Hola, secuaces:
De nuevo, y tras un
tiempo de inactividad en el Blog, vuelvo con un nuevo artículo. En esta
ocasión, el artículo trata sobre la revisión de un nuevo producto.
Este artículo tenía
que haber sido publicado antes, pero me ha sido imposible. En primer lugar, por
razones de estudio. Estudios que han tenido un fuerte y positivo impacto en
mi profesión y en mi vida. En segundo lugar, por la celebración de la “I Liga Nacional
de Retos en el Ciberespacio”, organizado por la Guardia Civil.
La NCL
es un evento que ha sido creado para poner
en valor a nuestro talento universitario desde una visión pluridisciplinar.
Y este humilde servidor ha tenido el inmenso honor, (y responsabilidad), de realizar labores de mentoring
con un fantástico elenco de profesionales de diversas disciplinas y de
maravillosas personas. Debo decir que me
he sentido tocado por lo que se ha denominado como ‘El Espíritu
de Aranjuez’. Porque la NCL no es sólo un evento. La NCL es una
iniciativa que pretende detectar y
potenciar el talento que existe en nuestro país. Puedes ver qué es lo que
ha ocurrido en esta primera edición de la “I Liga Nacional de Retos en el Ciberespacio”,
siguiendo los hashtags ‘NationalCyberLeagueGC’
y ‘FinalNationalCyberLeagueGC’.
A modo de resumen, en lo que ha sido la “I Liga Nacional de Retos en el
Ciberespacio”, te recomiendo la lectura de estos dos artículos:
Foto de familia de la 1ª NCL que se celebró en el Centro
Universitario de la Guardia Civil
Como decía antes, este artículo tenía que haber sido publicado antes, pero
me ha sido imposible. Así, que creo que lo primero que tengo que hacer es pedir
disculpas por no haberlo escrito con anterioridad.
Volviendo al tema que hoy nos ocupa,
Soy incapaz de probar algo nuevo y no escribir sobre ello.
Creo que cuando alguien prueba algo
nuevo, debe contar su experiencia, debe exponer sus pruebas, para que los demás
puedan conocerlo.
Ha llegado a mis manos un elemento hardware muy interesante. Se trata de Guardonix, un bloqueador de escritura por hardware y
estabilizador de lectura, propiedad de la empresa DeepSpar Data Recovery Systems, (expertos en recuperación de datos).
¿Qué es un bloqueador de escritura?
Es un dispositivo físico que impide
la escritura de un dispositivo de almacenamiento, objeto de un análisis,
como evidencia digital. Un bloqueador de escritura constituye el mejor método de creación de imágenes forenses. El
objetivo de su uso es obtener una imagen forense que no altere, de ninguna
manera, dato alguno del dispositivo de almacenamiento origen que está siendo
objeto del tratamiento.
El bloqueo de escritura se puede efectuar tanto por software como por
hardware. Pero no hay que confundir un
bloqueo de escritura con un bloqueador de escritura. Al igual que ocurre con
el software, existen en el mercado multitud de marcas que comercializan estos
productos. Pero Guardonix, en mi opinión, marca una diferencia, con una serie
de funciones muy interesantes y útiles, que veremos más adelante.
Debes tener en cuenta que, cuando conectas una unidad de almacenamiento, el
sistema estará, constantemente, tratando de escribir en el disco para
actualizar varios metadatos del sistema de archivos. Sin un bloqueador de
escritura, el simple hecho de ver el
contenido de la unidad, en este asunto, haría que las pruebas se sobrescribieran
permanentemente.
¿Qué es Guardonix?
Guardonix es un bloqueador de
escritura USB 3.0. Este elemento hardware tiene un tamaño muy reducido. De hecho, cabe en la palma de la mano, por lo
que se hace muy cómodo trabajar con él. Guardonix permite que cualquier
herramienta de software, basada en Windows, funcione con dispositivos de
almacenamiento parcialmente fallidos. Cada kit incluye el cable USB del
dispositivo Guardonix y la fuente de alimentación. La fuente de alimentación es
opcional y sólo necesita conectarse si la unidad de la fuente tiene un consumo
de energía inusualmente grande.
