En el artículo «convertir ficheros de magen img» que escribí hace ya unos meses, os explicaba cómo convertir un fichero RAW (img) en un fichero ejecutable desde una máquina virtual. Muchas veces (de hecho cada día soy más fan de este modo de generación de la evidencia digital) decidimos generar un fichero de imagen idéntica (espejo) del contenido de un disco (ya sea SSD, Magnetomecánico, M.2, etc.) convirtiendo los bits físicos del dispositivo de almacenamiento, en bits «lógicos» (el fichero .IMG) de tal forma que podemos guardar todo el contenido del disco físico, en un fichero idéntico, protegiendo al tiempo la prueba, pues ya no precisamos conectar de nuevo el disco físico, con el riesgo de contaminación que conlleva. De hecho, Manuel Guerra ya hablaba de esta práctica, allá por 2017, en la Morteruelo CON, generando posteriormente una serie de artículos al respecto. Os dejo aquí el primero de ellos, por si os interesa leerlo: el clonado ya no se lleva parte 1

Para los que no hayáis leído mi artículo anterior, os resumo: allí os hablaba de cómo convertir ficheros de imágen forense, en ficheros con formato VMDK, legibles y ejecutables, tanto desde Virtual Box, como desde VmWare, entre otros. Esto lo conseguíamos gracias a la utilidad gratuita de «CloudBase Solutions» la cual, mediante línea de comandos, convertía con apenas un parámetro, cualquier fichero de imagen, en fichero de máquina virtual. Sin embargo, esta utilidad tiene -en mi opinión- una grave carencia; y es que no te indica el % de lo que lleva hecho. Así pues debemos creer que está funcionando. De hecho, en la imagen anterior os muestro el proceso de la conversión, al hacer un listado del directorio de destino. Pues bien: realmente (son las 12:45 en este momento) desde las 12:17 horas no se ha movido nada; ni el tamaño, ni la hora.

Esta carencia, cuando se trata de discos de gran tamaño, puede ser un poco desesperante, pues a veces tendemos a pensar «que la conversión ha fallado». Tampoco ayuda mucho el que -durante largos períodos de tiempo- el listado del fichero «temporal» que está generando en la carpeta de destino, no sume bits (no engorde), ni que cambien los minutos desde la última actualización. Me explico: en una partición de 1Tb (muy común) se puede tirar más de media hora, sin cambiar, ni la fecha, ni el tamaño del fichero VMDK que se está generando. Esto es desesperante.

Así pues, para los menos puristas de la línea de comandos, os traigo otra utilidad (igualmente gratuita) capaz de convertir un fichero RAW (fichero de imagen) en cualquier formato, incluyendo -al igual que la utilidad anterior- AWS de Amazon, HiperV, etc. Esta utilidad la podéis descargar directamente desde su página web. Al menos, esta utilidad os permite saber qué porcentaje de conversión tiene en cada momento, como podéis ver en la imagen anterior.

Quizá la única pega que le pongo es que, para descargarlo, nos obliga a identificarnos, con nuestro nombre, rol de la empresa, correo electrónico, teléfono, etc. En este caso es preciso poner un correo electrónico válido (ahí está la pega) pues se nos enviará un enlace de descarga, a dicho correo. Los demás datos, podéis falsearlos (inventaros el nombre, el rol, el teléfono…). Ni que decir tiene, que una solución muy válida cuando nos toca poner un correo válido, es la de usar una cuenta creada expresamente para estos casos, evitando así que toda la publicidad que nos enviarán posteriormente -a buen seguro, cuando no sea que la vendan a terceros- inunde nuestros correos corporativos y/o personales.

Recordad que -en informática- todo es infinitamente diferente, dependiendo de si es cero, o es uno.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Creador y profesor del MOOC OnLine «Ciberseguridad Defensiva, Ofensiva y OSINT» impartido por la Univ. de Extremadura

Profesor en el «Máster de Abogacía Digital», impartido por la USAL

Profesor en el «Grado en Ciencias Policiales», impartido por la USAL para Policía Nacional. 

Socio Fundador Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Prueba Electrónica – El Blog de Auditores y Peritos Informáticos

[email protected]