Cómo Realizar una Copia Forense con FTK Imager

 

 Cómo Realizar una Copia Forense con FTK Imager

En esta clase, veremos cómo realizar una copia forense en una unidad de almacenamiento (memoria) utilizando el software FTK Imager. Si no lo tienes instalado, en la clase pasada te enseñé desde dónde descargarlo.

¡Pasemos al video!

Pasos para Realizar una Copia Forense

1. Abrir el Software

  • Busca y ejecuta FTK Imager. Verás una interfaz gráfica como esta:
    https://ejemplo.com/imagen1.png

  • Aquí elegiremos la unidad de almacenamiento de la cual haremos la copia forense (pendrive, disco duro, SSD, etc.).

2. Seleccionar la Unidad

  • Haz clic en "File" > "Create Disk Image".

  • Se abrirá una ventana donde seleccionarás el tipo de evidencia. En este caso, elige "Physical Drive" para unidades físicas.

  • Haz clic en "Next".

3. Elegir la Unidad de Almacenamiento

  • Verás una lista de unidades conectadas a tu computadora.

  • Selecciona la unidad de la cual quieres hacer la copia forense (en este ejemplo, usaremos un pendrive de 8 GB).

  • Haz clic en "Finish".

4. Configurar la Copia Forense

  • Haz clic derecho sobre la unidad seleccionada y elige "Export Disk Image".

  • También puedes ir a "File" > "Export Disk Image".

  • Se abrirá una ventana con las siguientes opciones:

Destino y Tipo de Imagen

  • Destination: Elige la carpeta donde guardarás la copia.

  • Image Type: Para fines forenses, usa "Raw (dd)" (formato en bruto). Este formato garantiza una copia bit a bit.

Datos del Caso

  • Completa los campos con información relevante (número de caso, descripción, etc.). Esto es clave para mantener la cadena de custodia.

Dividir la Imagen

  • Si la unidad es muy grande, puedes dividir la imagen en partes. Para este ejemplo, como son solo 8 GB, dejamos "None".

5. Iniciar el Proceso

  • Haz clic en "Start" para comenzar la copia.

  • El progreso se mostrará en una barra. Dependiendo del tamaño de la unidad, el proceso puede tardar desde minutos hasta horas.

6. Verificación y Archivos Generados

  • Al finalizar, FTK Imager generará:

    1. Un archivo con extensión ".dd" (la imagen forense).

    2. Un archivo ".txt" con un resumen de la copia (hash, fecha, etc.).

  • Nota: Tu computadora probablemente no reconocerá el archivo ".dd". Para abrirlo, necesitarás herramientas como Autopsy o FTK Imager.

Recomendaciones Importantes

  1. No guardes la copia forense en la misma unidad de la que la estás haciendo.

  2. Asegúrate de tener suficiente espacio en el disco de destino.

  3. Verifica los hashes (MD5, SHA1) para garantizar la integridad de la copia.

Próximos Pasos

En futuras clases, aprenderemos a analizar estas imágenes forenses con herramientas como Autopsy.

¡No olvides suscribirte al canal, dejar tu like y comentar si te sirvió esta clase!

¡Hasta la próxima!

Descarga FTK Imagger: [Enlace desde la clase anterior]
Herramienta de Análisis: Autopsy (próximamente).

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más