FTK Imager es una herramienta para previsualizar y replicar, la cual permite evaluar de manera rápida evidencia digital. FTK Imager puede también crear copias perfectas (imágenes forenses) de datos de computadoras sin hacer cambios en la evidencia original.

Para la siguiente práctica se utiliza FTK Imager para capturar la imagen forense de una unidad USB (Memory Stick) conectada en un Sistema Windows. La imagen forense se creará y almacenará en un recurso compartido de un sistema remoto.

Ejecutar FTK Imager y seleccionar la opción “File -> Create Disk Image” o Archivo -> Crear Imagen de Disco.

Seleccionar el tipo de la evidencia de origen. Para propósitos de la presente práctica se creará la imagen forense desde una Unidad Física “Physical Drive”.

Seleccionar la Unidad de origen. La Unidad USB (Memory Stick) se identifica en Windows como “\\.\PHYSICALDRIVE2”. Luego hacer clic en el botón “Finish” o Finalizar.

Definida la fuente u origen de la imagen, se requiere definir el destino, es decir el lugar donde se creará y almacenará la imagen forense capturada. Hacer clic en el botón de nombre “Add...” o Añadir.”

Seleccionar el tipo de la imagen de destino. Para la presente práctica la imagen forense será capturada en formato “Raw” (dd) o en Bruto, tal como sería creada al utilizar herramientas como “dd” o “dcfldd”.

Completar o Rellenar la información solicitada sobre el caso, para luego hacer clic en el botón de nombre “Siguiente”.

Escribir o Buscar la Carpeta de Destino utilizando el botón de nombre “Browse” o Navegar. Anotar que el directorio donde se creará y almacenará la imagen forense capturada es un recurso compartido ubicado en el sistema de nombre “\\RYDS”. Ingresar también el nombre del archivo de Imagen sin la extensión en el campo “Imagen Filename (Excluding Extension)”. Dado que no se requiere dividir la imagen forense, en el campo “Imagen Fragment Size (MB)” o Tamaño del Fragmento de la Imagen se define el valor “0”. Luego hacer clic en el botón de nombre “Finish” o Finalizar.

Definida la configuración requerida hacer clic en el botón de nombre “Start” para iniciar el procedimiento de captura de la imagen forense.

El procedimiento de captura ha iniciado. En caso sea requerido, este puede ser detenido haciendo clic en el botón de nombre “Cancel”.

Finalizada la captura y copia de la imagen forense, se procede a verificar la imagen forense.

Al culminar la verificación se muestra un breve resumen del procedimiento realizado, como el nombre, cuenta de sectores, Hashs calculados y Hashs reportados tanto MD5 como SHA-1, y la lista de sectores dañados en caso los hubiese.

En el sistema remoto donde se ha copiado y reside la imagen forense capturada, se encuentra el archivo conteniendo la imagen forense de la unidad USB (Memory Stick) y un archivo com extensión .txt contenido la información detallada sobre el procedimiento de captura realizada.

Fuentes:

http://www.reydes.com/d/?q=Crear_la_Imagen_Forense_desde_una_Unidad_util...
http://www.accessdata.com/support/product-downloads