Machine Translated by Google Datos de acceso generador de imágenes FTK Guía del usuario | una Machine Translated by Google AccesoDatos Legales y Contacto Información Fecha del documento: 21 de marzo de 2012 Información legal ©2012 AccessData Group, LLC Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación o transmitida sin el consentimiento expreso por escrito del editor. AccessData Group, LLC no se responsabiliza ni ofrece garantías con respecto al contenido o uso de esta documentación, y renuncia específicamente a cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier fin en particular. Además, AccessData Group, LLC se reserva el derecho de revisar esta publicación y realizar cambios en su contenido, en cualquier momento, sin obligación de notificar a ninguna persona o entidad sobre dichas revisiones o cambios. Además, AccessData Group, LLC no hace representaciones ni garantías con respecto a ningún software, y renuncia específicamente a cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier propósito en particular. Además, AccessData Group, LLC se reserva el derecho de realizar cambios en todas y cada una de las partes del software AccessData, en cualquier momento, sin ninguna obligación de notificar a ninguna persona o entidad sobre dichos cambios. No puede exportar o reexportar este producto en violación de las leyes o reglamentos aplicables, incluidos, entre otros, los reglamentos de exportación de EE. UU. o las leyes del país en el que reside. Grupo de datos de acceso, LLC. 384 Sur 400 Oeste suite 200 Lindon, Utah 84042 EE.UU www.accesodatos.com AccessData Marcas registradas e información de derechos de autor ÿÿAccessData® es una marca registrada de AccessData Group, LLC. ÿÿDistributed Network Attack® es una marca registrada de AccessData Group, LLC. ÿÿDNA® es una marca registrada de AccessData Group, LLC. ÿÿForensic Toolkit® es una marca registrada de AccessData Group, LLC. ÿÿFTK® es una marca registrada de AccessData Group, LLC. ÿÿPassword Recovery Toolkit® es una marca registrada de AccessData Group, LLC. ÿÿPRTK® es una marca registrada de AccessData Group, LLC. ÿÿRegistry Viewer® es una marca registrada de AccessData Group, LLC. Datos de acceso Información legal y de contacto Información legal |2 Machine Translated by Google Un símbolo de marca comercial (®, ™, etc.) indica AccessData Group, LLC. marca comercial. Con algunas excepciones, ya menos que se indique lo contrario, todos los nombres de productos de terceros se escriben y escriben con mayúscula de la misma manera que el propietario escribe y escribe con mayúscula el nombre de su producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los propietarios de las marcas comerciales y los derechos de autor. AccessData no asume ninguna responsabilidad por la función o el rendimiento de los productos de terceros. Reconocimientos de terceros: ÿÿFreeBSD® Copyright 1992-2011. El Proyecto FreeBSD. ÿÿAFF® y AFFLIB® Copyright® 2005, 2006, 2007, 2008 Simson L. Garfinkel y Basis Technology Corp. Todos los derechos reservados. ÿÿCopyright © 2005 - 2009 Ayende Rahien Convenciones de documentación En la documentación de AccessData, se utilizan varias variaciones de texto para indicar significados o acciones. Por ejemplo, un símbolo mayor que (>) se usa para separar acciones dentro de un paso. Cuando se debe escribir una entrada usando el teclado, los datos variables se separan usando el formato [datos_variables] . Los pasos que requieren que el usuario haga clic en un botón o icono se indican con texto en negrita. Esta fuente en cursiva indica una etiqueta o elemento no interactivo en la interfaz de usuario. Un símbolo de marca comercial (®, ™, etc.) indica AccessData Group, LLC. marca comercial. A menos que se indique lo contrario, todos los nombres de productos de terceros se escriben y escriben con mayúscula de la misma manera que el propietario escribe y escribe con mayúscula el nombre de su producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los propietarios de las marcas comerciales y los derechos de autor. AccessData no asume ninguna responsabilidad por la función o el rendimiento de los productos de terceros. Registro El registro del producto AccessData se realiza en AccessData después de realizar una compra y antes de que se envíe el producto. Las licencias están vinculadas a un dispositivo de seguridad USB o a un CmStick virtual, según su compra. Suscripciones AccessData proporciona una suscripción de licencia de un año con todas las compras de nuevos productos. La suscripción le permite acceder al soporte técnico y descargar e instalar las últimas versiones de sus productos con licencia durante el período de licencia activo. Después del período de licencia inicial, se requiere una renovación de suscripción anual para obtener soporte continuo y actualizar sus productos. Puede renovar sus suscripciones a través de su representante de ventas de AccessData. Utilice LicenseManager para ver su información de registro actual, buscar actualizaciones de productos y descargar las últimas versiones de productos, donde estén disponibles para su descarga. También puede visitar nuestro sitio web, www.accessdata.com en cualquier momento para encontrar los últimos lanzamientos de nuestros productos. Para obtener más información, consulte Administración de licencias en el manual de su producto o en el sitio web de AccessData. Información de contacto de AccessData Su representante de ventas de AccessData es su contacto principal con AccessData Group, LLC. Además, a continuación se enumeran el número de teléfono y la dirección postal generales de AccessData, y los números de teléfono para comunicarse con los departamentos individuales. Datos de acceso Información legal y de contacto Convenciones de documentación |3 Machine Translated by Google Dirección postal y números de teléfono generales Puede ponerse en contacto con AccessData de las siguientes maneras: TABLA 1-1 Dirección postal, horario y números de teléfono del departamento de AD Sedes corporativas: Grupo de datos de acceso , LLC. 384 Sur 400 Oeste suite 200 Lindon, UT 84042 EE. UU. Voz: 801.377.5410 Fax: 801.377.5426 Horario corporativo general: Estatales y Locales Ventas de aplicación de la ley: De lunes a viernes, de 8:00 a. m. a 5:00 p. m. (MST) AccessData está cerrado los días festivos federales de EE. UU. Voz: 800.574.5199, opción 1 Fax: 801.765.4370 Correo electrónico: Sales@AccessData.com Ventas Federales: Voz: 800.574.5199, opción 2 Fax: 801.765.4370 