Estamos trabajando con un contratista en relación con una computadora comprometida. El contratista ha pedido un dd volcado de la unidad. Sin embargo, mi entendimiento es que dd le permitiría al contratista recuperar archivos borrados.
¿Cómo puedo producir una imagen que sea de arranque / uso forense, pero que no permita la recuperación de archivos eliminados?
Si bien hay formas de compactar todos los archivos en un sistema y copiar / actualizar el registro de inicio, esto no es forense. El único enfoque forense válido es copiar todo exactamente como es y preservarlo. Es posible que pueda copiar todo y luego poner a cero todo el espacio no asignado (borrado de espacio libre), pero eso podría limitar su capacidad de usarlo para otra cosa que no sea intentar averiguar qué sucedió. Incluso así, limitará su capacidad para descubrir ciertos tipos de ataques.
Si su objetivo es buscar una acción penal o civil, tiene una ardua batalla para demostrar que cualquier tipo de modificación al estado del sistema es apropiada para la evidencia en cualquier jurisdicción. Desde una posición de testigos expertos para el lado opuesto, llovería un infierno por todas partes. Esto es similar a limpiar las paredes antes de investigar una escena de asesinato.
Lea otras preguntas en las etiquetas tools incident-response