24. Creación de una copia forense con FTK Imager - Parte 1

 Para crear una copia forense, accedemos a File y seleccionamos Create Disk Image.

Ahora, recapitulando lo visto en clases anteriores, aquí podemos seleccionar:

  • Physical Drive: Permite seleccionar un disco duro, un pendrive, etc.

  • Logical Drive: Hace referencia a las distintas particiones de un disco duro.

  • Image File: Permite realizar una copia forense de una imagen previamente creada.

  • Contents of a Folder: Desde aquí podemos realizar una copia de un directorio o carpeta específica, como Documentos o Descargas, pero exceptuando los archivos eliminados.

  • Fernico Byte: Permite realizar copias desde un CD o DVD.

Algo importante a considerar es que, si realizamos una copia de Physical Drive o Logical Drive, vamos a visualizar incluso los archivos eliminados, lo que implica un poco más de tiempo en el escaneo. En las demás opciones, no se realiza esta tarea.

Continuando, voy a seleccionar Physical Drive y Siguiente. Aquí puedo seleccionar la unidad de origen. Por ejemplo, voy a seleccionar mi unidad USB externa Kingston 2.0 y damos en Finalizar.

Voy a retroceder y seleccionar Logical Drive y Siguiente. La herramienta me indica las particiones disponibles, por ejemplo, C, D, E y F. Retorno nuevamente y selecciono Physical Drive para continuar. Elijo mi unidad USB Kingston 2.0 y Finalizar.

La herramienta nos pregunta el destino de nuestra imagen a crear. Para ello, presionamos en Add. Ahora, nos pregunta el formato que queremos para nuestra imagen. Tenemos cuatro opciones:

  1. Raw (dd): Formato compatible con prácticamente todo. Realiza una copia bit a bit, capturando los datos del dispositivo tal como está, incluyendo sectores asignados y no asignados (espacios utilizados y no utilizados).

  2. Smart: Formato privado de AccessData, más limitado en compatibilidad, ya que muchas herramientas gratuitas no lo soportan.

  3. E01: Formato de AccessData, pero liberado por la entidad. Tiene una amplia compatibilidad con herramientas gratuitas en la actualidad.

  4. AFF: Formato libre y abierto, que permite el almacenamiento seguro de datos forenses.

Por compatibilidad, haremos uso de los formatos Raw (dd) y E01. Con esto aclarado, presionamos en Siguiente. Yo he seleccionado Raw (dd).

Ahora, ingresamos la información relacionada con la evidencia:

  • Caso número: 01

  • Evidencia: 01

  • Descripción: Copia USB

  • Examinador: Miguel Vega

  • Notas: Formato dd

Presionamos Siguiente. Hecho esto, seleccionamos el destino para nuestra copia forense. Presionamos Browse y lo alojamos en el escritorio, en una carpeta llamada "PD". Aceptamos.

Posteriormente, asignamos un nombre al archivo, por ejemplo: "Curso". Luego, nos indica el tamaño de fragmentación. Por ejemplo, para una unidad USB de 8 GB, podemos dividirla en 4 fragmentos de 2000 MB (2 GB cada uno), o 8 fragmentos de 1000 MB, entre otros.

Podemos marcar la opción para encriptar, pero yo la desmarco. Finalizamos.

También podemos marcar la opción para verificar la imagen después de crearla, con el fin de asegurarnos de que no haya habido modificaciones en la copia forense. Además, podemos habilitar la opción para calcular el progreso y estadísticas, lo que nos dará información sobre lo que se ha copiado, el tiempo restante, la velocidad de copia, etc.

Finalmente, tenemos la opción para crear una lista de directorios de todos los archivos en la imagen después de crearla. En lo personal, no la habilito, ya que consume más tiempo.

Listo. Con todo configurado, presionamos Start y permitimos que la herramienta realice su tarea. Esto puede tomar algún tiempo. La herramienta nos indicará el tiempo estimado, el progreso y la velocidad de copia.

Una vez finalizado el proceso, veremos que llega al 100%. Cerramos y la herramienta comenzará la verificación. Al terminar, nos arrojará los valores hash MD5 y SHA1.

Finalizamos y nos dirigimos a la carpeta destino. Allí encontraremos nuestra imagen forense, con archivos como "Curso.0001", y un archivo de texto con un resumen de la copia realizada. En este archivo, podemos ver información como el examinador, el caso, la evidencia, la versión de FTK Imager, el modelo del dispositivo, el número de serie, los hashes MD5 y SHA1, la hora de inicio y finalización, y la lista de segmentación.

Con esto, podemos deducir que no hubo modificaciones durante el proceso. Así, ya sabemos cómo realizar una copia forense con FTK Imager.

Sin más, nos vemos en la siguiente clase. ¡Hasta luego!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más