Correo electrónico: Sales@AccessData.com ventas corporativas: Voz: 801.377.5410, opción 3 Fax: 801.765.4370 Correo electrónico: Sales@AccessData.com capacitación: Voz: 801.377.5410, opción 6 Fax: 801.765.4370 Correo electrónico: Training@AccessData.com Contabilidad: Voz: 801.377.5410, opción 4 Apoyo técnico El soporte técnico gratuito está disponible en todos los productos de AccessData con licencia actual. Puede ponerse en contacto con el soporte técnico y al cliente de AccessData de las siguientes maneras: TABLA 1-2 Información de contacto del soporte técnico y del cliente de AD Asistencia interna América/Asia-Pacífico Soporte estándar: De lunes a viernes, de 5:00 a. m. a 6:00 p. m. (MST), excepto feriados corporativos. Voz: 801.377.5410, opción 5 Voz: 800.658.5199 (llamada gratuita en Norteamérica) Correo electrónico: Support@AccessData.com Asistencia telefónica fuera del horario de atención: De lunes a viernes de 6:00 p. m. a 1:00 a. m. (MST), excepto feriados corporativos. Voz: 801.377.5410, opción 5 Asistencia fuera del horario de atención solo por correo electrónico: de lunes a viernes, de 1:00 a. m. a 5:00 a. m. (MST), excepto feriados corporativos. Correo electrónico: afterhours@accessdata.com Soporte internacional Europa/Oriente Medio/África Soporte estándar: De lunes a viernes, de 8:00 a. m. a 5:00 p. m. (Reino Unido, Londres), excepto días festivos corporativos. Voz: +44 207 160 2017 (Reino Unido) Correo electrónico: emeasupport@accessdata.com Datos de acceso Información legal y de contacto Información de contacto de AccessData |4 Machine Translated by Google TABLA 1-2 Información de contacto del soporte técnico y del cliente de AD (continuación) Soporte fuera de horario: De lunes a viernes, de 5:00 p. m. a 1:00 a. m. (Reino Unido/ Londres), excepto días festivos corporativos. Voz: 801.377.5410 Opción 5*. Asistencia fuera del horario de atención solo por correo electrónico: De lunes a viernes, de 1:00 a. m. a 5:00 a. m. (Reino Unido/ Londres), excepto días festivos corporativos. Correo electrónico: afterhours@accessdata.com Otro Sitio web: http://www.AccessData.com/Support El sitio web de soporte permite el acceso a foros de discusión, descargas, versiones anteriores, nuestra base de conocimientos, una forma de enviar y realizar un seguimiento de sus "tickets de problemas" e información de contacto detallada. RESUMEN DE ANUNCIOS América/Asia-Pacífico: 800.786.2778 (América del Norte). 415.659.0105. Correo electrónico: support@summation.com Soporte estándar: De lunes a viernes, de 6:00 a. m. a 6:00 p. m. (PST), excepto feriados corporativos. Soporte fuera de horario: de lunes a viernes llamando al 415.659.0105. Asistencia fuera del horario de atención solo por correo electrónico: Entre las 12 a. m. y las 4 a. m. (PST), el soporte de productos solo está disponible por correo electrónico a afterhours@accessdata.com. Bóveda de casos de suma de AD 866.278.2858 Correo electrónico: support@casevault.com De lunes a viernes, de 8:00 a. m. a 6:00 p. m. (EST), excepto feriados corporativos. Cracker de descubrimiento de suma AD 866.833.5377 Correo electrónico: dcsupport@accessdata.com Horas de soporte: De lunes a viernes, de 7:00 a. m. a 7:00 p. m. (EST, excepto feriados corporativos). Nota: Por lo general, todas las consultas de soporte se responden dentro de un día hábil. Si hay una necesidad urgente de soporte, comuníquese con AccessData por teléfono durante el horario comercial normal. Documentación Envíe un correo electrónico a AccessData con respecto a cualquier error tipográfico, inexactitud u otros problemas que encuentre con la documentación: documentación@accessdata.com Servicios profesionales El personal de los servicios profesionales de AccessData cuenta con una amplia y variada experiencia en investigaciones digitales, incluidas la aplicación de la ley, la contrainteligencia y la seguridad corporativa. Su experiencia colectiva en el trabajo con entidades gubernamentales y comerciales, así como en la prestación de testimonios de expertos, les permite brindar una gama completa de servicios informáticos forenses y de descubrimiento electrónico. En este momento, los servicios profesionales brindan asistencia para las ventas, la instalación, la capacitación y el uso de FTK, FTK Pro, Enterprise, eDiscovery y Lab. Ellos pueden ayudarte a resolver cualquier duda o problema que puedas tener con respecto a estos productos. Datos de acceso Información legal y de contacto Servicios profesionales | cinco Machine Translated by Google Información de contacto para servicios profesionales Comuníquese con los servicios profesionales de AccessData de las siguientes maneras: TABLA 1-3 Información de contacto de los servicios profesionales de AccessData metodo de contacto Número o Dirección Teléfono Washington DC: 410.703.9237 Norteamérica: 801.377.5410 Número gratuito de América del Norte: 800-489-5199, opción 7 Internacional: +1.801.377.5410 Correo electrónico Datos de acceso Información legal y de contacto adservices@accessdata.com Servicios profesionales |6 Machine Translated by Google Tabla de contenido Datos de acceso Información legal y de contacto .. información jurídica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 AccessData Marcas registradas e información de derechos de autor . . . . . . . . . . . . . . . . . . . .2 Convenciones de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 registro _ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 suscripciones _ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 Información de contacto de AccessData . Dirección postal y números de teléfono generales . soporte técnico Documentación . Servicios Profesionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .cinco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .cinco Información de contacto para servicios profesionales . Tabla de contenido . . . . . . . . . . . . . . . . . . . . .4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 . . . . . . . . . . . . . . . . . . . .6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 Capítulo 1 Descripción general e instalación de FTK Imager. .. . . . . . . . . . . . . . . . Generador de imágenes FTK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Instalación de generador de imágenes FTK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalando localmente . . once . