Guymager
Herramienta gráfica de código abierto para Linux que permite crear imágenes forenses de discos en formatos E01 y DD, con verificación de hash integrada y documentación del proceso de adquisición.
¿Qué es Guymager?
Guymager es una herramienta de adquisición forense de código abierto para Linux que permite crear copias bit a bit de discos duros, SSDs, memorias USB y otros dispositivos de almacenamiento. Desarrollada específicamente para el ámbito forense, destaca por su interfaz gráfica intuitiva, velocidad de adquisición y capacidad de generar documentación completa del proceso.
A diferencia de herramientas de línea de comandos como dd, Guymager proporciona una experiencia visual que muestra el progreso en tiempo real, estadísticas de velocidad, y permite configurar todos los parámetros de la adquisición de forma clara. Esto reduce errores y facilita la documentación necesaria para la cadena de custodia.
Guymager viene preinstalado en CAINE Linux, la distribución forense italiana utilizada por peritos de todo el mundo, y está disponible en los repositorios oficiales de Debian y Ubuntu.
Nombre y origen
El nombre “Guymager” proviene de “Guy’s Imager”, creado por Guy Voncken. El proyecto se desarrolló para proporcionar una alternativa gráfica y forense a las herramientas de clonación tradicionales, con énfasis en la verificación de integridad.
Características principales
Formatos de imagen soportados
Guymager puede crear imágenes en los formatos forenses más utilizados:
| Formato | Extensión | Características |
|---|---|---|
| Expert Witness (EWF) | .E01 | Compresión, metadatos, hash integrado |
| Advanced Forensic (AFF) | .aff | Compresión, metadatos, extensible |
| DD Raw | .dd, .raw | Sin compresión, máxima compatibilidad |
El formato E01 es el más utilizado en investigaciones judiciales por incluir metadatos del caso y verificación de integridad.
Capacidades de hash
Guymager calcula hashes durante la adquisición sin impacto significativo en velocidad:
- MD5: Estándar histórico, rápido
- SHA-1: Mayor seguridad que MD5
- SHA-256: Recomendado actualmente para máxima seguridad
Los hashes se calculan simultáneamente durante la copia y se verifican automáticamente al finalizar.
Velocidad y eficiencia
Guymager está optimizado para rendimiento:
- Multithreading: Aprovecha múltiples núcleos de CPU
- Lectura eficiente: Buffering optimizado para discos
- Compresión paralela: Comprime mientras lee
- Velocidad típica: 100-200 MB/s en hardware moderno
Documentación integrada
Cada adquisición genera información completa:
- Número de caso y evidencia
- Nombre del examinador
- Fecha y hora de inicio/fin
- Hashes calculados
- Resultado de verificación
- Notas del examinador
Interfaz de usuario
Ventana principal
Al iniciar Guymager, la ventana principal muestra todos los dispositivos de almacenamiento detectados:
┌─────────────────────────────────────────────────────────────────┐
│ Device │ Linux device │ Model │ Size │
├─────────────────────┼──────────────┼─────────────────┼─────────┤
│ ■ Local Device │ /dev/sda │ Samsung SSD 870 │ 500 GB │
│ ■ Local Device │ /dev/sdb │ WD Blue 1TB │ 1000 GB │
│ ■ USB Device │ /dev/sdc │ Kingston DT100 │ 32 GB │
└─────────────────────────────────────────────────────────────────┘Los iconos de color indican el estado:
- Verde: Dispositivo disponible, no montado
- Amarillo: Dispositivo montado (desmontar antes de adquirir)
- Rojo: Dispositivo en uso o con errores
Diálogo de adquisición
Al hacer clic derecho en un dispositivo y seleccionar “Acquire image”:
┌─────────────────────────────────────────────────────────────────┐
│ Acquire image │
├─────────────────────────────────────────────────────────────────┤
│ File format: [Expert Witness Format ▼] │
│ │
│ Split size: [2 GiB ▼] │
│ Compression: [Fast/Moderate ▼] │
│ │
│ ─── Image destination ───────────────────────────────────────── │
│ Directory: [/casos/2026/JLAB-142/ ] │
│ Image filename: [PC-EMPLEADO-001 ] │
│ │
│ ─── Image meta data ─────────────────────────────────────────── │
│ Case number: [JLAB-2026-0142 ] │
│ Evidence number: [PC-001 ] │
│ Examiner: [Jonathan Izquierdo ] │
│ Description: [HP ProBook 450 G8, S/N: 5CD123456X ] │
│ Notes: [Disco SATA 500GB - Caso competencia ] │
│ │
│ ─── Hash calculation / verification ─────────────────────────── │
│ [✓] Calculate MD5 [✓] Calculate SHA-256 │
│ [✓] Verify image after acquisition (takes additional time) │
│ │
│ [Cancel] [Start] │
└─────────────────────────────────────────────────────────────────┘Progreso de adquisición
Durante la copia, Guymager muestra estadísticas en tiempo real:
┌─────────────────────────────────────────────────────────────────┐
│ Acquiring: /dev/sdb → /casos/2026/JLAB-142/PC-EMPLEADO-001.E01 │
├─────────────────────────────────────────────────────────────────┤
│ Progress: [████████████████████░░░░░░░░░░░░░░░] 64.2% │
│ │
│ Acquired: 321.0 GiB of 500.0 GiB │
│ Speed: 156.3 MiB/s │
│ Remaining time: ~19 min │
│ Elapsed time: 34 min 12 sec │
│ │
│ Current source position: 344,612,495,360 │
│ MD5 (so far): a1b2c3d4e5f6789... │
│ SHA-256 (so far): 9f8e7d6c5b4a321... │
│ │
│ State: Acquiring... │
└─────────────────────────────────────────────────────────────────┘Tutorial: Adquisición forense con Guymager
Preparar el entorno forense
Arrancar desde CAINE Linux u otra distribución forense. Conectar el disco a adquirir mediante write blocker o asegurar montaje en solo lectura.
