31. Copias Forenses con Encase Imager

 Otra herramienta que nos permite realizar copias forenses es Encase Imager.

Una de las ventajas de esta herramienta es que se ejecuta de forma portable, es decir, no requiere su instalación, así que procedamos a iniciarla.

Esta es la interfaz de Encase Imager:

![Interfaz de Encase Imager]

Cabe señalar que esta herramienta es totalmente gratuita.

Aquí puedo agregar evidencias, como de un disco duro físico, archivos de imagen, y tenemos la opción para agregar archivos de imagen RAW y elementos que estén conectados en red.

En este caso, voy a seleccionar Red local de bits.

Aquí la herramienta puede hacer un análisis de los dispositivos que estén conectados físicamente, pero si yo tengo un bloqueador de escritura, directamente lo detecta y me dice: ¿Quieres que detecte los discos duros que estén con este bloqueador de escritura?

Bueno, también le puedo decir que detecte los discos que estén en modo de solo escritura o, de lo contrario, si yo quiero que me muestre todos los discos duros, ya sea si están en modo de solo lectura o escritura o lo que sea, voy a desmarcar esta opción: "Only show write blocked".

También le puedo decir que detecte la memoria física. Entonces, si presionamos en Siguiente, ya empieza a detectar los discos.

Aquí me indica en forma enumerada los discos junto con sus particiones, los puntos de montaje o el equivalente a letras. Por ejemplo, tenemos la letra C del disco local duro, que es la C, y además, por último, tenemos la memoria RAM.

Si yo quiero realizar un dumpeo de la memoria RAM, entonces me dirijo directamente a ella.

Ahora, se preguntarán: ¿Qué es un dumpeo de la memoria RAM? Sencillamente, es un volcado de memoria (traducido al español). Por lo general, proporciona información sobre el último estado de los programas, aplicaciones y sistema en sí antes de que finalizara o fallara.

Imaginemos que yo quiero hacer la copia del disco C, entonces lo selecciono:

![Selección del disco C]

Y con esto ya lo agregaríamos como evidencia y clic en Finalizar.

La herramienta ya lo tiene como evidencia, y el siguiente paso va a ser poder seleccionarlo para proceder. Lo seleccionamos con la copia forense. Listo.

Ya hemos seleccionado la evidencia y ahora debemos esperar. Tengan en consideración que esto puede tomar algo de tiempo, ya que la aplicación, como tal, va a leer el disco de las particiones y me da toda la información. Entonces, es un proceso técnico que consume cierta cantidad de recursos, lo cual es totalmente normal.

De hecho, a ver… OK, le hacemos doble clic y aquí, en la parte inferior derecha, ya empieza a notarse el progreso.

Concluido ya este procedimiento, ahora la herramienta me indica todos los directorios del sistema y me pregunta qué te interesaría analizar. Si podemos acceder a Program Files, etcétera, etcétera.

Bueno, yo de momento le voy a decir que no quiero nada de esto, le voy a decir que simplemente me interesa adquirir y, por consecuente, vamos a hacer una adquisición. O sea, vamos a copiar el disco. Le decimos en Adquirir. Y listo.

Ahora ingresamos la información. Como el nombre, lo dejaré por defecto: C. Tenemos para agregar el número de evidencia, puede ser un 1, el caso número 1, el nombre del examinador: asignamos Miguel Vega, y tenemos alguna nota: Caso práctico, por poner cualquier cosa.

Bueno, ahora me pregunta: ¿En dónde lo voy a alojar? Aquí un punto muy importante: debemos seleccionar una unidad externa para almacenar dicha información. Y con esto no vamos a estar sobreescribiendo en el mismo disco duro. Es decir, si vamos a analizar el disco C, debemos extraer dicha información en un disco duro externo. Listo, voy a cancelarlo hasta este punto, todo normal, nada complicado.

Ahora, en cuanto respecta al formato, tenemos dos opciones: el uno y el cero uno. Vamos a seleccionar el uno, ya que tiene ciertas ventajas de compresión, por supuesto, y es compatible con prácticamente una gran cantidad de programas gratuitos. O sea, podemos utilizar con programas de software libre y, por el contrario, si tenemos programas privados, entonces podemos hacer uso del X01.

Bueno, ahora me pregunta si queremos comprimirlo. Podemos habilitar o deshabilitar. Yo lo voy a deshabilitar.

También tenemos la opción para poder calcular un… En este sentido, sí podríamos realizar dicho cálculo para determinar que el origen y el destino es exactamente igual y que no hubo alteraciones en algún momento. Pero aquí tenemos un pequeño conflicto: recuerden que para un proceso ya más formal, un poco mejor dicho judicial, el MD5 y el SHA1 que tenemos como opciones no son válidos, porque presentan colisiones. Bueno, esto ya lo sabíamos.

Lo que podríamos hacer es hacer un cálculo del MD5 y, posteriormente a esto, realizar otro cálculo. Bueno, pero si tenemos alguna herramienta que realice el cálculo utilizando el SHA256 o superior, entonces estaría perfecto.

Por último, vamos a determinar el tamaño de la segmentación del archivo. Asignemos, por ejemplo, un valor de 30, y me parece que este es el mínimo en el que podemos realizarlo.

Por su parte, ahora en Advanced o Avanzado, yo puedo indicar que se realice una copia con ciertas características que competen a los sectores, el cual no lo vamos a tocar puesto que es un poco más avanzado, un poco más complejo, pero si tienen conocimientos en sistemas operativos, pueden realizarlo sin problema. Pero de momento, lo dejaremos por defecto. Y listo.

Ahora ya solo damos clic en Aceptar. Y yo lo voy a cancelar, puesto que a partir de aquí ya la herramienta empieza a realizar la copia. De hecho, si nos vamos o nos dirigimos a la ubicación donde seleccionamos para realizar la copia, podemos verificar que empieza a crearse los ficheros.

Y bueno, ya en algún momento, la herramienta nos dirá que ha concluido con la realización de la copia. De hecho, en la parte inferior derecha, igual nos va a arrojar el tiempo estimado.

Yo lo he cancelado porque he realizado esta práctica o, bueno, ya nos pasamos a mi otro ordenador para indicarles el resultado. No voy a hacerlo nuevamente, puesto que toma alrededor de unas cinco horas (me tomó en realizarse toda esta copia).

Bueno, así que pasémonos al otro ordenador.

Ya estamos en el otro ordenador.

Como podrán constatar, aquí tenemos la unidad C con sus respectivos directorios. OK.

Eh… Nosotros nos íbamos a hardcore… Ingresábamos la información respectiva, y el único cambio fue aquí: fue la ubicación donde íbamos a guardar, en mi caso, en la unidad F. Y listo, lo cancelo y lo cancelo, y por acá tenemos el resultado o los resultados, mejor dicho, en la unidad F.

OK, una gran cantidad de documentos o archivos.

![Resultado en unidad F]

Muy bien. Como podrán constatar, el procedimiento es muy similar a lo que hemos venido ya trabajando. En otras palabras, la herramienta nos reduce a tres sencillos pasos:

  1. ¿Qué quieres copiar?

  2. ¿Bajo qué formato quieres copiar?

  3. ¿Dónde quieres guardar?

Bueno, hasta aquí esta clase y nos vemos en una próxima. ¡Hasta luego!

Nota: Este post es un ejemplo práctico de uso de la herramienta Encase Imager para fines educativos en el ámbito de la informática forense.

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más