¿Cómo funciona
Guardonix?
Después de encender la estación de trabajo, basta con conectar Guardonix,
directamente, a un puerto USB. Una vez conectado Guardonix a la estación de
trabajo, se conecta, a éste, el dispositivo de almacenamiento objeto del
tratamiento. Con todo conectado ya, sólo queda elegir la herramienta software
de creación de imágenes forenses que deseemos y disfrutar del proceso.
¿Cuál es la
principal ventaja de Guardonix?
La principal ventaja que presenta Guardonix, es que este bloqueador de escritura no permitirá que el proceso de adquisición
de datos sea interrumpido por las inestabilidades de lectura que puedan ocurrir
en el dispositivo, objeto de la adquisición. Esto es de vital importancia
porque, si se interrumpe la alimentación o la lectura de la unidad, Guardonix
retomará la actividad en el estado en el que quedó dicha unidad.
La ventaja única de Guardonix, con otros bloqueadores de
escritura, es que, además de bloquear la escritura, también estabiliza la
conexión USB.
Guardonix funciona bajo sistemas Windows y permite una interacción completa
con la unidad de origen, como si se estuviera trabajando directamente con ella.
Estabiliza la conexión con el dispositivo USB, logrando, de este modo, que no se
desconecte la unidad o que el sistema se bloquee, cosa bastante habitual en
unidades muy degradadas. La velocidad de
lectura se representa en una gráfica y los sectores se visualizan en un mapa de
sectores. Todo ello, a tiempo real.
El hardware de Guardonix se ubica entre el equipo informático y el
dispositivo de almacenamiento, por lo que se asegura su conexión. Es decir, que
lo que ocurra en la estación de trabajo
no afectará al dispositivo de almacenamiento y lo que ocurra en el dispositivo
de almacenamiento no afectará a la estación de trabajo.
Desde el primer instante, en el momento de su conexión con el dispositivo
de almacenamiento, Guardonix muestra la velocidad de lectura, el estado de la
unidad, el sector actual de lectura, el estado del sector actual y los intentos
de escritura. Todo ello, en tiempo real.
Es agradable poder visualizar, en tiempo real y en
detalle, todo el proceso de creación de una imagen forense, (sin preguntarnos,
constantemente, si está trabajando bien la herramienta seleccionada).
Mejora la velocidad de creación de imágenes forenses, porque interrumpe el
procesamiento de sectores defectuosos, traducido en los reintentos de lectura
de un determinado sector.
Opcionalmente, Guardonix puede evitar que Windows monte el sistema de
ficheros de la unidad de almacenamiento USB, objeto del análisis, lo que
elimina la posibilidad de errores en el montaje con un sistema de ficheros
dañado.
Guardonix no es un software de creación de imágenes. Podrás elegir el que
más te interese, para cada caso, pero Guardonix te ofrecerá algunas opciones
para complementar algunas posibles carencias de tu software, (como, por
ejemplo, el tiempo de espera de lectura entre un sector y el siguiente).
Por último, Guardonix genera un log muy detallado con las acciones que se
han llevado a cabo con el dispositivo de almacenamiento objeto del análisis.
Este log se generará con cada conexión que Guardonix efectúe en el equipo
informático y se podrá guardar en un formato ‘.txt’.
Tienes disponible, en el sitio oficial de Guardonix, algunos vídeos sobre el funcionamiento de Guardonix,
(https://guardonix.com/blog.html).
Huelga decir que su visionado es muy
recomendable para entender cómo trabaja.
Igualmente, Brett Shavers
ha escrito ya sobre Guardonix en el Blog de DFIR Training, (https://www.dfir.training/dfir-training-blog/if-you-don-t-already-have-a-deepspar-guardonix-you-might-want-to-get-one),
así que voy a centrarme en mostrarte un par de pruebas que he estado realizando
con este imprescindible elemento hardware, que ya forma parte de mi arsenal
DFIR.