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Instalación en un dispositivo portátil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Ejecutando FTK Imager . Opciones de la línea de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Capítulo 2 La interfaz de usuario de FTK Imager .. . La FTK ImagerUI . barra de menú . . . . . . . . . . . . . . . . . . . . . . . . . . . . catorce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . catorce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . catorce menú Archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ver menú . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Menú Modo . barra de herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis Menú de ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ver paneles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panel de árbol de pruebas . . dieciséis . Dieciocho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dieciocho Panel de lista de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dieciocho panel combinado . Tabla de contenido . catorce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dieciocho |7 Machine Translated by Google espectador. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Capítulo 3 Trabajar con evidencia. . . . veinte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Vista previa de la evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Modos de vista previa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Modo automático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 modo de texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Modo hexadecimal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Adición de elementos de prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Adición de un único elemento de prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Adición de todos los dispositivos conectados . Montaje de imagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Beneficios del montaje de imágenes . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Características de una Imagen Montada Lógicamente . Características de una imagen montada físicamente . Montaje de una imagen . Eliminación de pruebas . . . . . . . . . . . . . . . 23 . . . . . . . . . . . . . 23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Eliminación de un único elemento de prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Eliminación de todos los elementos de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Obtención de Archivos de Registro Protegidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Adquisición de archivos de registro protegidos en una máquina local . Acceso a archivos de registro desde una imagen de disco . . . . . . . . . . . . . . . 27 . . . . . . . . . . . . . . . . . . . . 28 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Uso de imágenes cifradas . Detección de cifrado EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Cifrado AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Cifrado AFF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Capítulo 4 Archivos de salida de FTK Imager . Creación de imágenes forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Creación de imágenes de unidades o particiones completas . Creación de imágenes de contenido personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . 31 . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Exportación desde FTK Imager . Exportación de imágenes forenses . exportando archivos . . treinta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Exportación por S.I.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Exportación de listas hash de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Información del elemento de prueba. . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Exportación de listados de directorios . Descifrado de imágenes AD1. . Verificación de unidades e imágenes . Importación de conjuntos de archivos. . Tabla de contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cincuenta |8 Machine Translated by Google Apéndice A Sistemas de archivos y Formatos de imagen de unidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Sistemas de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Todo el disco cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Formatos de imagen de disco duro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Formatos de imagen de CD y DVD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Apéndice B Uso de un dispositivo Logicube . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Integrando un Logicube Forensic MD5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Creación de un archivo de imagen con Logicube Forensic MD5 . Formateo del disco duro interno Logicube Forensic MD5 . . . . . . . . . . . . . . 54 . . . . . . . . . . . 55 Uso de la unidad interna Logicube Forensic MD5 como unidad USB . . . . . . . . . 55 Acceder a la unidad flash compacta Logicube Forensic MD5 como una unidad USB . 55 Visualización de la información de hardware de Logicube Forensic MD5 . . 55 . . . . . . . . . . Apéndice C Uso de un Dispositivo Fernico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Integración de un sistema Fernico FAR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Acceso al Fernico FAR System desde Imager. . Tabla de contenido . . . . . . . . . . . . . . . . . 56 | nueve Machine Translated by Google Capítulo 1 Descripción general e instalación de generador de imágenes FTK generador de imágenes FTK FTK® Imager es una herramienta de visualización y vista previa de datos que le permite evaluar rápidamente la evidencia electrónica para determinar si se justifica un análisis adicional con una herramienta forense como AccessData® Forensic Toolkit® (FTK). FTK Imager también puede crear copias perfectas (imágenes forenses) de datos informáticos sin realizar cambios en la evidencia original. Con FTK Imager, puede: ÿÿCree imágenes forenses de discos duros locales, disquetes, discos Zip, CD y DVD, carpetas completas o archivos individuales desde varios lugares dentro de los medios. ÿÿVista previa de archivos y carpetas en discos duros locales, unidades de red, disquetes, discos Zip, CD y DVD ÿÿVista previa del contenido de imágenes forenses almacenadas en la máquina local o en una unidad de red ÿÿMonte una imagen para una lectura -solo vista que aprovecha el Explorador de Windows para ver el contenido de la imagen exactamente como el usuario lo vio en la unidad original. ÿÿExportar archivos y carpetas desde imágenes forenses. Vea y recupere archivos que se han eliminado de la Papelera de reciclaje, pero que aún