Almacenamiento de Pruebas
Una vez el disco hasido sacado de la máquina, debe ser almacenado de forma segura para poder ser utilizado como prueba a posteriori en un juicio. Si no se almacena de forma correcta, no será la primera vez que la investigación no pueda seguir o las pruebas se declaren nulaspor parte de un juez o jurado por contaminación o tratamiento indebido.
Es necesario tomar notas de lo que se hace con el disco duro, y a que hora, almacenándolo en una ubicación segura como por ejemplo una caja fuerte. Es recomendable que siempre que se trabaje con el medio original esté acompañado por un colega, para que conste a los efectos legales y su testimonio pueda ser confirmado por alguien con un nivel de conocimientos similar.
Las copias deben ser hechas bit-por-bit, es decir será necesario hacerimágenes del disco. La investigación debe ser llevada sobre una copia y nunca sobre el disco original. Se debe hacer tres copias del disco duro original. Sobre todas las copias y original se debe llevar acabo una verificación criptográfica - un checksum MD5.
Creación de imagenes es un método de hacer copias exactas de particiones de disco duro. La utilidad que nos permite llevarlo acabo es "dd" (ver la página man de la utilidad, y el artículo de Thomas Rude [12]). Utilidades como tar y cpio están bien si la portabilidad es lo más importante, y dump y restore están perfectas para recuperar ficheros individuales en casos de que la consistencia de información es lo más importante.
Por supuesto, éstas utilidades tienen su sitio merecido, pero a lo que se refiere al análisis forense, lo más importante es conservación de información. Las utilidades descritas anteriormente no le permiten conservar el espacio "slack" al final de los ficheros, ni permiten conservar que es lo que exactamente contenían los bloques de los ficheros eliminados. Ya que los intrusos frecuentemente almacenan ficheros en el espacio "slack" de los archivos y borran de forma segura los archivos logs una vez que hayan penetrado en el sistema para ocultar sus huellas.
Todas las acciones realizadasdurante el análisis deben ser documentadas detenidamente. Es fácil hacerlo, si se utiliza el programa script, el cual toma nota de toda la entrada y salida del shell. Script marca la hora de inicio/fin del log de eventos, y usa el comando date varias veces durante la sesión para guardar los tiempos intermedios.