25. Virtualización forense

 

25. Virtualización forense: ¿Herramientas comerciales o gratuitas?

Para levantar una máquina virtual en un análisis forense, existen dos caminos: usar herramientas comerciales o herramientas gratuitas. Ambos métodos llevan al mismo objetivo, aunque las herramientas comerciales suelen hacerlo un poco más rápido.

La gran ventaja de virtualizar una máquina es que obtenemos un escenario gráfico completo, similar a tener el equipo de la persona investigada "encendido". Esto nos permite ver cómo estaba configurado su escritorio, qué aplicaciones tenía a la mano y cómo interactuaba con el sistema. Es, en esencia, tener su máquina en funcionamiento para realizar un análisis forense en un ambiente controlado.

Una ventaja clave es que, aunque instalemos aplicaciones o modifiquemos algo, no alteramos la evidencia original. Siempre trabajamos con una copia forense, nunca con el original.

¿Por qué no puedo abrir la copia forense directamente?

Un error común es dar doble clic al archivo de la copia forense y creer que está dañado cuando el sistema no lo reconoce. Esto ocurre porque no es un archivo de imagen convencional y no puede montarse directamente con el Explorador de Windows.

Virtualización con herramientas comerciales

Por ejemplo, con OSForensics, que ofrece una demo de 30 días, el proceso es sencillo:

  1. Accedemos a la opción "Boot Virtual Machine".

  2. Seleccionamos el archivo de la copia forense.

  3. La herramienta detecta automáticamente el sistema operativo (ej. Windows 7 Ultimate).

  4. Elegimos el hipervisor: VMware, Hyper-V o VirtualBox.

  5. Configuramos los recursos (CPU, RAM) según nuestras necesidades. Esto no altera la evidencia, ya que es un entorno aislado.

  6. La herramienta monta el disco y lo deja listo para usar.

En cuestión de minutos, la máquina virtual inicia y podemos interactuar con el sistema tal como lo haría el usuario original.

Virtualización con herramientas gratuitas

Si preferimos no usar software comercial, también es posible lograrlo. Por ejemplo:

  1. Montar la imagen forense:
    Usamos AccessData FTK Imager (gratuito) para montar la copia forense como una unidad virtual.

    • Vamos a File > Mount Drive.

    • Seleccionamos la imagen y la montamos en modo escritura, ya que el entorno es controlado.

  2. Crear la máquina virtual:
    Abrimos VMware Workstation (o VirtualBox) con permisos de administrador.

    • Creamos una nueva máquina.

    • Especificamos el sistema operativo (ej. Windows 7 64 bits).

    • En la configuración de discos, seleccionamos "Usar un disco físico" y elegimos la partición donde está el sistema operativo (normalmente la más grande).

    • Finalizamos la configuración y encendemos la máquina.

¡Listo! La máquina virtual arranca y tenemos el mismo resultado que con herramientas comerciales.

¿Conviene siempre virtualizar?

Depende del caso. En muchos escenarios, es más eficiente realizar búsquedas directas en la evidencia, por ejemplo, accediendo a rutas específicas como:
C:\Windows\System32\config\SOFTWARE

Sin embargo, la virtualización es invaluable cuando necesitamos entender el contexto gráfico y la experiencia del usuario.

¿Y tú? ¿Has usado la virtualización forense en tus investigaciones? ¿Qué herramientas prefieres?

#Ciberseguridad #ForenseDigital #Virtualización #OSForensics #FTKImager #VMware #VirtualBox #Forensics #InfoSec

Espero que este post sea de utilidad. Si necesitas ajustes o más detalles, házmelo saber.

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más