no se han sobrescrito en la unidad ÿÿCree hashes de archivos usando cualquiera de las dos funciones hash disponibles en FTK Imager: Message Digest 5 (MD5) y algoritmo hash seguro (SHA-1). ÿÿ Genere informes hash para archivos regulares e imágenes de disco (incluidos archivos dentro de imágenes de disco) que luego puede usar como punto de referencia para probar la integridad de la evidencia de su caso. Cuando se crea una imagen de una unidad completa, se puede usar un hash generado por FTK Imager para verificar que el hash de la imagen y el hash de la unidad coincidan después de crear la imagen, y que la imagen no haya cambiado desde la adquisición. Importante: cuando utilice FTK Imager para crear una imagen forense de un disco duro u otro dispositivo electrónico, asegúrese de estar utilizando un bloqueador de escritura basado en hardware. Esto garantiza que su sistema operativo no altere la unidad de origen original cuando la conecte a su computadora. Para evitar la manipulación accidental o intencional de la evidencia original, FTK Imager crea una imagen duplicada bit a bit de los medios. La imagen forense es idéntica en todos los sentidos a la original, incluida la holgura del archivo y el espacio no asignado o el espacio libre de la unidad. Esto le permite almacenar los medios originales lejos, a salvo de daños mientras la investigación continúa utilizando la imagen. Después de crear una imagen de los datos, puede usar AccessData Forensic Toolkit (FTK) para realizar un examen forense completo y exhaustivo y crear un informe de sus hallazgos. Instalación de generador de imágenes FTK FTK Imager se puede instalar en la computadora donde se utilizará, o se puede ejecutar desde un dispositivo portátil, como una memoria USB conectada a una máquina en el campo, por lo que no es necesario instalarlo en la computadora de un sospechoso en para captar su imagen. Capítulo 1 Descripción general e instalación de FTK Imager generador de imágenes FTK | 10 Machine Translated by Google Instalar localmente Instale FTK Imager en un disco duro local cuando tenga la intención de adjuntar hardware de evidencia a esa computadora para obtener una vista previa y obtener imágenes de la evidencia. Para instalar FTK Imager 1. Busque el archivo de instalación de FTK Imager, ya sea desde un disco de instalación o desde el archivo guardado descargado de http://accessdata.com/ support/adownloads. El siguiente es un ejemplo de lo que encontrará en el sitio web, sin embargo, el número de versión y su número hash MD5 cambiarán. FIGURA 3-1 Sitio web de AccessData: descargas de Imager 2. En Utilidades, busque FTK Imager. Haga clic en Descargar para descargar la última versión publicada. 3. Haga clic en Guardar archivo. 4. Busque la ubicación donde desea guardar el archivo de instalación y haga clic en Guardar. 5. Cuando se complete la descarga, busque la ubicación donde se guardó. 6. Ejecute el archivo de instalación haciendo doble clic en él. 7. En la pantalla de bienvenida , haga clic en Siguiente. 8. Lea y acepte el Acuerdo de licencia, luego haga clic en Siguiente. 9. Realice una de las siguientes acciones: ÿÿAcepte la ubicación de instalación predeterminada. ÿÿNavegar a una carpeta de destino diferente. 10. Haga clic en Siguiente. 11. En la pantalla Listo para instalar , haga clic en Siguiente. 12. Realice una de las siguientes acciones: Marque la casilla Iniciar AccessData FTK Imager para obligar a Imager a ejecutarse inmediatamente después de la instalación . completo. ÿÿDeje la casilla sin marcar para ejecutar el programa recién instalado en otro momento. Nota: En MS Windows Server 2008R2 ejecutando el Control de cuentas de usuario (UAC), marque la casilla Iniciar no hace nada. Debe ejecutar manualmente FTK Imager después de la instalación. 13. Haga clic en Finalizar para completar la instalación y cerrar el asistente. Capítulo 1 Descripción general e instalación de FTK Imager Instalación de generador de imágenes FTK | once Machine Translated by Google Instalación en un dispositivo portátil Hay dos formas de usar Imager en un dispositivo portátil: ÿÿCopie los archivos FTK Imager Lite directamente en el dispositivo, evitando instalar primero en una computadora local. Descomprima los archivos descargados en la unidad portátil y ejecute el archivo desde allí. El programa FTK Imager Lite tiene menos archivos (solo los esenciales) y no requiere una instalación por separado, aunque debe descomprimir el archivo descargado para extraer su contenido en una carpeta antes de usarlo. ÿÿEjecute la instalación en una computadora local, luego copie la carpeta FTK Imager desde [Unidad]:\Program Files\AccessData\FTK Imager a la memoria USB u otro dispositivo portátil. Una vez que los archivos del programa FTK Imager se guardan en el medio portátil, ese medio se puede conectar a cualquier computadora que ejecute un sistema operativo Windows, y el archivo del programa FTK Imager.exe se puede ejecutar desde el dispositivo de medios portátil. Con cualquiera de los dos métodos, deberá hacer que una unidad de destino esté disponible para guardar los datos de la imagen, y aún se debe usar un bloqueador de escritura confiable. Ejecución de generador de imágenes FTK FTK Imager se puede ejecutar de varias maneras: ÿÿHaga doble clic en el icono del escritorio . ÿÿEjecute el archivo FTK Imager.exe desde una memoria USB. ÿÿHaga clic en Inicio > Ejecutar > Examinar. Busque y seleccione FTK Imager.exe desde la ubicación en la que se instaló, y agregue un interruptor de línea de comando como se explica a continuación. Opciones de línea de comandos FTK Imager admite tres opciones de línea de comandos: /CreateDirListing Crea un archivo de lista de directorios en la carpeta desde donde se ejecuta FTK Imager.exe . muestra: "ftk imager.exe" /CreateDirListing e:\precious.E01 ÿÿ/Verificar imagen Verifica una imagen cuando especifica la ruta de la imagen y el nombre del archivo. muestra: "FTK Imager.exe" /VerifyImage E:\precious.E01 ÿÿ/EnableDebugLog Habilita el registro en el archivo FTKImageDebug.log creado en la carpeta desde la que ejecuta FTK Imager.exe . muestra: "FTK Imager.exe" /EnableDebugLog Nota: Si no puede especificar una imagen cuando usa las opciones /CreateDirListing o /VerifyImage , aparece un mensaje de error que indica que no se encontró ninguna imagen. Para ejecutar FTK Imager usando las opciones de la línea de comandos 1. Cierre FTK Imager y, a continuación, desde el menú Inicio de Windows, haga clic en Ejecutar. 2. En el cuadro de texto Ejecutar , busque la ruta y la carpeta que contiene FTK Imager.exe, luego haga clic en Abrir. Capítulo 1 Descripción general e instalación de FTK Imager Ejecución de generador de imágenes FTK | 12 Machine Translated by Google 3. Al final de la línea de texto resultante: 3a. Agregue un espacio antes de la opción que desea usar 3b. Escriba la opción a utilizar. 3c. Agregue otro espacio y los datos correspondientes. 3d. Haga clic en Aceptar. Capítulo 1 Descripción general e instalación de FTK Imager Ejecución de generador de imágenes FTK | 13 Machine Translated by Google Capítulo 2 El usuario del generador de imágenes FTK Interfaz Este capítulo trata sobre la interfaz de usuario y las opciones de FTK Imager. La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager se divide en varios paneles; cada uno es acoplable. El árbol de pruebas, la lista de archivos, las propiedades, el intérprete de valores hexadecimales, los paneles de fuentes de contenido personalizado , el menú y la barra de herramientas se pueden desacoplar y cambiar de tamaño para adaptarse mejor a sus necesidades. Cada uno se puede volver a acoplar individualmente o puede restablecer la vista completa para la próxima investigación. Para desacoplar un panel o una barra de herramientas ÿÿSelecciónelo y haga clic y arrastre su barra de título a la ubicación deseada. Para volver a acoplar un panel o una barra de herramientas ÿÿArrastre el panel dentro de la ventana FTK Imager hasta que una forma de contorno encaje en su lugar en el lugar deseado. posición, luego suelte el panel. Para devolver todos los paneles a sus posiciones originales ÿÿSeleccione Ver > Restablecer ventanas acopladas. Barra de menús Utilice la barra de menú para acceder a todas las funciones de FTK Imager. La barra de menú siempre está visible y accesible. Hay cuatro elementos en la barra de menú. Se discuten en detalle en esta sección. Menú Archivo El menú Archivo brinda acceso a todas las funciones que puede usar desde la barra de herramientas. Capítulo 2 La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager | catorce Machine Translated by Google FIGURA 4-1 El menú Archivo Consulte Barra de herramientas (página 16). ver menú El menú Ver le permite personalizar la apariencia de FTK Imager, incluso mostrar u ocultar paneles y barras de control. Capítulo 2 La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager | 15 Machine Translated by Google FIGURA 4-2 El menú Ver Menú de modo El menú Modo le permite seleccionar el modo de vista previa del Visor. Cada uno de los modos de visualización se analiza con más detalle en el Capítulo 3. Consulte Modos de vista previa (página 21). FIGURA 4-3 El menú de modo Menú de ayuda El menú Ayuda proporciona acceso a la Guía del usuario de FTK Imager ya información sobre la versión del programa, etc. FIGURA 4-4 El menú de ayuda barra de herramientas La barra de herramientas contiene todas las herramientas, funciones o características a las que se puede acceder desde el menú Archivo, excepto Salir. La siguiente tabla proporciona información básica sobre cada función. TABLA 4-1 Componentes de la barra de herramientas de FTK Imager Botón Descripción Agregar elemento de evidencia Capítulo 2 La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager | dieciséis Machine Translated by Google TABLA 4-1 Componentes de la barra de herramientas de FTK Imager (continuación) Botón Descripción Agregar todos los dispositivos conectados montaje de imagen Abre el cuadro de diálogo Asignar imagen a unidad. Eliminar elemento de evidencia Eliminar todos los elementos de evidencia Crear imagen de disco exportar imagen de disco Exportar imagen lógica (AD1) Añadir a imagen de contenido personalizado (AD1) Crear imagen de contenido personalizado (AD1) Verificar unidad/imagen Capturar memoria MetaCarve (escaneo profundo) Obtener archivos protegidos Detectar cifrado EFS exportar archivos Lista hash de archivos de exportación Exportar listado de directorio Elija IE, texto o visor hexadecimal automáticamente ver archivos en texto plano Ver archivos en formato hexadecimal Abra la Guía del usuario de la cámara FTK Mostrar u ocultar paneles. Elija mostrar u ocultar la barra de herramientas, el árbol de pruebas, la lista de archivos, las propiedades, el intérprete de valores hexadecimales y/o los paneles de fuentes de contenido personalizado. Capítulo 2 La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager | 17 Machine Translated by Google Ver paneles Hay varios paneles de vista básicos en FTK Imager. Se describen en esta sección. Panel de árbol de pruebas El panel Árbol de evidencia (panel superior izquierdo) muestra los elementos de evidencia agregados en un árbol jerárquico. En la raíz del árbol se encuentran las fuentes de evidencia seleccionadas. Debajo de cada fuente se enumeran las carpetas y los archivos que contiene. Haga clic en el signo más junto a una fuente o carpeta para expandir la vista y mostrar sus subcarpetas. Haga clic en el signo menos junto a una fuente o carpeta expandida para ocultar su contenido. Cuando selecciona un objeto en el Árbol de pruebas, su contenido se muestra en la Lista de archivos. Las propiedades del objeto seleccionado, como el tipo de objeto, la ubicación en el medio de almacenamiento y el tamaño, se muestran en Propiedades. cristal. Todos los datos contenidos en el objeto seleccionado se muestran en el panel Visor . Panel de lista de archivos El panel Lista de archivos muestra los archivos y carpetas contenidos en cualquier elemento que esté actualmente seleccionado en el árbol de pruebas. Cambia a medida que cambia su selección. Panel de combinación El panel inferior izquierdo de FTK Imager tiene tres pestañas: Propiedades, Intérprete de valores hexadecimales y Fuentes de contenido personalizadas. Cada uno se describe aquí. Propiedades La pestaña Propiedades muestra una variedad de información sobre el objeto actualmente seleccionado en el Árbol de evidencia o en la Lista de archivos. FIGURA 4-5 La pestaña Propiedades Las propiedades incluyen información como el tipo de objeto, el tamaño, la ubicación en el medio de almacenamiento, las marcas y las marcas de tiempo. Capítulo 2 La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager | Dieciocho Machine Translated by Google Intérprete de valor hexadecimal La pestaña Intérprete de valores hexadecimales convierte los valores hexadecimales seleccionados en el Visor en enteros decimales y posibles valores de fecha y hora. FIGURA 