23. Conocer las funciones de FTK Imager

 ¡Domina FTK Imager! Una Herramienta Esencial en la Forense Digital 🔍

Si trabajas en informática forense, FTK Imager es una de esas herramientas que, aunque parece simple, es increíblemente potente y completa. Conocer su estructura y funciones es clave para cualquier investigador.

¡Vamos a desglosarla!

🌳 Evidence Tree (Árbol de Evidencia)

Aquí verás toda la evidencia que cargues: copias forenses, particiones, discos duros internos o externos. Es tu punto de partida para navegar por los datos.

📄 File List (Lista de Archivos)

No solo muestra los archivos visibles, sino también aquellos que han sido eliminados. Desde aquí, puedes exportar o recuperar archivos directamente.

👁️ Vistas Múltiples

FTK Imager te permite visualizar los archivos de tres formas:

  • Gráfica

  • Texto

  • Hexadecimal

Esto es crucial para analizar archivos modificados. Por ejemplo, si un archivo Word (.docx) fue alterado para parecer una imagen (.PNG o .JPG), la vista hexadecimal te ayudará a descubrir la modificación. También puedes buscar cadenas de texto dentro de cualquier documento.

🎯 Custom Content Source (Fuente de Contenido Personalizada)

¿Solo necesitas analizar una carpeta específica, como la carpeta "Descargas" de un usuario? Con esta función, puedes seleccionar elementos clave y crear un contenedor personalizado con toda la evidencia relevante. No es una imagen forense completa, pero sí un contenedor con los elementos esenciales de tu investigación.

📌 Menús Principales

En la barra superior encontrarás opciones clave:

  • File (Archivo): Aquí puedes agregar evidencias, hacer copias forenses y más.

  • Add Evidence Item: Agrega discos duros, particiones, imágenes forenses e incluso carpetas.

  • Formatos Compatibles: FTK Imager es compatible con una amplia gama de formatos, como DD, AFF, E01, entre otros.

  • Capture Memory: Obtiene información valiosa de la memoria RAM y otros archivos del sistema, como el archivo SAM, que contiene datos de usuarios, inicios de sesión y cambios de contraseñas.

💡 Funciones Destacadas

  • Image Mounting: Monta copias forenses como si fueran discos físicos, ideal para herramientas que no soportan imágenes directamente.

  • Create Image: Crea copias forenses en diversos formatos.

  • Add ADN Bits: Escanea y agrega automáticamente todos los discos y particiones disponibles.

🚀 Conclusión

FTK Imager es una herramienta versátil y poderosa que todo investigador forense debe dominar. Desde la recuperación de archivos eliminados hasta el análisis de metadatos y la creación de contenedores personalizados, sus funciones son indispensables.

¿Ya has usado FTK Imager? ¡Cuéntanos tu experiencia!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más