Backtrack 4 Capacidades Forenses

Cuando inicias el boot del Nuevo Backtrack 4, notarás algo ligeramente distinto. ¿De que se trata la opción “Start BackTrack Forensics”?

Live CDs y Análisis Forense

Por bastante tiempo, los Live CDs de Linux han sido muy utiles para los propositos de revisión forense en instancias donde por una u otra razón no es possible usar un bloqueador de disco duro. Cuando es configurado para no automontar unidades, y con un poco de conocimiento, un Live CD de Linux puede ser una maravilloso bloqueador de escritura por software. Sin embargo para que un Live CD de Linux sea considerado para éste propósito, es de vital importancia que el uso del live CD no altere la data de alguna forma. En el pasado, esto descartaba el uso de Backtrack para propósitos forenses. Backtrack automontaba las unidades disponibles y utilizaba particiones swap donde fuera disponible. Esto podría causar todo tipo de cambios, modificando los ultimos tiempos en que se monto la unidad, alterando la data en el disco, y más. Bueno, ¡ya no más! El Live CD de Backtrack 4 ha incorporado cambios que permitirán modo de inicio el cual es forensemente limpio. Estas son grandes noticias, ya que como Backtrack se ha vuelto un Live CD muy popular, una copia puede ser frecuentemente encontrada cerca.

¿Como?

Asi que, veamos el espectro. La gente forense son frecuentemente detallistas y conservadores, asi que ¿como sabemos que es seguro de usar? Bueno. Primero el Live CD de Backtrack 4 está basado en Casper, y no contiene para nada scripts para automontar sistemas de archivos. Los scripts de inicialización del sistema han sido alterados en el modo de inicio forense para que Backtrack 4 no busque por o haga uso de cualquier partición swap las cuales están contenidas en el sistema. Todos esos scripts han sido removidos del sistema.

Verificación

Para probar la funcionalidad, hemos hecho pruebas a este modo de inicio con multiples configuraciones de harware. Para cada prueba, tomamos una foto MD5 previa de los discos de sistema, iniciado BT4 en modo de inicio forense, verificando que ningún sistema de archivos fueron montados y que swap no estaba en uso, realizado un número de actividades en el sistema, luego apagado el sistema y tomado una foto MD5 posterior. Comparando las dos fotos MD5, en cada caso eran identicas, demostrando que no se realizaron cambios en los discos. Asi que, ¿puedes confiar en Backtrack 4 para tus propositos forenses?, Bueno, no hasta que usted también lo verifique! Tal como cualquier herramienta forense, es una negligencia el tomar la palabra de alguien más de que una herramienta funciona adecuadamente. Depende de usted para verificar independientemente la herramienta antes de usarla. Esperamos que sus resultados coincidan con los nuestros, y usted encontrará que Backtrack 4 es un gran agregado a su set de herramientas. (Y, si resultados encuentran un problema, por favor dejenos saber tan pronto como sea possible e incluya detalles de como realize su prueba. Tal, como si fuera un problema real.)

Uso

Cuando utilice Backtrack para propositos forenses, asegurese de no dejarlo avanzar a través de un inicio desatendido. El inicio de Backtrack por defecto es el modo de inicio estándar, el cual usará particiones swap si es que están presentes. Sin embargo existe una demora lo suficientemente extensa, para que tenga el tiempo suficiente para seleccionar el modo de inicio apropiado. Además, por favor recuerde, que ésta es una distribución Linux. Se sugiere encarecidamente que se familiarice con Linux antes de usar esta, o cualquier otro Live CD para cualquier proposito forense. También, asegurese de revisar las herramientas forenses adicionales que han sido incluidas en Backtrack 4. Nos hemos concentrado en agregar herramientas de imagenes y de selección, pero si usted encuentra que una de sus utilidades favoritas no está en su lugar por favor haganoslo saber para que podamos ver que sea agregada.
Go To Top »
Get Adobe Flash playerPlugin by wpburn.com wordpress themes
Web Designs by DigiP