The Sleuth Kit o TSK es una librería y una colección de herramientas en línea de comandos, las cuales permiten investigar imágenes de discos. La funcionalidad vital de TSK permite analizar volúmenes y datos desde sistemas de archivos.

Para la siguiente práctica se utilizará SIFT y una unidad USB (Memory Stick) con un sistema de archivos NTFS, desde el cual se extraerá o recuperará un archivo borrado.

Una de las tareas más comunes a realizar durante una investigación forense implica encontrar y recuperar archivos que han sido borrados o eliminados del sistema. Realizar el proceso de recuperación de archivos con herramientas automáticas no es una tarea complicada, dependiendo de factores como el momento de borrado del archivo, y el lapso de tiempo transcurrido hasta el inicio de la recuperación.

NTFS, el cual es un acrónimo para "New Technology File System" o Sistema de Archivos de Nueva Tecnología, es uno de los más recientes sistemas de archivos soportados por sistemas Windows. Es un sistema de archivos de alto desempeño que se repara a si mismo. Soporta diversas características avanzadas como seguridad a nivel de archivos, compresión, y auditoría.

FTK Imager es una herramienta para previsualizar y replicar, la cual permite evaluar de manera rápida evidencia digital. FTK Imager puede también crear copias perfectas (imágenes forenses) de datos de computadoras sin hacer cambios en la evidencia original.

Para la siguiente práctica se utiliza FTK Imager para capturar la imagen forense de una unidad USB (Memory Stick) conectada en un Sistema Windows. La imagen forense se creará y almacenará en un recurso compartido de un sistema remoto.

Una recolección o captura remota de una imagen forense implica adquirir una unidad de almacenamiento desde una computadora a través de la red, mediante un procedimiento forense adecuado sin tener proximidad física al medio objetivo.

El comando Mount puede tomar un archivo de imagen lógico y montarlo en un directorio específico, de tal manera que permita examinar los contenidos de la imagen. La imagen debe incluir un sistema de archivos reconocible como una partición. La invocación del comando resulta interesante dado que la imagen en bruto es una imagen de un disco físico y no una partición específica de un sistema de archivos.

OSFMount permite montar archivos de imágen de manera local (copias bit a bit de una partición de un disco) en Windows con una letra de unidad. Por defecto los archivos de imagen son montados en modo de solo lectura, por lo tanto los archivos de imagen originales no serán alterados.

FTK Imager de AccessData es una herramienta para realizar réplicas y visualización previa de datos, la cual permite una evaluación rápida de evidencia electrónica para determinar si se garantiza un análisis posterior con una herramienta forense como AccessData Forensic Toolkit. FTK Imager también puede crear copias perfectas (imágenes forenses) de datos de computadora sin realizar cambios en la evidencia original.

El crear una imagen forense de una unidad o dispositivo de almacenamiento permite preservar la evidencia original en un estado prístino. Este procedimiento debe asegurar que no se perderán datos cruciales durante el proceso de adquisición. El método más común de adquisición implica crear un archivo de imagen desde el dispositivo de almacenamiento. En este escenario el investigador puede realizar las copias que considere necesarias.

Para la siguiente práctica se utilizará la herramienta dd.

dd

Wipe o por su traducción al español "Limpiar", en un procedimiento forense realizado antes de utilizar una unidad de almacenamiento para copiar una imagen forense. Se debe siempre utilizar un programa que permita limpiar la unidad de almacenamiento de cualquier tipo de evidencia previamente almacenada. Este procedimiento se realiza sobrescribiendo cada sector de la unidad con datos. Los cuales pueden ser una única secuencia de caracteres, o secuencias aleatorias con varias sobrescrituras sobre el dispositivo de almacenamiento.