Un controlador de disco forense o dispositivo de bloqueo de escritura de hardware es un tipo especializado de controlador de disco duro de computadora diseñado con el propósito de obtener acceso de solo lectura a los discos duros de computadora sin el riesgo de dañar el contenido de la unidad. El dispositivo se llama forense porque su aplicación más común es para su uso en investigaciones donde un disco duro de computadora puede contener evidencia. Históricamente, este tipo de controlador se ha fabricado en forma de un dispositivo que se ajusta entre una computadora y un disco duro IDE o SCSI , pero con la llegada de USB y SATA , los controladores de disco forenses que admiten estas tecnologías más nuevas se han generalizado. Steve Bress y Mark Menz inventaron el bloqueo de escritura en el disco duro (patente de EE. UU. 6,813,682). [1]
Un dispositivo que se instala entre un medio de almacenamiento que se investiga y la computadora del investigador se denomina " kit puente ". El kit puente tiene un conector para el medio de almacenamiento y otro conector para la computadora del investigador. Permite al investigador leer, pero no alterar, el dispositivo que se investiga. [2]
El Instituto Nacional de Justicia de los Estados Unidos opera un programa de Pruebas de Herramientas de Informática Forense (CFTT) que identifica formalmente los siguientes requisitos de herramientas de nivel superior:
Un dispositivo de bloque de escritura de hardware (HWB) no deberá transmitir un comando a un dispositivo de almacenamiento protegido que modifique los datos del dispositivo de almacenamiento.
Un dispositivo HWB deberá devolver los datos solicitados por una operación de lectura.
Un dispositivo HWB deberá devolver sin modificaciones cualquier información de acceso significativo solicitada a la unidad.
Cualquier condición de error informada por el dispositivo de almacenamiento al dispositivo HWB se informará al host. [3]
Los controladores de disco forenses interceptan los comandos de escritura del sistema operativo host , lo que evita que lleguen a la unidad. Siempre que la arquitectura del bus host lo admita, el controlador informa que la unidad es de solo lectura. El controlador de disco puede denegar todas las escrituras en el disco e informarlas como fallas, o usar la memoria integrada para almacenar en caché las escrituras durante la sesión.
Un controlador de disco que almacena en caché las escrituras en la memoria presenta al sistema operativo la apariencia de que la unidad es escribible y utiliza la memoria para garantizar que el sistema operativo vea los cambios en los sectores individuales del disco que intentó sobrescribir. Para ello, recupera los sectores del disco si el sistema operativo no ha intentado cambiarlos y recupera la versión modificada de la memoria en el caso de los sectores que sí se han modificado.
Los controladores de disco forenses se asocian más comúnmente con el proceso de creación de una imagen de disco o adquisición durante el análisis forense . Su uso es para evitar la modificación involuntaria de la evidencia.
El uso de hardware para proteger el disco duro de las escrituras es muy importante por varias razones. En primer lugar, muchos sistemas operativos , incluido Windows , pueden escribir en cualquier disco duro que esté conectado al sistema. Como mínimo, Windows actualizará el tiempo de acceso de cualquier archivo al que se acceda y puede escribir cosas en el disco de forma inesperada, como crear carpetas ocultas para la papelera de reciclaje o la configuración de hardware guardada. Las infecciones de virus o malware en el sistema utilizado para el análisis pueden intentar infectar el disco que se está inspeccionando. Además, el sistema de archivos NTFS puede intentar confirmar o revertir transacciones no finalizadas y/o cambiar los indicadores del volumen para marcarlo como "en uso". En el peor de los casos, los archivos no deseados pueden asignar y sobrescribir el espacio eliminado en el disco duro, lo que puede destruir potencialmente la evidencia en forma de archivos eliminados anteriormente.
Proteger una unidad de pruebas contra escrituras durante una investigación también es importante para contrarrestar posibles acusaciones de que el contenido de la unidad se alteró durante la investigación. [4] Por supuesto, esto se puede alegar de todos modos, pero en ausencia de tecnología para proteger una unidad contra escrituras, no hay forma de refutar tal acusación.