Dispongo de una
unidad de memoria USB 3.0, de 128 GB, de la casa EMTEC.
Esta, era, (en pasado), uno de mis dispositivos de
batalla. Creía que funcionaba a la perfección, pero, llegados a un punto
determinado…
La unidad,
se hace inaccesible. Claramente esto es un síntoma de que algo no funciona
bien. Así, que tengo un candidato perfecto para la primera prueba.
En primer
lugar, conecto el dispositivo USB en el puerto USB 3.0 de mi estación de
trabajo, directamente.
Una vez
conectada la unidad al equipo, el Sistema monta el sistema de ficheros y asigna
una letra de unidad para poder comenzar con la exploración del dispositivo. Tal
y como se puede apreciar en la imagen siguiente, el dispositivo contiene
información. Ejecuto la herramienta FTK
Imager Lite para la correspondiente creación de la imagen forense
del dispositivo.
El proceso
de creación de la imagen forense comienza a una velocidad de 11,570 MB/sec, con
un tiempo estimado de finalización de 02:49:19 horas.
Tras una
espera de 07:36:57 horas, vuelvo a comprobar el estado del proceso.
Teóricamente, debiera de haber finalizado ya, con éxito, pero…
Lo que me
encuentro en la pantalla es que, a pesar de todo el tiempo que ha transcurrido
ya, no sólo no ha finalizado el proceso de creación de la imagen forense, si no
que, además, el tiempo previsto para su finalización aún es de 06:55:42 horas,
(y aún va en aumento ese tiempo restante
estimado). De igual modo, la velocidad de lectura del dispositivo ha
disminuido de los 11,570 MB/sec a los 02,254 MB/sec, (y aún va descendiendo esa velocidad de lectura). Y, de igual modo, ha
desaparecido el contenido que antes tenía disponible en la carpeta del
dispositivo, quedándose dicha ventana en un modo permanente de ‘Working on it’.
Decido
esperar más tiempo… No tengo prisa, por ahora.
Después de
19:38:39 horas, el proceso de creación de la imagen forense se ha estancado en
el 53%, con una velocidad de lectura de 0,885 MB/sec y con un tiempo estimado
de finalización de toras 17:23:39 horas.
Así pues,
decido cancelar este proceso.
Si echamos
un vistazo al log de creación de la imagen forense del dispositivo, podemos
apreciar que existen multitud de
sectores defectuosos, que presentan errores de lectura. Sectores, cuyo contenido ha sido sustituido por ceros
en la imagen forense.
Ni que decir
tiene que, este proceso fallido de la
creación de la imagen forense, ha dañado más aún el dispositivo.
Voy a
iniciar un nuevo proceso, con la misma herramienta, usando Guardonix.
Lo primero
que debemos hacer cuando conectamos el dispositivo Guardonix, es abrir la
unidad, que contendrá en su interior un fichero de texto con la URL www.guardonix.com/download.
En esta dirección web podremos descargar el software del dispositivo Guardonix,
proporcionando el número de serie de nuestro dispositivo. Dicho software se
descargará en formato ‘.zip’.
Una vez se
ha descargado el fichero y lo hemos descomprimido en nuestra carpeta de
trabajo, con Guardonix conectado, ejecutamos el fichero ‘Guardonix.exe’.
En la nueva
ventana que aparecerá, que es la ventana de la utilidad de Guardonix, si nos
situamos sobre la pestaña de ‘Log’, podremos ver que es necesario instalar el
controlador del dispositivo en la estación de trabajo. De igual modo, cuando se
encuentre disponible una actualización del dispositivo, se nos avisará. Basta
con presionar el botón de ‘Install’ o de ‘Update’ para que se lleven a cabo
esas tareas. Tras finalizar, el Sistema tendrá que ser reiniciado.
Una vez que
se ha reiniciado el Sistema, bien por la instalación del controlador, bien por
la actualización del mismo, ejecutamos de nuevo la utilidad ‘Guardonix.exe’.
