25. Creación de una copia forense con FTK Imager - Parte 2

 ¡Continuamos con el proceso de creación de una copia forense! En esta segunda parte, veremos cómo trabajar con una imagen forense utilizando FTK Imager. Si ya cuentas con los conceptos básicos, es momento de poner manos a la obra.

¿Cómo podemos crear una imagen forense?

Sigue estos pasos para crear una imagen forense de manera correcta:

  1. Abrir FTK Imager y seleccionar la opción para crear imagen
    Dirígete a File > Create Image.

  2. Seleccionar el tipo de evidencia
    Para este ejemplo, utilizaremos una unidad USB conectada al equipo. Selecciona Physical Drive y haz clic en Siguiente.

  3. Elegir la unidad USB
    Selecciona la unidad USB correspondiente y continúa.

  4. Configurar los detalles de la imagen
    Aparecerá un recuadro indicando que vamos a crear la imagen. Haz clic en Añadir y selecciona el formato de imagen. En este caso, utilizaremos E01. Luego, haz clic en Siguiente.

  5. Ingresar información de la evidencia
    Completa los detalles relacionados con la evidencia. Por ejemplo:

    • Examinador: Miguel

    • Notas o descripción: Aquí puedes agregar información adicional.
      Haz clic en Siguiente cuando termines.

  6. Seleccionar el destino de la imagen
    Elige la ubicación donde se guardará la imagen. Para este ejemplo, guardaremos la imagen en el escritorio, dentro de una carpeta llamada Respaldos. Si la carpeta no existe, créala en ese momento.

  7. Asignar un nombre a la imagen
    Asigna un nombre significativo, como copia forense, sin incluir la extensión del archivo. Asegúrate de dejar el tamaño de fragmentación en el valor por defecto (1500) y haz clic en Finalizar.

  8. Iniciar el proceso de creación
    Activa la opción para calcular el progreso y permite que FTK Imager realice su trabajo. Dependiendo del tamaño de la unidad, este proceso puede tomar varios minutos. En este caso, tomó aproximadamente 8 minutos.

  9. Verificar la imagen creada
    Una vez finalizado, haz clic en Image Summary para revisar los detalles de la imagen. Aquí podrás ver información importante, como los valores MD5 y SHA1, que garantizan la integridad de la copia.

  10. Revisar los archivos generados
    En la carpeta Respaldos, encontrarás los archivos de la imagen con extensiones como .E01, .E02, etc. Además, se habrá generado un archivo de texto con información detallada del caso, incluyendo el examinador, la evidencia y las fechas de inicio y finalización de la adquisición.

Conclusión

¡Y listo! Has creado exitosamente una imagen forense con FTK Imager. Este proceso es fundamental para garantizar la integridad de la evidencia digital y poder trabajar con ella sin alterar los datos originales.

Nos vemos en la siguiente clase. ¡Hasta luego!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más