Fixear

Copia forense utilizando FTK Imager

Revisión del 13:56 22 may 2025 de Admin (discusión | contribs.) (Se agregaron los pasos, capturas en progreso.)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

Pasos para hacer una copia forense usando FTK Imager

1. Abrir FTK Imager

  • Iniciar FTK Imager: Abrir FTK Imager en el equipo forense, asegurándose de tener privilegios administrativos para acceder a todas las unidades de almacenamiento.

2. Seleccionar el dispositivo de origen

  • Elegir la fuente (dispositivo de origen): En la ventana principal de FTK Imager, seleccionar "File" en la barra de menú y luego elegir "Create Disk Image".
  • Seleccionar el tipo de fuente:
    1. Physical Drive: Para copiar un disco duro completo, seleccionar "Physical Drive".
    2. Logical Drive: Para copiar una partición específica, seleccionar "Logical Drive".
  • Luego, elegir la unidad correspondiente desde la lista.

3. Configurar la creación de la imagen

  • Seleccionar el tipo de imagen:
    1. E01 (EnCase): Formato comúnmente utilizado en investigaciones forenses.
    2. DD (RAW): Imagen en formato RAW, sin compresión ni modificaciones.
    3. Aff (Advanced Forensic Format): Otro formato útil si se emplean herramientas forenses compatibles con él.
  • Configurar las opciones de la imagen:
    1. Verificación: Es recomendable activar la opción para realizar una verificación de la imagen tras la creación, garantizando que la copia sea exacta.
    2. Compresión: Se puede habilitar la compresión de la imagen si se busca ahorrar espacio, aunque en investigaciones forenses es preferible no usar compresión para evitar posibles alteraciones.
    3. Descripción: Se puede añadir una descripción o notas relevantes a la imagen forense que se está creando.
  • Seleccionar el destino de la imagen: Elegir la unidad de almacenamiento donde se guardará la imagen forense. Es crucial utilizar una unidad distinta a la del dispositivo de origen para evitar la sobrescritura de datos.

4. Iniciar la creación de la imagen

  • Iniciar el proceso: Hacer clic en "Start" para comenzar la creación de la imagen. FTK Imager procederá a copiar los datos del dispositivo de origen a la imagen seleccionada.
  • Monitorizar el proceso: Durante la creación, FTK Imager mostrará el progreso en una barra de estado. Este proceso puede tardar dependiendo del tamaño del dispositivo de origen.

5. Verificación de la imagen

  • Verificación automática: Al finalizar la creación de la imagen, FTK Imager llevará a cabo una verificación de la integridad de la imagen creada para asegurar que no haya sufrido alteraciones.
  • Generación de hash: Se generan valores hash (MD5, SHA1, SHA256) para el dispositivo de origen y para la imagen. Estos valores se utilizan para garantizar que los datos no hayan sido modificados.

6. Documentar el proceso

  • Generar un informe forense: FTK Imager puede generar un informe detallado que incluya información sobre la imagen creada, como el dispositivo de origen, los valores hash, las fechas y otros detalles relevantes.
  • Guardar el informe: Guardar el informe en formato adecuado (PDF, HTML, etc.), lo que es crucial para mantener la cadena de custodia de la evidencia.

7. Verificación final y salida

  • Revisión de la imagen: Asegurarse de que la imagen forense haya sido verificada correctamente y que se haya guardado en el destino correcto.
  • Almacenamiento de la imagen y los hashes: Guardar tanto la imagen forense como los valores hash en un lugar seguro, preferentemente en un dispositivo de almacenamiento distinto al del dispositivo de origen.
Obtenido de «https://wiki.fixear.com.ar/mediawiki//index.php?title=Copia_forense_utilizando_FTK_Imager&oldid=404»