12. Copias forenses en Windows con Encase Imager

 Copias Forenses en Windows con EnCase Imager

Fecha: 19 de noviembre de 2025

Otra herramienta esencial para realizar copias forenses es EnCase Imager, desarrollada por Guidance Software (ahora OpenText). Al igual que FTK Imager, esta aplicación es portable, lo que significa que puedes ejecutarla directamente desde una memoria USB sin necesidad de instalaciones complicadas en el equipo de destino.

🚀 Ventajas clave de EnCase Imager

  • Portabilidad: Ideal para trabajo en campo. Basta con tener el ejecutable en una unidad USB.

  • Detección inteligente: Reconoce dispositivos conectados en modo sólo lectura si están protegidos con bloqueadores de escritura.

  • Compatibilidad: Soporta formatos como E01 (EnCase Evidence File) y Ex01, además de raw (dd).

⚙️ Configuración y uso

  1. Agregar evidencia:

    • Selecciona "Add Local Device" para detectar discos físicos.

    • La herramienta identifica automáticamente dispositivos con bloqueo de escritura.

  2. Selección del disco:

    • Elige el disco o partición a adquirir (ej: disco C).

    • EnCase Imager analiza la estructura y muestra particiones disponibles.

  3. Configuración de la copia:

    • Nombre y ubicación: Define un nombre descriptivo y guarda la imagen en una unidad externa (ej: disco F).

    • Formato:

      • E01: Compatible con herramientas gratuitas como Autopsy.

      • Ex01: Recomendado para entornos con licencia completa de EnCase.

    • Compresión y verificación:

      • Habilita compresión para ahorrar espacio.

      • Calcula hashes MD5 para verificación inicial (en contextos judiciales, se recomienda SHA-256).

  4. Proceso de adquisición:

    • La herramienta fragmenta la imagen en segmentos (ej: 30 MB).

    • Monitorea el progreso y tiempo restante.

⚠️ Consideraciones importantes

  • Hash forense: Aunque EnCase permite MD5, en investigaciones legales es crucial usar SHA-256 para garantizar integridad.

  • Recursos del sistema: La lectura de discos puede consumir recursos, pero es fundamental para un análisis preciso.

🔄 Comparación con FTK Imager

  • Similitudes: Ambos permiten adquirir discos locales, generar imágenes raw/E01 y calcular hashes.

  • Diferencias: EnCase ofrece detección automática de bloqueadores de escritura y opciones avanzadas de fragmentación.

📌 Conclusión

EnCase Imager es una alternativa robusta y gratuita para adquisiciones forenses, especialmente útil en entornos portátiles. Su integración con suites comerciales y compatibilidad con formatos estándar la convierten en una opción confiable para peritos.

¿Has usado EnCase Imager o FTK Imager? ¡Comenta tu experiencia!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más