4-6 La pestaña Intérprete de valores hexadecimales Para convertir valores hexadecimales, resalte de uno a ocho bytes adyacentes de código hexadecimal en el Visor. Una variedad de interpretaciones posibles del código seleccionado se muestran automáticamente en el Intérprete de valores hexadecimales. Esta característica es más útil si está familiarizado con la estructura del código interno de diferentes tipos de archivos y sabe exactamente dónde buscar patrones de datos específicos o información de fecha y hora. Fuentes de contenido personalizadas Cada vez que agrega un elemento para incluirlo en una imagen de contenido personalizado , aparece aquí. FIGURA 4-7 La pestaña Fuentes de contenido personalizado Puede agregar, editar y eliminar una o todas las fuentes y crear la imagen desde aquí. Haga clic en Editar para abrir el cuadro de diálogo Opciones de comodines. Capítulo 2 La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager | 19 Machine Translated by Google FIGURA 4-8 Opciones de comodines Para obtener más información, consulte Creación de imágenes de contenido personalizado (página 38). Espectador El visor muestra el contenido del archivo seleccionado actualmente, según el modo de vista previa seleccionado: natural, texto o hexadecimal. Consulte Modos de vista previa (página 21) para obtener más información. El contenido se puede desplazar para que pueda ver todo el contenido del archivo. Además, con el modo hexadecimal seleccionado y el intérprete de valor hexadecimal del panel combinado abierto, la interpretación hexadecimal del texto seleccionado en el panel Visor se puede ver simultáneamente. Capítulo 2 La interfaz de usuario de FTK Imager La interfaz de usuario de FTK Imager | veinte Machine Translated by Google Capítulo 3 Trabajar con evidencia Utilice FTK Imager para obtener una vista previa de la evidencia antes de crear los archivos de imagen. A continuación, puede optar por crear una imagen de todo el objeto de evidencia o elegir elementos específicos para agregar a una imagen de contenido personalizado (AD1). Este capítulo analiza el trabajo con evidencia y el uso de FTK Imager para lograr la creación de imágenes forenses que satisfagan sus necesidades exactas. Vista previa de la evidencia Los elementos de evidencia se pueden previsualizar antes de decidir qué se debe incluir en una imagen. A partir de FTK Imager 3.0, se incluye compatibilidad con los sistemas de archivos VXFS, exFAT y Ext4. ADVERTENCIA: Si la máquina que ejecuta FTK Imager tiene una conexión a Internet activa y está utilizando Imager para obtener una vista previa del contenido HTML del caché del sistema, existe un riesgo potencial asociado con el boletín de seguridad de Microsoft MS-09-054. AccessData recomienda que, siempre que sea posible, los usuarios no tengan una conexión a Internet activa mientras Imager se está ejecutando. Modos de vista previa FTK Imager ofrece tres modos para previsualizar datos electrónicos: modo automático, modo de texto y modo hexadecimal. Estos modos se pueden seleccionar desde el menú Modo o desde la Barra de herramientas, como se presentó en el Capítulo 2. Cada uno se describe con más detalle aquí. modo automatico El modo automático elige automáticamente el mejor método para obtener una vista previa del contenido de un archivo, según el tipo de archivo. Por ejemplo: ÿÿPáginas web, gráficos relacionados con la web (JPEG y GIF) y cualquier otro tipo de medio para el que Internet Los complementos de Explorer que se han instalado se muestran mediante una versión integrada de Internet Explorer en el Visor. ÿÿLos archivos de texto se muestran en el Visor como caracteres ASCII o Unicode. ÿÿLos tipos de archivos que no se pueden ver en Internet Explorer se muestran fuera de FTK Imager en su aplicación nativa siempre que esas aplicaciones estén instaladas localmente y las asociaciones de archivos adecuadas se hayan configurado en Windows. Los tipos de archivos que no se pueden ver en Internet Explorer y que no tienen un visor nativo conocido son se muestra de forma predeterminada en modo hexadecimal en el visor. Modo de texto El modo de texto le permite obtener una vista previa del contenido de un archivo como caracteres ASCII o Unicode, incluso si el archivo no es un archivo de texto. Este modo puede ser útil para ver texto y datos binarios que no son visibles cuando se ve un archivo en su aplicación original. Capítulo 3 Trabajar con evidencia Vista previa de la evidencia | 21 Machine Translated by Google Modo hexadecimal El modo hexadecimal le permite ver cada byte de datos en un archivo como código hexadecimal. Puede utilizar el Intérprete de valores hexadecimales para interpretar valores hexadecimales como enteros decimales y posibles valores de hora y fecha. Nota: Los modos de vista previa se aplican solo cuando se muestran datos de archivos. Los datos contenidos en carpetas u otros no archivos objetos siempre se muestra en formato hexadecimal. Adición de elementos de evidencia Puede agregar un solo elemento de evidencia o varios a la vez. Estos procedimientos se explican en esta sección. Adición de un solo elemento de evidencia Para agregar un elemento de evidencia al árbol de evidencia 1. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Agregar elemento de prueba. ÿÿHaga clic en el botón Agregar elemento de evidencia en la barra de herramientas. 2. Seleccione el tipo de fuente que desea previsualizar y luego haga clic en Siguiente. 3. Seleccione la unidad o busque la fuente que desea obtener una vista previa, luego haga clic en Finalizar. El elemento de evidencia aparece en el árbol de evidencia. 