Ejecutar FTK Imager desde una Unidad Flash USB (Imager Lite)

  • Posted on: 22 February 2022
  • By: ReYDeS

FTK Imager es una herramienta para previsilizar y replicar datos, la cual permite rápidamente evaluar evidencia electrónica, para determinar si se justifica un análisis posterior con una herramienta forense como Forensics Toolkit. Permite crear imágenes forenses de discos duros locales, CDs, DVDs, unidades USB, carpetas completas, o archivos individuales, desde diversos lugares dentro del medio.

Quienes han utilizado la herramientas forense de nombre FTK Imager, conocen sus dos clásicas versiones, la versión denominada como “FTK Imager”, la cual puede ser instalada en una estación de trabajo forense, y la versión denominada como “FTK Imager Lite”, la cual debe ser copiada hacia un dispositivo externo, como un CD/DVD o unidad USB.

La versión más reciente; al momento realizar la presente publicación; permite ejecutar FTK Imager desde una dispositivo USB, tal como se hacía con la versión Imager Lite. A continuación se detalla el procedimiento para lograr esto.

En otra máquina, la cual no sea la máquina desde donde se requiere obtener una imagen forense; instalar FTK Imager.

Insertar el dispositivo USB formateado con ya sea sistema de archivos FAT32 o NTFS. Copiar toda la carpeta de instalación de nombre “FTK Imager”, el cual generalmente se ubica en la ruta “C: \Program Files\AccessData\FTK Imager” o “C:\Program Files (x86)\AccessData\FTK Imager”, hacia el dispositivo USB.

Insertar el dispositivo USB en el sistema donde se requiere realizar un triage o generar imágenes forenses. Navegar el directorio creado en el dispositivo USB, para luego ejecutar el archivo de nombre “FTK Imager.exe”, con los privilegios del usuario Administrador.

Luego utilizar FTK Imager, tal como ya se conoce.

Lo anteriormente detallado permitirá al profesional forense crear “FTK Imager Lite” portátil desde cualquier versión completa de FTK Imager.

Anotación. Debido a un sistema en funcionamiento cambia constantemente, generar una imagen desde un sistema en funcionamiento puede producir una imagen la cual no es replicable. FTK Imager escribirá hacia la memoria RAM del sistema, y quizás el archivo de paginación del disco duro durante el proceso para generar una imagen forense. Ser consciente de los riesgo de generar una imagen desde un sistema en funcionamiento, y tomar su decisión cuidadosamente.

Importante

Las versiones de 64 bits de FTK Imager (versiones 3.4.3 y superior) requieren archivos complementarios Microsoft Foundation Class (MFC) para ejecutarse. Si la máquina a intervenir no tiene disponible ningún archivo MFC, ocurrirán errores sobre archivos MFC perdidos.

Para asegurarse las nuevas versiones de FTK Imager pueda funcionar sin error, cuando sean ejecutados desde un dispositivo extraible, por favor copie los archivos MFC hacia el dispositivo.

Por ejemplo copie todos los archivos mfc100*, mfc110*, mfc120* y mfc140* de la carpeta "C:\windows\system32\" hacia la carpeta de la unidad extraíble, la cual contiene el archivo ejecutable de FTK Imager, o copiarlo hacia la raíz del dispositivo extraíble.

FTK Imager 4.5.0 necesita tres DLLs adicionales, Microsoft Visual C++ 2015 redistribuible para funcionar (las cuales pueden ser encontradas en la carpeta “C: \windows\system32\”), las cuales posiblemente se necesiten copiar hacia la unidad extraíble: mfc140u.dll, msvcp140.dll, y vcruntime140.dll.

Fuente:

https://www.exterro.com/ftk-imager
https://exterro.freshdesk.com/support/solutions/articles/69000765662-run...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/