Crear la Imagen Forense desde una Unidad utilizando FTK Imager

  • Posted on: 2 May 2014
  • By: ReYDeS

FTK Imager de AccessData es una herramienta para realizar réplicas y visualización previa de datos, la cual permite una evaluación rápida de evidencia electrónica para determinar si se garantiza un análisis posterior con una herramienta forense como AccessData Forensic Toolkit. FTK Imager también puede crear copias perfectas (imágenes forenses) de datos de computadora sin realizar cambios en la evidencia original.

Es importante mencionar el uso de un bloqueador de escritura al utilizar FTK Imager para crear la imagen forense desde un disco duro u otro dispositivo electrónico. Esto asegura que el sistema operativo no alterará la unidad fuente original cuando se le adjunte a la computadora.

Para prevenir la manipulación accidental o intencional de la evidencia original, FTK Imager realizar una imagen duplicado bit a bit del medio. La imagen forense es idéntica en cualquier forma al original, incluyendo espacio de holgura o residual y espacio sin asignar o espacio libre de la unidad. Esto permite almacenar el medio original en un lugar seguro de daño mientras se procede con la investigación utilizando la imagen forense.

Para la siguiente práctica se utilizará la versión más reciente de FTK Imager publicada al momento de escribir el presente texto. FTK Imagen versión 3.1.4.

Después de realizar la descarga del instalador desde el sitio web oficial de AccessData y proceder con la instalación del programa, se apertura FTK Imager.

Hacer clic en la opción “File -> Create Disk Image” o Archivo -> Crear Imagen de Disco.

Se presentará una nueva ventana donde se requiere definir la Fuente. Para propósito de la presente práctica se creará una imagen forense de toda una unidad USB o Memory Stick, por lo tanto se selecciona la opción “Physical Drive” o Unidad Física. Luego hacer clic en el botón “Siguiente”.

En una nueva ventana se muestra un menú desplegable, en el cual se selecciona la Unidad Fuente correspondiente, para luego hacer clic en el botón “Finish” o Finalizar.

La siguiente ventana permite definir un Destino para la Imagen. Para esto es necesario hacer clic en el botón “Add...”

En esta ventana se define el tipo de la imagen de destino a crear. Para el caso de la presente práctica será una imagen “Raw” o en bruto, es decir tal y como sería creada utilizando una herramienta como dd o dcfldd. Revisar la publicación de título “Crear la Imagen Forense desde una Unidad utilizando dd”.

La siguiente ventana solicita ingresar información sobre el ítem de evidencia. Al completar la información hacer clic en el botón “Siguiente”.

Se requiere definir la carpeta donde se almacenará la imagen forense. La cual es seleccionada haciendo clic en el botón “Browse” o Navegar. A continuación se requiere nombrar la imagen forense (UnidadUSBKR). Y opcionalmente definir si la imagen resultante será dividida en varias partes o sino no será fragmentada. Para el caso de la presente práctica no será divida, por lo tanto se define el valor “0” en el campo “Image Fragment Size (MB)” o Tamaño del Fragmento de la Imagen.

Al Hacer clic en el botón “Finish”. Se mostrará un resumen de las opciones seleccionadas.

El proceso de creación de la imagen forense desde la unidad USB o Memory Stick iniciará al hacer clic en el botón “Start” o Iniciar.

Finalizada la creación de la imagen forense, inicia la verificación de la imagen creada.

Al finalizar todo este procedimiento se presentan algunos resultados finales. Los resultados muestran el número de sectores copiados. La generación de un Hash MD5 y un Hash SHA-1. Anotar la coincidencia entre el campo “Computed Hash” o Hash Calculado, es decir el hash obtenido desde la unidad USB o Memory Stick, y el campo “Report Hash” o Hash Reportado, el cual se genera desde la imagen forense creada de nombre “unidadUSBKR.001”. Anotar también que no se han detectado sectores Malos.

En el mismo directorio o unidad donde se ha creado la imagen forense, se encontrará un archivo de texto con el mismo nombre de la imagen forese creada (UnidadUSBKR.txt), en el cual reside toda la información detallada del proceso realizado.

Fuentes:

http://www.reydes.com/d/?q=Crear_la_Imagen_Forense_desde_una_Unidad_util...
http://www.accessdata.com/support/product-downloads
http://www.accessdata.com/products/digital-forensics/ftk

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete