====== [AF]Comandos Importantes Prácticas ======
Se recomienda trabajar con el sistema operativo instalado en hardware real, se deben evitar las máquinas virtuales ya que nos pueden traer problemas. Se recomienda empezar con linux y luego pasar a Windows.

===== Comandos para comprobar automontado =====
==== Linux ====

El comando lsblk muestra los dispositivos conectados, estén montados o no
<code>
lsblk
</code>

Mount muestra todo lo que está montado
<code>
mount
</code>

Si el dispositivo está montado muestra el punto de montaje, en caso contrario, no muestra nada
<code>
findmnt
</code>

Muestra espacio libre, si el dispositivo no está montado no aparece
<code>
df
</code>
==== Windows ====
Para bloquear completamente el montaje automático de USBs en windows tenemos que ir a la siguiente sección del registro (OJO: Esto no permite clonar el USB):
<code>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
</code>
y modificar la REG_DWORD Start, con un valor inicial de 3, al valor 4 como se ve en la siguiente imagen:
<WRAP column 100%>
{{:master_cs:analisis_forense:pasted:20250309-182254.png}}
</WRAP>

Aparentemente no hay una forma de bloquear el montaje en Windows 10 sin hacer los volúmenes completamente inaccesibles, por lo que lo que se debe hacer es deshabiltiar la escritura de USBs con Ratool.


Para ver los dispositivos USB conectados a nuestro equipo en windows podemos usar el siguiente comando en powershell:
<code>
Get-PnpDevice -PresentOnly | Where-Object { $_.InstanceId -match '^USB' }
</code>

Otro comando que se puede usar para esto mismo sería:
<code>
pnputil /enum-devices /connected /class USB
</code>
===== Comandos para obtener información =====
Muestra información sobre los discos, pero no nos permite saber si están montados o no
<code>
fdisk
</code>

Permite obtener información de los dispositivos
<code>
parted
</code>

Bersión gráfica de parted
<code>
gparted
</code>

Muestra los mensajes del buffer del kernel, cuando se conecta un dispositivo muestra un mensaje aunque no se monte. Puede dar bastantes datos identificativos sobre un medio de almacenamiento.
<code>
dmesg
</code>

Comando para mostrar dispositivos USB conectados
<code>
lsusb
</code>

Comando que tiene una opción para mostrar información sobre un dispositivo que le indiquemos
<code>
udevadn
</code>

===== Comandos para recuperar información de un dispositivo =====
Para bloquear el montaje de un dispositivo hay varios métodos:
==== reglas udev ====
Se encuentran en /lib/udev/rules.dev y /etc/udev/rules.d, dentro encontraremos documentos con nombres como 90-usb_lock.rules, dentro encontraremos los siguientes campos (Todos en una línea, separados por motivos explicativos):
<code C>
ACTION=="add|change", #Cada vez que se conecta o cambia algo en el dispositivo, se lanza esta regla
SUBSYSTEM=="block", #Indica el tipo, no se debe confundir con SUBSYSTEMS.
ENV{UDISKS_AUTO}="0" #Evita el automontaje de la unidad
ENV{UDISKS_INFNORE}="1" #Esta sería una alternativa a la línea anterior, no deben estar las dos a la vez, esta regla indica que se ignora el dispositivo
</code>
En resumidas cuentas, el contenido puede ser si fuera poco restrictivo como:
<code>
ACTION=="add|change", SUBSYSTEM=="block", ENV{UDISKS_AUTO}="0" 
</code>

Y si fuera muy restrictivo como:
<code>
ACTION=="add|change", SUBSYSTEM=="block", ENV{UDISKS_INFNORE}="1"
</code>

Para aplicar los cambios a las reglas se usa el siguiente comando:
<code>
sudo udevadm control --reload-rules
</code>

==== UDISKS2 ====
Paramos el servicio de udisks2 para prevenir el montaje automático
<code>
sudo systemctl stop udisks2.service
</code>
**OJO:** Cada vez que se reinicie el dispositivo este servicio se reiniciará.

==== GSettings ====
No es recomendable su uso, es muy fácil que falle. Depende del entorno en el que estemos (GNOME, KDE, etc...). Este ejemplo se aplica a GNOME.
<code>
gsettings get org gnome desktop media-handling automount
</code>
Si se ejecuta este comando, debería decir TRUE para indicar que esta el montaje automático montado. Para cambiar eso usamos el siguiente comando:
<code>
gsettings set org gnome desktop media-handling automount false
</code>

**OJO:** solo funciona al usuario que tiene iniciada la sesión, si se usa SUDO no funcionará.

===== Como configurar Windows en equipos de investigación =====
Primero debemos deshabilitar el AutoRun o el AutoPlay desde ciertas claves de registro. Hacer que los USB sean de solo lectura. Usando la opción diskpart de automount podemos deshabilitar el montaje automático. 

OJO: Cada vez que se acutalice una máquina hay que comprobar que no se hayan revertido estos cambios.