Problemas forenses de CD en live

El objetivo principal de realizar una investigación forense es extraer tanta información como el sistema afectado para determinar la causa raíz de la infección / ataque. El proceso de extracción de información del objetivo implica un paso crucial, es decir, las herramientas utilizadas por el investigador no deben alterar la memoria del sistema afectada de ninguna manera. Los CD en vivo solían ser una de las opciones más populares para las investigaciones forenses. Sin embargo, son ciertas trampas del uso de un Live CD.

  1. Problemas del sistema de archivos de diario
  2. Montaje automático de dispositivos de bloque
  3. Falta de protección contra escritura adecuada

Problemas del sistema de archivos de diario

Journaling File System es un sistema de archivos que realiza un seguimiento de los cambios que aún no se han confirmado en el sistema de archivos. Desempeña un papel fundamental en la recuperación del sistema de archivos a su estado de funcionamiento en caso de falla de energía o bloqueo del sistema. En el caso de investigaciones forenses, cuando se montan / desmontan sistemas de archivos de diario con marcas de solo lectura utilizando un Live CD, pueden producirse varias escrituras en el sistema de archivos, lo que da como resultado la alteración de la evidencia de la memoria.

Montaje automático de dispositivos de bloque

Al iniciar un sistema de pruebas desde un Live CD, se ejecutan una serie de scripts initrd para crear un sistema de archivos raíz temporal. Sin embargo, esto también dará lugar a varias escrituras en el sistema de archivos que darán lugar a la manipulación de datos de evidencia. Esto puede ocurrir por varias razones, como la ejecución de scripts de detección de hardware durante el tiempo de arranque, el montaje del sistema de archivos en modo de solo lectura mientras se crea un sistema de archivos raíz temporal, etc.

Falta de protección contra escritura adecuada

Algunas distribuciones dependen de scripts de bloqueo de dispositivos para configurar los dispositivos de bloqueo subyacentes de los sistemas de archivos en modo de solo lectura. Sin embargo, hay ciertas desventajas en este enfoque, ya que el modo de solo lectura solo protegerá la memoria del sistema de archivos del proceso que se ejecuta en el espacio del usuario, pero el código del controlador que se ejecuta en el espacio del kernel aún puede modificar la memoria del sistema de archivos.