13. Copias forenses en Windows con FTK Imager

 

Copias forenses en Windows con FTK Imager

https://via.placeholder.com/800x450
Duración: 15:17

Introducción a FTK Imager

Una de las preguntas habituales es: "¿La herramienta cuesta dinero? ¿Cuánto cuesta?". La respuesta es que FTK Imager es completamente gratuito y es distribuido por AccessData (ahora Exterro) como una herramienta de demostración de su suite completa.

¿Por qué una empresa regalaría una herramienta así? Es su carta de presentación - te permite conocer sus capacidades y, si te gusta, puedes considerar comprar la suite completa de FTK.

Funcionalidades principales

FTK Imager nos permite crear copias forenses que posteriormente pueden ser analizadas con otras herramientas comerciales o gratuitas.

La herramienta se divide en varias secciones:

  • Listado de archivos - navegación por el sistema de archivos

  • Vista de evidencias - podemos ver imágenes, texto o hexadecimal

  • Evidencia personalizada - selección de carpetas específicas para análisis rápido

Creando una copia forense

Para crear una copia forense, vamos a:
File → Create Disk Image

La herramienta nos pregunta qué tipo de copia queremos realizar:

Tipos de copia disponibles

  1. Physical Drive - Discos duros conectados físicamente

  2. Logical Drive - Particiones específicas

  3. Image File - Copia de una copia forense existente

  4. Contents of Folder - Carpeta específica (sin archivos eliminados)

Consideraciones importantes

  • Celulares: Son un caso totalmente aparte, no se incluyen aquí

  • Archivos eliminados: Solo se copian con Physical Drive o Logical Drive

  • Particiones: En entornos corporativos es común encontrar múltiples particiones

Formatos de imagen forense

Al crear la copia, seleccionamos el formato:

FormatoVentajasDesventajas
DD (Raw)Compatibilidad universalSin compresión
SMARTPermite compresiónCompatibilidad limitada
E01Balance ideal-
AFFFormato avanzadoMenos compatible

Orden de compatibilidad: DD → E01 → AFF → SMART

Configuración práctica

Al crear la imagen:

  • Caso y evidencia: Metadatos para organización

  • Destino: Disco duro externo preparado (no el mismo que se está copiando)

  • Fragmentación: Dividir en partes manejables (ej: 4GB para FAT32)

  • Verificación: Habilitar MD5/SHA1 para integridad

  • Progreso: Mostrar estadísticas para monitoreo

Proceso de creación

Una vez configurado:

  1. Click en Start

  2. Monitorear velocidad y progreso

  3. La herramienta genera fragmentos + archivo de texto

  4. Firma digital: Calculada sobre TODOS los fragmentos (no cambia con la fragmentación)

Archivos resultantes

  • Fragmentos: .001, .002, etc.

  • Archivo de texto: Resumen de la copia con metadatos

  • Firma digital: Verificación de integridad

FTK Imager es una herramienta esencial en el toolkit de cualquier investigador forense digital, proporcionando una manera confiable y accesible de crear copias forenses válidas legalmente.

¿Has usado FTK Imager en tus investigaciones? ¡Comparte tus experiencias en los comentarios!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más