Verificar modo solo lectura
Antes de iniciar Guymager, confirmar que el disco está protegido:
# Verificar estado de solo lectura blockdev --getro /dev/sdb # Debe devolver: 1 # Si devuelve 0, activar solo lectura: sudo blockdev --setro /dev/sdbIniciar Guymager
sudo guymagerGuymager requiere permisos de root para acceder a dispositivos raw.
Identificar el dispositivo correcto
En la lista, localizar el disco a adquirir verificando:
- Modelo del disco
- Número de serie
- Tamaño
- Dispositivo Linux (/dev/sdX)
Verificación crítica
Seleccionar el dispositivo incorrecto puede resultar en adquirir el disco equivocado o, peor, dañar la evidencia. Siempre verifica modelo, serie y tamaño antes de continuar.
Configurar la adquisición
Click derecho → “Acquire image” y configurar:
Formato y opciones:
- File format: Expert Witness Format (E01)
- Split size: 2 GiB (estándar)
- Compression: Fast/Moderate (equilibrio velocidad/tamaño)
Destino:
- Directory: Ruta donde guardar (disco con espacio suficiente)
- Filename: Nombre descriptivo sin extensión
Metadatos:
- Case number: Número de expediente judicial
- Evidence number: Identificador único de esta evidencia
- Examiner: Tu nombre completo
- Description: Descripción del dispositivo
- Notes: Observaciones adicionales
Verificación:
- ✓ Calculate MD5
- ✓ Calculate SHA-256
- ✓ Verify image after acquisition
Ejecutar y monitorizar
Click en “Start” e iniciar la adquisición. Monitorizar:
- Velocidad de transferencia
- Tiempo restante estimado
- Ausencia de errores de lectura
Verificación automática
Al completar la copia, Guymager verifica automáticamente:
- Recalcula el hash de la imagen creada
- Compara con el hash del disco origen
- Muestra: “Finished - Verified & ok” si todo es correcto
Documentar resultados
Anotar en el acta de adquisición:
- Hashes MD5 y SHA-256 finales
- Hora de inicio y finalización
- Resultado de verificación
- Cualquier incidencia observada
Caso práctico: Adquisición para caso laboral
Situación: Se requiere adquirir el portátil corporativo de un empleado despedido por presunto uso indebido de recursos. El ordenador será analizado para determinar si existió competencia desleal.
Proceso con Guymager:
Preparación del entorno
Se arranca desde USB con CAINE 13.0. El disco SATA del portátil se extrae y conecta mediante adaptador USB con write blocker hardware integrado.
Inicio de Guymager
sudo guymagerEl disco aparece como
/dev/sdc- Western Digital 500GB.Verificación del dispositivo
Se confirma visualmente el número de serie del disco con la etiqueta física. Coincide: WD-WXC1A234567.
Configuración de adquisición
- Formato: Expert Witness Format (.E01)
- Compresión: Fast/Moderate
- Segmentos: 2 GB
- Destino:
/forensic/casos/JLAB-2026-0142/ - Filename:
WD500-EMP-MARTINEZ - Case: JLAB-2026-0142
- Evidence: HD-001
- Examiner: Jonathan Izquierdo Gil
- Description: WD Blue 500GB SATA, S/N: WD-WXC1A234567
- Notes: Extraído de HP ProBook 450, caso competencia desleal
Ejecución
- Inicio: 09:15:23
- Velocidad media: 142 MB/s
- Fin adquisición: 10:14:45
- Verificación completada: 10:58:12
Resultados
Estado: Finished - Verified & ok Hashes del disco origen: MD5: e7f3a2b1c4d5e6f789012345678abcde SHA256: 1a2b3c4d5e6f...89012345678abcdef0123456 Hashes de imagen creada: MD5: e7f3a2b1c4d5e6f789012345678abcde ✓ SHA256: 1a2b3c4d5e6f...89012345678abcdef0123456 ✓ Archivos generados: WD500-EMP-MARTINEZ.E01 (2.0 GB) WD500-EMP-MARTINEZ.E02 (2.0 GB) ... WD500-EMP-MARTINEZ.E78 (1.2 GB) Tamaño total: 312.4 GB (comprimido de 500 GB)Documentación
Se genera acta de adquisición con fotografías del proceso, hashes, tiempos y firma del perito.
