dd (imagen de disco en bruto)
¿Qué es dd (imagen de disco en bruto)?
dd (imagen de disco en bruto)Copia bit a bit y plana de un dispositivo de almacenamiento producida por la utilidad Unix dd (o herramientas compatibles), sin compresion, metadatos ni hashes por bloque.
Una imagen dd es la adquisicion forense mas sencilla posible: una copia sector a sector del disco, particion o dispositivo de memoria escrita en uno o varios archivos. El nombre proviene del clasico comando Unix dd y el formato esta definido por lo que dd escribe: sin cabecera, sin metadatos, sin compresion ni hashes embebidos. Variantes como dcfldd, dc3dd o ewfacquire anaden registro, hashing y division de salida manteniendo el mismo trazado en bruto. Cualquier herramienta forense puede leer una imagen dd, lo que la hace ideal para archivado y analisis agnostico de herramienta, aunque los examinadores la acompanan con una lista de hashes externa y un registro de cadena de custodia.
● Ejemplos
- 01
Adquirir /dev/sda en un equipo Linux con `dcfldd if=/dev/sda hash=sha256 of=caso01.dd`.
- 02
Cargar una imagen dd en Autopsy o The Sleuth Kit para analizar particiones y sistema de archivos.
● Preguntas frecuentes
¿Qué es dd (imagen de disco en bruto)?
Copia bit a bit y plana de un dispositivo de almacenamiento producida por la utilidad Unix dd (o herramientas compatibles), sin compresion, metadatos ni hashes por bloque. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa dd (imagen de disco en bruto)?
Copia bit a bit y plana de un dispositivo de almacenamiento producida por la utilidad Unix dd (o herramientas compatibles), sin compresion, metadatos ni hashes por bloque.
¿Cómo funciona dd (imagen de disco en bruto)?
Una imagen dd es la adquisicion forense mas sencilla posible: una copia sector a sector del disco, particion o dispositivo de memoria escrita en uno o varios archivos. El nombre proviene del clasico comando Unix dd y el formato esta definido por lo que dd escribe: sin cabecera, sin metadatos, sin compresion ni hashes embebidos. Variantes como dcfldd, dc3dd o ewfacquire anaden registro, hashing y division de salida manteniendo el mismo trazado en bruto. Cualquier herramienta forense puede leer una imagen dd, lo que la hace ideal para archivado y analisis agnostico de herramienta, aunque los examinadores la acompanan con una lista de hashes externa y un registro de cadena de custodia.
¿Cómo defenderse de dd (imagen de disco en bruto)?
Las defensas contra dd (imagen de disco en bruto) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para dd (imagen de disco en bruto)?
Nombres alternativos comunes: Imagen raw, .dd, .img, .raw.
● Términos relacionados
- forensics-ir№ 366
Formato de imagen E01 (EnCase)
Formato de imagen forense introducido por Guidance Software para EnCase que almacena la copia adquirida en archivos segmentados y comprimidos con metadatos y sumas de verificacion.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Herramienta de triaje para Windows creada por Kroll que recolecta artefactos forenses de sistemas vivos o imagenes y ejecuta modulos parseadores para producir salida lista para revision.
- forensics-ir№ 388
EZ Tools de Eric Zimmerman
Suite gratuita de herramientas DFIR para Windows, de linea de comandos e interfaz grafica, creada por Eric Zimmerman para parsear artefactos forenses y construir cronologias.
- forensics-ir№ 162
Cadena de custodia
Registro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.