hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md

# Adquisición e Instalación de Imágenes

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

## Adquisición

### DD
```bash
#This will generate a raw copy of the disk
dd if=/dev/sdb of=disk.img
```
### dcfldd

dcfldd es una herramienta de adquisición de imágenes forenses que se utiliza para crear imágenes bit a bit de dispositivos de almacenamiento. Es una versión mejorada de la herramienta dd y tiene algunas características adicionales, como la capacidad de mostrar el progreso de la imagen y la verificación de la imagen después de la creación. 

dcfldd se puede utilizar para adquirir imágenes de discos duros, dispositivos USB, tarjetas SD y otros dispositivos de almacenamiento. También se puede utilizar para crear imágenes de particiones individuales en un disco duro. 

Para utilizar dcfldd, primero debe instalarlo en su sistema. Luego, puede ejecutar el comando dcfldd con los parámetros adecuados para crear una imagen de un dispositivo de almacenamiento. Por ejemplo, para crear una imagen de un disco duro llamado /dev/sda y guardarla en un archivo llamado imagen.dd, puede ejecutar el siguiente comando:

```
dcfldd if=/dev/sda of=imagen.dd
```

Una vez que se ha creado la imagen, se puede montar en un sistema de archivos para examinar su contenido.
```bash
#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
```
### FTK Imager

Puedes [**descargar FTK Imager desde aquí**](https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1).
```bash
ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name'
```
### EWF

Puedes generar una imagen de disco usando las herramientas de **ewf**.
```bash
ewfacquire /dev/sdb
#Name: evidence
#Case number: 1
#Description: A description for the case
#Evidence number: 1
#Examiner Name: Your name
#Media type: fixed
#Media characteristics: physical
#File format: encase6
#Compression method: deflate
#Compression level: fast

#Then use default values
#It will generate the disk image in the current directory
```
## Montaje

### Varios tipos

En **Windows** puedes intentar usar la versión gratuita de Arsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)) para **montar la imagen forense**.

### Raw
```bash
#Get file type
file evidence.img 
evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b82b280cf299 (extents) (64bit) (large files) (huge files)

#Mount it
mount evidence.img /mnt
```
### EWF

EWF (Expert Witness Compression Format) es un formato de imagen forense que permite la compresión de imágenes forenses sin pérdida de datos. EWF es compatible con varias herramientas forenses y es especialmente útil para la adquisición de imágenes de discos duros grandes. EWF también permite la creación de imágenes segmentadas, lo que significa que una imagen grande se divide en varias partes más pequeñas para facilitar su manejo.
```bash
#Get file type
file evidence.E01 
evidence.E01: EWF/Expert Witness/EnCase image file format

#Transform to raw
mkdir output
ewfmount evidence.E01 output/
file output/ewf1 
output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be813be09b24 (needs journal recovery) (extents) (64bit) (large files) (huge files)

#Mount
mount output/ewf1 -o ro,norecovery /mnt
```
### ArsenalImageMounter

Es una aplicación de Windows para montar volúmenes. Puedes descargarla aquí [https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)

### Errores

* **`cannot mount /dev/loop0 read-only`** en este caso necesitas usar las banderas **`-o ro,norecovery`**
* **`wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.`** en este caso el montaje falló debido a que el desplazamiento del sistema de archivos es diferente al de la imagen del disco. Necesitas encontrar el tamaño del sector y el sector de inicio:
```bash
fdisk -l disk.img 
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00495395

Device        Boot Start    End Sectors  Size Id Type
disk.img1       2048 208895  206848  101M  1 FAT12
```
Ten en cuenta que el tamaño del sector es **512** y el inicio es **2048**. Luego monta la imagen de la siguiente manera:
```bash
mount disk.img /mnt -o ro,offset=$((2048*512))
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén la [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated to Spanish 2023-06-03 01:46:23 +00:00			`# Adquisición e Instalación de Imágenes`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Adquisición`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`### DD`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`#This will generate a raw copy of the disk`
			`dd if=/dev/sdb of=disk.img`
			```
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`### dcfldd`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`dcfldd es una herramienta de adquisición de imágenes forenses que se utiliza para crear imágenes bit a bit de dispositivos de almacenamiento. Es una versión mejorada de la herramienta dd y tiene algunas características adicionales, como la capacidad de mostrar el progreso de la imagen y la verificación de la imagen después de la creación.`

			`dcfldd se puede utilizar para adquirir imágenes de discos duros, dispositivos USB, tarjetas SD y otros dispositivos de almacenamiento. También se puede utilizar para crear imágenes de particiones individuales en un disco duro.`

			`Para utilizar dcfldd, primero debe instalarlo en su sistema. Luego, puede ejecutar el comando dcfldd con los parámetros adecuados para crear una imagen de un dispositivo de almacenamiento. Por ejemplo, para crear una imagen de un disco duro llamado /dev/sda y guardarla en un archivo llamado imagen.dd, puede ejecutar el siguiente comando:`

			```
			`dcfldd if=/dev/sda of=imagen.dd`
			```

			`Una vez que se ha creado la imagen, se puede montar en un sistema de archivos para examinar su contenido.`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			`dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>`
			`dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes`
			```
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`### FTK Imager`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Puedes [descargar FTK Imager desde aquí](https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1).`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name'`
			```
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`### EWF`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Puedes generar una imagen de disco usando las herramientas de ewf.`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`ewfacquire /dev/sdb`
			`#Name: evidence`
			`#Case number: 1`
			`#Description: A description for the case`
			`#Evidence number: 1`
			`#Examiner Name: Your name`
			`#Media type: fixed`
			`#Media characteristics: physical`
			`#File format: encase6`
			`#Compression method: deflate`
fix mess 2022-05-01 12:41:36 +00:00			`#Compression level: fast`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
			`#Then use default values`
			`#It will generate the disk image in the current directory`
			```
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## Montaje`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`### Varios tipos`
GitBook: [master] one page modified 2021-04-01 21:44:54 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`En Windows puedes intentar usar la versión gratuita de Arsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)) para montar la imagen forense.`
GitBook: [master] one page modified 2021-04-01 21:44:54 +00:00
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`### Raw`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`#Get file type`
			`file evidence.img`
			`evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b82b280cf299 (extents) (64bit) (large files) (huge files)`

			`#Mount it`
			`mount evidence.img /mnt`
			```
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`### EWF`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`EWF (Expert Witness Compression Format) es un formato de imagen forense que permite la compresión de imágenes forenses sin pérdida de datos. EWF es compatible con varias herramientas forenses y es especialmente útil para la adquisición de imágenes de discos duros grandes. EWF también permite la creación de imágenes segmentadas, lo que significa que una imagen grande se divide en varias partes más pequeñas para facilitar su manejo.`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`#Get file type`
			`file evidence.E01`
			`evidence.E01: EWF/Expert Witness/EnCase image file format`

			`#Transform to raw`
			`mkdir output`
			`ewfmount evidence.E01 output/`
			`file output/ewf1`
			`output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be813be09b24 (needs journal recovery) (extents) (64bit) (large files) (huge files)`

			`#Mount`
			`mount output/ewf1 -o ro,norecovery /mnt`
			```
GitBook: [#3476] No subject 2022-09-09 12:03:08 +00:00			`### ArsenalImageMounter`
GitBook: [master] 2 pages modified 2021-05-28 17:29:30 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Es una aplicación de Windows para montar volúmenes. Puedes descargarla aquí [https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`### Errores`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			* `cannot mount /dev/loop0 read-only` en este caso necesitas usar las banderas `-o ro,norecovery`
			* `wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.` en este caso el montaje falló debido a que el desplazamiento del sistema de archivos es diferente al de la imagen del disco. Necesitas encontrar el tamaño del sector y el sector de inicio:
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`fdisk -l disk.img`
			`Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors`
			`Units: sectors of 1 * 512 = 512 bytes`
			`Sector size (logical/physical): 512 bytes / 512 bytes`
			`I/O size (minimum/optimal): 512 bytes / 512 bytes`
			`Disklabel type: dos`
			`Disk identifier: 0x00495395`

			`Device Boot Start End Sectors Size Id Type`
			`disk.img1 2048 208895 206848 101M 1 FAT12`
			```
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Ten en cuenta que el tamaño del sector es 512 y el inicio es 2048. Luego monta la imagen de la siguiente manera:`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`mount disk.img /mnt -o ro,offset=$((2048*512))`
			```
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén la [oficial PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) grupo de Discord o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`