4. Repita estos pasos para agregar más elementos de evidencia. Agregar todos los dispositivos conectados Para agregar datos de todos los dispositivos conectados a una máquina ÿÿHaga uno de los siguientes: ÿÿHaga clic en Archivo > Agregar todos los dispositivos conectados. ÿÿHaga clic en el botón Agregar todos los dispositivos conectados en la barra de herramientas. La función Agregar todos los dispositivos conectados , también conocida como montaje automático, escanea todos los dispositivos físicos y lógicos conectados en busca de medios. Si no hay ningún medio presente en un dispositivo conectado, como un CD- o DVD-ROM o un DVD-RW, el dispositivo se omite. Montaje de imagen Nuevo comienzo en la versión 3.0 de FTK Imager, Image Mounting permite montar imágenes forenses como una unidad o dispositivo físico, para visualización de solo lectura. Esta acción abre la imagen como una unidad y le permite explorar el contenido en Windows y otras aplicaciones. Los tipos admitidos son imágenes RAW/dd, E01, S01, AFF, AD1 y L01. Las imágenes de disco completas RAW/dd, E01 y S01 se pueden montar físicamente. Las particiones contenidas en imágenes de disco completas, así como las imágenes de contenido personalizado de los formatos AD1 y L01 se pueden montar de forma lógica. Las diferencias se explican en esta sección. Nota: las imágenes cifradas con AD ahora se pueden montar como una unidad o un dispositivo físico. Otros tipos de las imágenes cifradas no son compatibles con el montaje como unidad o dispositivo físico. Capítulo 3 Trabajar con evidencia Adición de elementos de evidencia | 22 Machine Translated by Google Beneficios del montaje de imágenes La capacidad de montar una imagen con FTK Imager brinda los siguientes beneficios, y puede encontrar otros a medida que usa la función: ÿÿMonte una imagen de disco completa con todas sus particiones a la vez; al disco se le asigna un nombre de unidad física y a las particiones se les asigna automáticamente una letra de unidad que comienza con la primera disponible o con cualquier letra de unidad disponible de su elección. ÿÿLea una imagen de disco completa montada físicamente y asigne un nombre de unidad física n usando Imager o usando cualquier aplicación de Windows que realice consultas de nombres físicos. ÿÿLeer y escribir en la imagen montada utilizando un archivo de caché. El contenido original no se altera. ÿÿMontar imágenes de varias unidades y/o particiones. Las imágenes montadas permanecen montadas hasta que se desmontan o hasta que se cierra Imager. ÿÿDesmonte fácilmente las imágenes montadas en cualquier orden, individualmente o todas a la vez. ÿÿVea una imagen montada lógicamente en el Explorador de Windows como si fuera una unidad conectada a la computadora, lo que brinda los siguientes beneficios: ÿÿVer tipos de archivos con asociaciones de Windows en su aplicación nativa o asociada, cuando esa aplicación está instalada localmente. ÿÿEjecutar aplicaciones antivirus en la imagen montada. ÿÿComparta y vea la imagen montada lógicamente como una unidad en Windows Explorer desde computadoras remotas cuando el acceso remoto se ha configurado correctamente. ÿÿCopie los archivos de la imagen montada a otra ubicación. ÿÿEvite que los archivos se copien en la imagen montada desde otra ubicación. (Debido a que la imagen es de solo lectura, no hay que preocuparse de que un usuario remoto, o cualquier usuario, que vea la imagen realice un cambio que invalide los datos). Características de una imagen montada lógicamente AD1 y L01 son imágenes de contenido personalizado y contienen una estructura de archivo completa, pero no contienen ninguna geometría de unidad ni otros datos de unidad física. Por lo tanto, estas imágenes no tienen la opción de ser montadas Físicamente. Nota: Al montar una imagen de forma lógica, el tamaño de la unidad o partición se muestra incorrectamente en la vista Inicio > Equipo de Windows . Sin embargo, cuando abre la "unidad" desde allí, las carpetas y los archivos contenidos en la imagen montada se muestran correctamente. Características de una imagen montada físicamente Cuando monta una imagen físicamente, aunque Windows Explorer no la puede ver, se puede ver fuera de Imager usando cualquier aplicación de Windows que realice consultas de nombres físicos. Las imágenes E01, S01, AFF y 001 (RAW/dd) son imágenes de unidades que tienen el disco, la partición y la estructura de archivos, así como los datos de la unidad. Una imagen de disco físico se puede montar físicamente; y su(s) partición(es) de imagen de disco se pueden montar lógicamente. Capítulo 3 Trabajar con evidencia Adición de elementos de evidencia | 23 Machine Translated by Google Montaje de una imagen Para montar una imagen 1. Si ya tiene la imagen deseada agregada como evidencia en la Lista de evidencia de la cámara, seleccione ese elemento, luego realice el Paso 2 para completar automáticamente el cuadro Fuente con el archivo de imagen que se montará, como se muestra en el Paso 3. Si aún no ha agregado la imagen deseada como evidencia, comience con el Paso 2. 2. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Montaje de imagen. ÿÿHaga clic en Montaje de imagen botón en la barra de herramientas. 3. Escriba la ruta y el nombre del archivo, o haga clic en Examinar para completar el cuadro Fuente con la ruta y el nombre del archivo . la imagen a montar. Después de seleccionar una imagen, el tipo de montaje se establecerá de forma predeterminada en la asignación admitida según el tipo de imagen seleccionado. Haga clic en el menú desplegable para mostrar otros tipos de montaje disponibles. FIGURA 5-1 Monte la imagen en la unidad 4. Seleccione el tipo de montaje que se usará para el montaje. FIGURA 5-2 Monte la imagen en la unidad: seleccione el tipo de montaje Los tipos de montaje disponibles son físico y lógico, solo físico y solo lógico. Si el Tipo de montaje seleccionado incluye Lógico, puede seleccionar la Letra de unidad para asignar como punto de montaje. 5. Haga clic en el menú desplegable Letra de unidad para todas las letras de unidad que están disponibles para asignar a la unidad montada. imagen Capítulo 3 Trabajar con evidencia Adición de elementos de evidencia | 24 Machine Translated by Google FIGURA 5-3 Monte la imagen en la unidad: seleccione la letra de la unidad 6. Seleccione la letra de la unidad que se usará para este montaje. 7. Haga clic en el menú desplegable Método de montaje para seleccionar entre los métodos de montaje disponibles. FIGURA 5-4 Monte la imagen en la unidad: seleccione el método de montaje Los métodos de montaje disponibles se muestran y describen en la siguiente tabla: TABLA 5-1 Imagen de montaje: métodos de montaje Método de montaje Descripción Dispositivo de bloque/Solo lectura Lee el dispositivo como un dispositivo de bloque, lo que significa que el dispositivo montado se debe ver mediante cualquier aplicación de Windows que realice consultas de nombres físicos. Le permite escribir en la evidencia, tomar notas, etc. los Bloquear dispositivo/escribible cambios y las anotaciones se guardan en un archivo de caché, pero no se realizan cambios en el original. Si se selecciona, proporcione información de ruta para el archivo de caché en el campo Carpeta de caché de escritura. Sistema de archivos/Solo lectura Lee el dispositivo como un dispositivo de solo lectura que puede ver con el Explorador de Windows. 