Lo primero
que debemos saber es que el hardware de
Guardonix no permite que la estación de trabajo tenga acceso directo a la
unidad conectada. De este modo podremos tener la tranquilidad de poder
trabajar con el dispositivo de almacenamiento de una manera segura.
Lo primero
que se puede ver, cuando se abre la utilidad de Guardonix, son una serie de
opciones, entre las que se encuentran las típicas de control de la interfaz.
En esta
pestaña se encuentran las opciones del Registro
de Eventos, que podemos marcar o desmarcar con las correspondientes
casillas de verificación. Guardonix puede registrar en su log eventos de
errores de lectura, (con indicación de la dirección del sector y de la longitud
del bloque), eventos de lecturas satisfactorias, eventos de intento de
escritura y eventos de ‘Errors/Warnings’, que registran informaciones varias sobre
errores y avisos.
Más abajo,
nos encontramos con opciones para la configuración de la edición profesional,
que es la que voy a mostrar en esta review.
La primera
de estas opciones trata sobre el montaje
del sistema de ficheros. Si se desmarca esta opción, evitaremos que Windows
monte el sistema de archivos de la unidad conectada. Es decir, que no se
asignará una letra de unidad y no podremos explorar dicha unidad. Esta es una
opción muy interesante a tener en cuenta cuando se trabaja con unidades que
están muy degradadas y que podrían presentar problemas durante su montaje,
pudiendo llegar, en algunos casos, hasta el propio bloqueo de la estación de
trabajo.
La segunda
de las opciones en la configuración para la edición profesional consiste en la
posibilidad de establecer que la unidad conectada se trate, únicamente, como de
sólo lectura. Windows no se comporta
del mismo modo con unidades de sólo lectura.
La tercera
de las opciones que tenemos disponibles desde la casilla de verificación, para
la versión profesional, consiste la posibilidad de apagar la unidad conectada si se encuentra inactiva. Por defecto,
esto ocurrirá después de 300 segundos de inactividad. Pero este valor se puede
modificar a través de una clave del Registro de Windows. Que un dispositivo de
almacenamiento se auto escanee es bueno para que pueda llevar a cabo su propio
mantenimiento. Pero si la unidad presenta sectores defectuosos tendrá el efecto
contrario, agravando sus daños.
Más abajo,
nos encontramos con cinco opciones desplegables.
La primera
de ellas es la relativa al tipo de
dispositivo. Es crítico que elijamos bien el tipo de dispositivo, entre el
disco duro y el disco SSD o dispositivo Flash.
La siguiente
de las opciones se corresponde al tiempo
de espera en la lectura. Guardonix nos da la opción de indicarle cuánto
tiempo ha de esperar antes de lanzar al dispositivo de almacenamiento una
petición de lectura. Las opciones que tenemos disponibles son: corto, medio,
largo y apagado. Este aspecto debe ser tenido en cuenta valorando el estado de
la unidad de almacenamiento. Si la unidad no presenta daños se recomienda
establecerlo en ‘Off’. Pero si la unidad presenta una ingesta cantidad de
sectores defectuosos se recomienda establecerlo en ‘Short’. La elección
adecuada dependerá del estado de la unidad.
La tercera
opción desplegable que nos encontramos es la referente a la posibilidad de
efectuar reintentos de lectura en
sectores y bloques defectuosos. Como normal general, cualquier software de
recuperación de datos, o incluso el propio Sistema Windows, llevan a cabo
reintentos de lectura sobre sectores defectuosos. Las opciones que tenemos a
nuestra disposición son las de permitir, no reintentar sectores o no reintentar
bloques. Si seleccionamos la opción de no reintentar bloques, Guardonix
responderá de forma automática con un error cuando se vuelva a intentar esa
lectura fallida y el software forense no podrá acceder a la unidad de origen.
Esto acelera el proceso de generación de la imagen forense, a costa de perder
algunos sectores o bloques. Si seleccionamos la opción de no reintentar
sectores, se permitirá la lectura de los sectores del mismo bloque, pero se
impedirá la lectura de los sectores dañados que se encuentren en ese bloque.
La siguiente
opción desplegable con la que nos encontramos versa sobre la respuesta a intentos de escritura.
Tenemos opción de especificar cómo responderá el hardware de Guardonix a los
intentos de escritura. Podemos establecer esta respuesta en ‘Fake write’ para
simular la escritura satisfactoria en la unidad, sin escribir nada en ella, o
podemos establecerla en ‘Error’, para bloquear ese intento de escritura.
La última de
las opciones que vemos en esta pestaña es la relativa a la velocidad USB. Podemos optar a elegir entre una velocidad de un USB
2.0, velocidad de un USB 3.0, o una selección automática. Dependiendo de los
daños que presente la unidad, podría ser ventajoso establecer una velocidad
inferior de lectura a la unidad.
Ahora nos
vamos a desplazar a la pestaña ‘Log’. En esta pestaña podemos observar toda la información relativa a la unidad de
almacenamiento.
En este
apartado se grabará toda la información
del dispositivo de almacenamiento, la información del hardware de Guardonix y
las opciones que le hayamos indicado en la configuración, (las lecturas con
errores, los intentos de escritura, las lecturas satisfactorias y/o otros
errores/alertas. También se registrarán los consejos que Guardonix nos ofrece.
Guardonix me ha demostrado ser inteligente, ofreciendo tips según se encuentra
con diferentes estados en las unidades conectadas.
Ahora nos
desplazamos a la pestaña de ‘Sector Map’. En este apartado podremos observar la
velocidad de lectura del dispositivo,
a tiempo real. Debajo del gráfico se muestra el mapa de los sectores, que pueden presentar los colores verde,
(sectores que se han leído correctamente), rojo, (sectores que han presentado
un error en su lectura), amarillo, (sectores que no se han leído porque se ha
superado el tiempo de espera), negro, (es el último sector procesado e indica
la posición actual), y azul, (que se corresponde a un intento de escritura en
ese sector).
Ahora he
conectado el dispositivo de almacenamiento USB dañado al hardware de Guardonix
Con la
siguiente configuración.
El Sistema
monta el sistema de ficheros de la unidad de almacenamiento y puedo explorarlo
con total normalidad. De hecho, por error, voy a eliminar una serie de
ficheros.
Guardonix
procesa la información como si realmente hubiera eliminado los ficheros
seleccionados del dispositivo de almacenamiento. Mientras tanto, en la pestaña
de mapa de sectores, podemos observar la lectura de los sectores a tiempo real
y el mapa de sectores del contenido leído, con su código de color
correspondiente.
Pero es
suficiente con efectuar una nueva conexión del dispositivo, mediante el botón
de ‘Power Off’ y ‘Power On’, para poder observar que no se ha efectuado cambio
alguno en el dispositivo objetivo.
Tras una
nueva realimentación de la unidad, el contenido de la misma vuelve a estar
disponible.
Es decir,
que puedo llevar a cabo cualquier acción con el dispositivo con tranquilidad
porque Guardonix me permite trabajar con
total seguridad.
Exploro el
sistema de ficheros del dispositivo que he conectado a Guardonix y, durante la
exploración, me encuentro con errores de redundancia cíclica.
Estos
errores se pueden visualizar en el mapa de sectores, que nos indicará en color
rojo los sectores dañados. Además de encontrar esos sectores dañados en el log
que Guardonix genera, podríamos colocar el cursor del ratón encima de uno de
ellos para que nos indique su ubicación.
Los errores
de lectura en la exploración de la unidad podrían solventarse con un cambio en
la configuración de Guardonix, pero Guardonix
es listo y aconseja bien, con mensajes como este de abajo.
“ADVERTENCIA: Para mejorar el rendimiento y evitar que
Windows se cuelgue cuando trabaje con unidades inestables, se recomienda
encarecidamente desactivar la opción Montaje de sistemas de archivos en la
configuración.”