Resultado: La imagen E01 se analiza posteriormente con Autopsy, encontrando evidencia de envío de documentos confidenciales a correo personal.
Comparativa con otras herramientas
| Característica | Guymager | FTK Imager | dd | dc3dd |
|---|---|---|---|---|
| Interfaz | Gráfica | Gráfica | CLI | CLI |
| Sistema | Linux | Windows | Unix/Linux | Unix/Linux |
| Precio | Gratuito | Gratuito | Gratuito | Gratuito |
| Formato E01 | ✅ | ✅ | ❌ | ❌ |
| Formato DD | ✅ | ✅ | ✅ | ✅ |
| Hash integrado | ✅ | ✅ | ❌ | ✅ |
| Verificación auto | ✅ | ✅ | ❌ | ✅ |
| Metadatos caso | ✅ | ✅ | ❌ | ❌ |
| Multithreading | ✅ | ✅ | ❌ | ✅ |
¿Cuándo usar Guymager?
- Entorno Linux/CAINE: Herramienta nativa, integrada
- Necesidad de E01: Soporte completo del formato
- Documentación integrada: Metadatos del caso embebidos
- Verificación automática: Garantía de integridad
¿Cuándo usar alternativas?
- Windows obligatorio: FTK Imager
- Automatización/scripting: dc3dd o dd
- Adquisición remota: Herramientas especializadas
Instalación de Guymager
En CAINE Linux
Viene preinstalado. Solo ejecutar:
sudo guymagerEn Debian/Ubuntu
sudo apt update
sudo apt install guymagerEn otras distribuciones
Compilar desde código fuente:
git clone https://github.com/guymager/guymager.git
cd guymager
# Seguir instrucciones de BUILD.txtSolución de problemas comunes
El disco no aparece en la lista
- Verificar conexión física del disco
- Ejecutar
lsblkpara confirmar detección - Asegurar permisos de root:
sudo guymager
Error “Device busy”
- El disco está montado. Desmontar primero:
sudo umount /dev/sdb1
Velocidad muy lenta
- Cable USB defectuoso: probar otro puerto/cable
- Disco dañado: revisar
dmesgpara errores - Destino en disco lento: usar SSD para almacenar imagen
Verificación fallida
- Posible error de lectura durante adquisición
- Corrupción en disco destino
- Repetir adquisición y comparar resultados
Relación con otros conceptos
- CAINE Linux: Distribución forense donde Guymager viene preinstalado
- Formato E01: Formato de imagen principal generado por Guymager
- Formato DD: Formato alternativo soportado
- Write Blocker: Dispositivo que complementa a Guymager para proteger la evidencia
- Cadena de custodia: Documentación que Guymager ayuda a generar
Conclusión
Guymager es la herramienta de adquisición forense de referencia en entornos Linux, combinando la potencia de herramientas profesionales comerciales con la transparencia del código abierto. Su interfaz gráfica reduce errores, su integración con CAINE Linux facilita flujos de trabajo forenses, y su capacidad de generar metadatos y verificación automática cumple con los requisitos de la cadena de custodia.
Para el perito informático que trabaja en entorno Linux, dominar Guymager es competencia fundamental para la fase de adquisición de cualquier investigación forense digital.
Última actualización: Enero 2026 Categoría: Herramientas Código: HER-012
Preguntas Frecuentes
¿Guymager es gratuito?
Sí, Guymager es completamente gratuito y de código abierto (licencia GPL). Viene preinstalado en distribuciones forenses como CAINE Linux y está disponible en los repositorios de Debian/Ubuntu.
¿Qué formatos de imagen soporta Guymager?
Guymager crea imágenes en formato E01 (Expert Witness Format), DD (raw) y AFF (Advanced Forensic Format). También permite configurar compresión, tamaño de segmentos y cálculo de múltiples hashes.
¿Puedo usar Guymager para análisis forense judicial?
Sí, Guymager genera imágenes forenses válidas para procedimientos judiciales. Incluye metadatos del caso, cálculo de hash MD5/SHA256, y verificación automática, cumpliendo con los requisitos de la cadena de custodia.
Términos Relacionados
CAINE Linux
Distribución Linux italiana especializada en análisis forense digital que arranca en modo solo lectura, incluye herramientas forenses preinstaladas y está diseñada para garantizar la integridad de la evidencia.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Formato E01
Formato de imagen forense desarrollado por EnCase que almacena una copia bit a bit del disco junto con metadatos, hash de verificación y compresión, siendo el estándar más utilizado en investigaciones judiciales.
Formato DD
Formato de imagen forense sin compresión ni metadatos que copia bit a bit el contenido exacto de un disco, produciendo una réplica idéntica del medio original.
Write Blocker
Dispositivo hardware o software que impide cualquier escritura en un medio de almacenamiento, garantizando que la evidencia digital no sea modificada durante el análisis forense.
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita