El retorno: "Reto ncn

Está aquí: Inicio

El retorno: "Reto ncn_2010 Parte1"

Fecha de publicación Escrito por Juan José

juan@moon:~/ForensicTests/NcNForense$ ls /dev/loo*
loop0 loop1 loop2 loop3 loop4 loop5 loop6 loop7

Entonces utilzio loop1, y como se trata de evidencia forense, le indicamos a losetup que configure el loop device como SOLO lectura.

root@moon:/home/juan/ForensicTests/NcNForense# losetup -r /dev/loop1 okin.dd

Listamos nuevamente los dispositivos loop en uso y vemos ahora que loop1 está en uso con nuestro archivo.

root@moon:/home/juan/ForensicTests/NcNForense# losetup -a
/dev/loop1: [0801]:692806 (/home/juan/ForensicTests/NcNForense/okin.dd)

Podemos ver nuestro dispositivo con fdisk:

root@moon:/home/juan/ForensicTests/NcNForense# fdisk -l /dev/loop1

Disco /dev/loop1: 123 MB, 123379200 bytes
255 cabezas, 63 sectores/pista, 15 cilindros
Unidades = cilindros de 16065 * 512 = 8225280 bytes
Identificador de disco: 0x00000000

El disco /dev/loop1 no contiene una tabla de particiones válida

No tiene particiones válidas porque no se trata de un disco particionado, sino simplemente de una partición.
Ahora creamos un directorio donde montaremos nuestra partición para por fin poder ver qué contiene.

root@moon:/home/juan/ForensicTests/NcNForense# mkdir analisis

root@moon:/home/juan/ForensicTests/NcNForense# mount -o ro /dev/loop1 analisis/

Lo montamos como cualquier otro dispositivo de bloques, expecificando la opción de solo lectura, no es necesario especificar el tipo de partición ya que lo detecta automáticamente (aunque no estaría mal hacerlo).
Podemos ver que se montó correctamente mediante:

root@moon:/home/juan/ForensicTests/NcNForense# mount | grep loop1
/dev/loop1 on /home/juan/ForensicTests/NcNForense/analisis type ext2 (ro)
root@moon:/home/juan/ForensicTests/NcNForense#

Eso es todo por ahora, de aca en mas ya se puede recorrer la partición como lo hacemos normalmente. Para la próxima veremos el contenido, los archivos, sus fechas, etc, y ver cuánta información se puede obtener.