Guardonix nos irá mostrando consejos según se encuentre
una situación u otra.
Así pues,
voy a efectuar un cambio en la configuración de Guardonix para que no monte el
sistema de ficheros, entre otros factores. Porque lo que me interesa es
procesar una imagen forense, de manera satisfactoria.
Dicho lo
cual, ahora configuro Guardonix de la siguiente manera.
Ejecuto, con
el dispositivo conectado a través de Guardonix, un nuevo proceso de generación
de imagen forense.
El tiempo
estimado para la finalización de este nuevo proceso es de 06:07:37 horas. ¿Qué
ocurrirá ahora?
La velocidad
de lectura es de 7,577 MB/sec durante esta parte del proceso, con un tiempo
estimado de ejecución de 04:19:25 horas.
Hasta que, a
partir del 53 % del proceso ejecutado, comienzan a presentarse los errores de
lectura en la unidad.
Información
que podemos ver en mapa de sectores.
E
información que podemos ver en el log de Guardonix.
Aún con esa
cantidad de errores en la lectura, la configuración de Guardonix hace que el
tiempo se optimice de mejor modo, con una velocidad de lectura de 4,501 MB/sec,
con un tiempo estimado de finalización de 02:51:44 horas.
Ten en
cuenta que, en la primera prueba efectuada, sin el uso de Guardonix, el proceso
se estancó en el 53 % de la generación de la imagen forense, con un tiempo
transcurrido de 19:38:39 horas y un tiempo estimado de 17:23:39 horas.
En este
nuevo proceso, con el empleo de Guardonix, el proceso de generación de la
imagen forense se encuentra en el 60 %, con un tiempo transcurrido de 04:25:22
horas y un tiempo estimado de 02:51:44 horas.
Continúo con
la generación de la imagen forense y el proceso finaliza satisfactoriamente
tras 08:17:19 horas. Eso es menos de la mitad del tiempo del proceso anterior,
que quedó estancado.
No sé mucho de números… pero la diferencia es enorme. Son
muchas horas. Muchísimas horas, que pueden dedicarse al análisis, propiamente
dicho, de la imagen forense de la unidad.
Para la
siguiente prueba, decido utilizar un disco duro mecánico de 80 GB, de la casa
HITACHI, conectado a la estación de trabajo mediante un adaptador SATA a USB. Este
disco duro lo uso exclusivamente para pruebas. Todo tipo de pruebas
descabelladas, como las que voy a hacer aquí, ahora. Suena mucho como una
carraca, pero no hay manera de romperlo, sin recurrir a la violencia física ;)
Esta prueba
consistirá en la extracción del disco
duro durante el proceso de generación de la imagen forense, (simulando la
peor de las situaciones).
Ejecuto un
nuevo proceso para la generación de la imagen forense.
A los pocos
segundos de comenzar el proceso de generación de la imagen forense, extraigo el
disco duro del adaptador. Soy un
temerario.
Nada más
proceder con la extracción del disco duro del adaptador, obtenemos un ‘bonito’
mensaje en la pantalla…
Un mensaje que dicta: “Failure: The specified network resource or
device is no longer available. (55)”
Si ahora
conecto el disco duro, de nuevo, al adaptador, no conseguiré nada porque
tendría que comenzar con un nuevo proceso de creación de la imagen forense.
Aquí lo he provocado a los pocos segundos del comienzo, pero imagínate que
ocurre a los pocos segundos del final. El tiempo que se pierde es mucho, al igual que los daños que se ocasionan.
De nuevo,
voy a hacer uso del hardware de Guardonix. Antes de conectar el disco duro al
hardware de Guardonix, configuro la utilidad, quedando de la siguiente manera.
Podría
conectar mi adaptador SATA a USB, directamente a Guardonix. Pero también
dispongo del adaptador SATA a USB que me ha proporcionado Guardonix. Así, que
voy a emplear este último método de conexión a la estación de trabajo,
empleando también los adaptadores de corriente.
Una vez
conectado el disco duro al hardware de Guardonix, es detectado y registrado en
la pestaña Log de la utilidad de Guardonix.
