??

Es simple curiosidad,

Saludos

. ¿ Dispones de relaciones tamaño disco con tiempo de clonado ?.
. ¿ En el caso de realizar un dd te la posibilidad de almacenar report del clonado realizado ?
. ¿ En algún caso concreto te has encontrado problemas con la temperatura que cogen los discos ?.

Gracias.

Viéndolo así se entiende mucho mejor el trabajo en si y lo aparatoso que puede llegar a ser tal y como decías en el audio.

Un abrazo !