Guía completa sobre FTK Imager

FTK Imager es un software de código abierto de AccessData que se utiliza para crear copias precisas de las pruebas originales sin hacer realmente ningún cambio en ellas. La imagen de la evidencia original sigue siendo la misma y nos permite copiar los datos a una velocidad mucho más rápida, que pronto puede ser preservada y puede ser analizada más adelante.

El FTK imager también le proporciona la función de comprobación de integridad incorporada que genera un informe de hash que ayuda en la coincidencia del hash de la evidencia antes y después de crear la imagen de la evidencia original.

Informe de contenidos

Creación de una imagen forense
Captura de la memoria
Analización del volcado de la imagen
Montaje de la imagen en la unidad
Imagen de contenido personalizada utilizando AD cifrado
Descifrar cifrado AD
Obtener archivos protegidos
Detectar cifrado EFS
Exportar archivos

Comencemos con la creación de una copia de imagen de la prueba original.

Creación de una imagen forense

La creación de imágenes forenses es uno de los pasos más cruciales de la investigación forense digital. Es el proceso de hacer una copia de seguridad o de archivo de todo el disco duro. Se trata de un archivo de almacenamiento que contiene toda la información necesaria para arrancar el sistema operativo. Sin embargo, este disco con imagen debe aplicarse al disco duro para que funcione. No se puede restaurar un disco duro colocando los archivos de imagen de disco en él, ya que es necesario abrirlo e instalarlo en la unidad mediante un programa de creación de imágenes. Un solo disco duro puede almacenar muchas imágenes de disco en él. Las imágenes de disco también se pueden almacenar en unidades flash con mayor capacidad.

Abra FTK Imager de AccessData después de instalarlo, y verá la ventana emergente que es la primera página a la que se abre esta herramienta.

Ahora, para crear una Imagen de Disco. Haga clic en Archivo > Crear Imagen de Disco.

Ahora puede elegir la fuente basada en la unidad que tiene. Puede ser una unidad física o lógica dependiendo de sus pruebas.

Una unidad física es el hardware de almacenamiento primario o el componente dentro de un dispositivo, que se utiliza para almacenar, recuperar y organizar los datos.

Una Unidad Lógica es generalmente un espacio de la unidad que se crea sobre un disco duro físico. Una unidad lógica tiene sus parámetros y funciones porque opera de forma independiente.

Ahora elija la fuente de su unidad de la que desea crear una copia de imagen.

Añada la ruta de destino de la imagen que se va a crear. Desde el punto de vista forense, debe copiarse en un disco duro separado y deben crearse múltiples copias de las pruebas originales para evitar la pérdida de pruebas.

Seleccione el formato de la imagen que desea crear. Los diferentes formatos para crear la imagen son:

Raw(dd): Es una copia bit a bit de la prueba original que se crea sin adiciones y o eliminaciones. No contienen ningún metadato.

SMART: Es un formato de imagen que se utilizaba para Linux y que ya no se utiliza popularmente.

E01: Significa EnCase Evidence File, que es un formato comúnmente utilizado para la creación de imágenes y es similar a

AFF: Significa Formato Forense Avanzado que es un tipo de formato de código abierto.

Ahora, añada los detalles de la imagen para proceder.

Ahora, finalmente, añada el destino del archivo de imagen, nombre el archivo de imagen y luego haga clic en Finalizar.

Una vez que haya añadido la ruta de destino, ahora puede comenzar con la creación de imágenes y también haga clic en la opción de verificación para generar un hash.

Ahora vamos a esperar unos minutos a que se cree la imagen.

Después de que se cree la imagen, se genera un resultado Hash que verifica el Hash MD5, el Hash SHA1, y la presencia de cualquier sector malo.

Captura de memoria

Es el método de capturar y volcar el contenido de un contenido volátil en un dispositivo de almacenamiento no volátil para preservarlo para su posterior investigación. Un análisis de la memoria ram sólo puede llevarse a cabo con éxito cuando la adquisición se ha realizado con precisión sin corromper la imagen de la memoria volátil. En esta fase, el investigador tiene que tener cuidado con sus decisiones para recoger los datos volátiles, ya que no existirán después de que el sistema se someta a un reinicio.

Ahora, comencemos con la captura de la memoria.

Para capturar la memoria, haga clic en Archivo > Capturar memoria.

Elija la ruta de destino y el nombre del archivo de destino, y haga clic en capturar memoria.

Ahora vamos a esperar unos minutos hasta que se capture la memoria RAM.

Analizar el volcado de la imagen

Ahora vamos a analizar el volcado de la imagen RAW una vez que se ha adquirido con el FTK imager. Para comenzar con el análisis, haga clic en File> Add Evidence Item.

Ahora seleccione la fuente del archivo de volcado que ya ha creado, por lo que aquí tiene que seleccionar la opción de archivo de imagen y hacer clic en Next.

Elija la ruta del volcado de imagen que ha capturado haciendo clic en Examinar.

Una vez que el volcado de imagen se adjunta a la parte de análisis, verá un árbol de pruebas que tiene el contenido de los archivos del volcado de imagen. Esto podría haber borrado, así como los datos sobrescritos.

Para seguir analizando otras cosas, ahora eliminaremos este elemento de evidencia haciendo clic con el botón derecho del ratón en el caso y haciendo clic en Eliminar elemento de evidencia

Montar imagen en unidad

Para montar la imagen como una unidad en su sistema, haga clic en Archivo > Montaje de la imagen

Una vez que aparezca la ventana Montar imagen en unidad, puede añadir la ruta del archivo de imagen que desea montar y hacer clic en Montar.

Ahora puede ver que el archivo de imagen se ha montado como una unidad de disco.

Imagen de contenido personalizado con cifrado AD

El generador de imágenes FTK tiene una función que le permite cifrar archivos de un tipo determinado según el requisito del examinador. Haga clic en los archivos que desee añadir a la Imagen de contenido personalizado junto con el cifrado AD.

Todos los archivos seleccionados se mostrarán en una nueva ventana y, a continuación, haga clic en Crear imagen para continuar.

Rellene los detalles requeridos para las pruebas que se van a crear.

Ahora añada el destino del archivo de imagen que se va a crear, nombre el archivo de imagen y luego marque la casilla con cifrado AD, y luego haga clic en Finalizar.

Se abrirá una nueva ventana para encriptar la imagen, Ahora alquila y vuelve a introducir la contraseña que quieras añadir para tu imagen.

Ahora para ver los archivos encriptados, haga clic en File> Add Evidence Item…

La ventana para desencriptar los archivos encriptados aparecerá una vez que agregue la fuente de archivos. Introduzca la contraseña y haga clic en OK.

Ahora verá los dos archivos encriptados al introducir las contraseñas válidas.

Descifrar Imagen AD1

Para descifrar la imagen de contenido personalizado, haga clic en Archivo> Descifrar Imagen AD1.

Ahora debe introducir la contraseña del archivo de imagen que fue cifrado y haga clic en Aceptar.

Ahora, espere unos minutos hasta que se cree la imagen descifrada.

Para ver la imagen de contenido personalizado descifrada, añada la ruta del archivo descifrado y haga clic en Finalizar.

Ahora podrá ver los archivos cifrados utilizando la contraseña correcta para descifrarlos.

Obtener archivos protegidos

Ciertos archivos están protegidos en la recuperación, para obtener esos archivos, haga clic en Archivo> Obtener archivos protegidos

Se abrirá una nueva ventana y haga clic en examinar para añadir el destino del archivo que está protegido y haga clic en la opción que dice recuperación de contraseña y todos los archivos del registro y haga clic en Aceptar.