Inicio un
nuevo proceso de generación de la imagen forense correspondiente.
Como en el
caso anterior, decido extraer el disco duro del adaptador a los pocos segundos
de que haya comenzado.
Pero, a
diferencia del caso anterior, el proceso no finaliza de manera inesperada.
Automáticamente,
tras la desconexión del disco duro, la utilidad se sitúa en la pestaña Log y
nos informa de que se ha producido en error en la lectura de un determinado
sector.
Pero el
proceso no se interrumpe. Permanece pausado. Hay que recordar que la estación
de trabajo no se comunica directamente con el dispositivo de almacenamiento
conectado al hardware de Guardonix y que lo que ocurra en uno no afecta al
otro.
Decido dejar el disco desconectado durante un tiempo y lo que aparecen son recordatorios que nos indican que el disco ha sido desconectado, pero aún está montado.
Tras unos
minutos, decido volver a conectarlo. Y esta actividad también se recoge en el
log de Guardonix, que puede leer ese sector de satisfactoriamente.
Realizo este
proceso de desconexión y desconexión en dos ocasiones, que se muestran en la
lectura del mapa de sectores.
Y la misma
actividad se recoge en el log, con lecturas satisfactorias para cada
reconexión.
A pesar de
todas las interrupciones de alimentación o desconexión del disco duro, el
software forense ha permanecido a la espera de la reconexión del dispositivo,
sin finalizar de manera inesperada.
Guardonix,
además de estabilizar la conexión USB, también optimiza la velocidad de
lectura.
Para ello,
he decidido crear, bajo las mismas circunstancias, dos imágenes forenses de
este disco duro.
La primera
de ellas, sin usar el hardware de Guardonix, finalizó en 53:37 minutos.
La segunda
de ellas, conectando el disco duro al hardware de Guardonix, finalizó en 40:21
minutos.
Conclusiones
Personalmente,
me ha gustado mucho el funcionamiento de Guardonix. Las pruebas las he llevado
a cabo sobre un dispositivo USB 3.0, muy dañado, y sobre un disco duro SATA.
Se trata de
un bloqueador de escritura de un tamaño reducido. Literalmente, cabe en un
bolsillo de una camisa.
Además de
hacer las funciones de un bloqueador de escritura, también estabiliza la
conexión USB al mantener y retomar el proceso en el estado en que se
encontrara, cuando se efectúa una reconexión.
Guardonix no
permite que el proceso de adquisición de la imagen forense sea interrumpido por
las inestabilidades de lectura que ocurran en el dispositivo objetivo.
Tanto la
velocidad de lectura como el mapa de sectores, en cualquiera de sus estados, se
representan a tiempo real en un gráfico.
Registra
toda la actividad que se lleva a cabo en la unidad objetivo y ofrece
posibilidad de seleccionar qué registros guardar.
Ofrece
multitud de opciones con el registro de eventos, con el montaje de ficheros,
con el apagado de la unidad si se encuentra inactiva durante un periodo de
tiempo, con la elección del tipo de dispositivo, con el tiempo de espera en la
lectura entre sectores, con los reintentos de lectura en sectores y bloques
defectuosos, con la velocidad USB, …
Ofrece
advertencias y consejos durante las operaciones, según se encuentre con
distintos estados en la unidad.
Lo que
ocurre en la estación de trabajo no afecta al dispositivo de almacenamiento y
lo que ocurre en el dispositivo de almacenamiento no afecta a la estación de
trabajo.
El hardware
de Guardonix no permite que la estación de trabajo tenga acceso directo a la
unidad conectada.
En las
pruebas que he llevado a cabo, ahorra mucho tiempo.
En resumen,
y en mis pruebas, me ha demostrado que permite trabajar con total seguridad, en
cualquier caso.
Tengo que dar la enhorabuena al equipo de DeepSpar porque, en mi opinión, han desarrollado un producto muy interesante.
Esto es todo.
No hay comentarios:
Publicar un comentario