OSFClone: utilidad para clonar y crear imágenes de disco forenses

OSFClone es una solución open-source, gratuita y auto-arrancable que permite crear o clonar imágenes de disco exactas en formato RAW de forma rápida e independiente del sistema operativo instalado. También es compatible con unidades de imagen en formato AFF (Advance Forensics Format), un formato abierto y extensible para almacenar imágenes de disco y metadatos asociados.

Su estándar abierto permite a los investigadores utilizar de forma rápida y eficiente sus herramientas preferidas para el análisis de la unidad. Después de crear o clonar una imagen de disco, se puede montar la imagen con PassMark OSFMount antes de la realización de análisis con OSForensics PassMark™.

OSFClone crea una imagen forense de un disco, preservando los sectores no utilizados, el espacio de slack, la fragmentación de archivos y los registros de archivos no borrados del disco duro original. Es posible clonar discos FAT, NTFS y unidades USB conectadas. OSFClone se puede arrancar desde CD/DVD, o desde unidades flash USB.

OSFClone también puede crear imágenes de disco en formato dc3dd. El formato dc3dd es ideal para la informática forense debido a su mayor nivel de informes de progreso y errores y la capacidad de 'hashear' archivos al vuelo.

Comparando cada hash MD5 o SHA1, permite verificar que un clon del disco es idéntico al de la unidad de origen. Después de la creación de imágenes, puede elegir entre una gama de opciones de compresión para reducir el tamaño de la imagen creada, aumentando la portabilidad y ahorrando espacio en disco.

Por último, otra característica interesante de OSFClone es la posibilidad de salvar meta-datos forenses como números de casos, el número de pruebas, el nombre del investigador, la descripción y referencias de control.

0 comentarios :

Publicar un comentario en la entrada