8. Seleccione el método de montaje que se usará para este montaje. 9. Cuando todas las opciones de montaje estén seleccionadas, haga clic en Montar. Toda la información de montaje relacionada se mostrará en la lista de imágenes asignadas. Capítulo 3 Trabajar con evidencia Adición de elementos de evidencia | 25 Machine Translated by Google FIGURA 5-5 Montar imagen en la unidad: lista de imágenes asignadas Para montar otra imagen, repita el proceso. Puede continuar montando imágenes según sea necesario, hasta que se quede sin pruebas para agregar o puntos de montaje para usar. Las imágenes montadas permanecen disponibles hasta que se desmontan o hasta que se cierra Imager. 10. Haga clic en Cerrar para volver a FTK Imager. Desmontar una imagen Para desmontar una imagen montada 1. Haga clic en Archivo > Montaje de imagen. 2. En el cuadro de diálogo Montar imagen en la unidad , resalte la imagen para desmontar. 3. Haga clic en Desmontar. 4. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y volver a FTK Imager. Para desmontar varias asignaciones 1. Elija uno de los siguientes: ÿÿHaga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de asignaciones contiguas. ÿÿHaga clic en una asignación en la lista, luego presione Ctrl y haga clic en asignaciones individuales para seleccionar varias asignaciones no contiguas. mapeos. ÿÿHaga clic y arrastre para seleccionar varias imágenes montadas. 2. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y volver a FTK Imager. Eliminación de pruebas Cuando sea necesario, los elementos de evidencia se pueden eliminar individualmente o en conjunto. Ambos métodos se discuten en esta sección. Eliminación de un único elemento de prueba Puede eliminar elementos de evidencia individualmente o comenzar de nuevo eliminando todas las evidencias a la vez. Para eliminar un elemento de prueba 1. En el árbol de evidencia, seleccione el elemento de evidencia que desea eliminar. Capítulo 3 Trabajar con evidencia Eliminación de pruebas | 26 Machine Translated by Google Nota: Debe seleccionar todo el elemento de evidencia para eliminarlo; no puede eliminar solo una parte de un elemento. 2. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Eliminar elemento de evidencia ÿÿHaga clic en el botón Eliminar elemento de evidencia en la barra de herramientas. El elemento de evidencia se elimina del árbol de evidencia. Eliminación de todos los elementos de evidencia Para eliminar todos los elementos de prueba a la vez ÿÿHaga uno de los siguientes: ÿÿHaga clic en Archivo > Eliminar todos los elementos de evidencia ÿÿHaga clic en el botón Eliminar todos los elementos de evidencia en la barra de herramientas. Todos los elementos de evidencia se eliminan del árbol de evidencia. Obtención de archivos de registro protegidos El sistema operativo Windows no le permite copiar o guardar archivos de registro en vivo. Sin FTK Imager, los usuarios tenían que crear una imagen de su disco duro y luego extraer los archivos del Registro, o arrancar su computadora desde un disco de arranque y copiar los archivos del Registro del sistema operativo inactivo en la unidad. FTK Imager ofrece una solución mucho más sencilla. Elude el sistema operativo Windows y sus bloqueos de archivos, lo que le permite copiar los archivos del Registro en vivo. Adquisición de archivos de registro protegidos en una máquina local Puede adquirir los archivos de registro protegidos utilizando FTK Imager ejecutándose en la máquina cuyos archivos de registro necesita. Para adquirir archivos de registro protegidos en una máquina local 1. Inicie el generador de imágenes FTK. 2. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Obtener archivos protegidos. ÿÿHaga clic en Obtener archivos protegidos botón en la barra de herramientas. 3. Especifique un directorio de destino. 4. Seleccione la opción que se adapte a sus necesidades: ÿÿArchivos mínimos para la recuperación de inicio de sesión: recupera archivos de usuarios, sistema y SAM desde los que puede recuperar la información de la cuenta de un usuario. ÿÿRecuperación de contraseña y todos los archivos de Registro: Recupera archivos de Usuarios, Sistema, SAM, NTUSER.DAT, Predeterminado, Seguridad, Software y Userdiff desde los cuales puede recuperar información de cuenta y posibles contraseñas para otros archivos. Esta lista también se puede importar a las herramientas de recuperación de contraseña de AccessData, como PRTK y DNA. 5. Haga clic en Aceptar. FTK Imager exporta los archivos seleccionados a la ubicación designada. 6. Agregue los archivos al caso. Capítulo 3 Trabajar con evidencia Obtención de archivos de registro protegidos | 27 Machine Translated by Google 7. Para abrir los archivos del Registro, realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Visor del registro. ÿÿHaga clic con el botón derecho en un archivo de registro en la lista de archivos y luego seleccione Visor de registro. Nota: estos pasos no adquirirán archivos protegidos de una imagen de disco; solo desde el sistema en vivo que ejecuta Imager. Consulte las instrucciones a continuación para adquirir archivos protegidos desde una imagen de disco. Acceso a archivos de registro desde una imagen de disco Para acceder a los archivos de Registro protegidos desde una imagen de disco usando FTK Imager En EXP 1. Navegue a [Unidad]:\Documentos y configuración\[nombre de usuario]\. 2.Exportar _ ÿÿ ntuser.dat 3. Navegue a [Unidad]:\Windows\System32\Config\. 4. Exporte los siguientes archivos: ÿÿSAM ÿÿSistema ÿÿSoftware ÿÿSeguridad en vista 1. Navegue a [Unidad]:\Usuarios\[nombre de usuario]\ 2.Exportar _ ÿÿ ntuser.dat 3. Vaya a [Unidad]:\Windows\System32\Config\ 4. Exporte los siguientes archivos: ÿÿSAM ÿÿSistema ÿÿSoftware ÿÿSeguridad Independientemente del sistema operativo, exporte los archivos a una ubicación accesible (donde tenga derechos y permisos), luego agréguelos/ ábralos uno por uno en Registry Viewer. Uso de imágenes cifradas FTK Imager puede trabajar con imágenes cifradas con EFS o AD Encryption. El uso de imágenes cifradas se analiza a continuación. Detección de cifrado EFS Puede buscar datos cifrados en una unidad física o una imagen con FTK Imager. La siguiente figura representa una vista de los archivos cifrados con EFS detectados: Capítulo 3 Trabajar con evidencia Uso de imágenes cifradas | 28 Machine Translated by Google FIGURA 5-6 Archivos cifrados EFS detectados Para detectar archivos cifrados 1. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Detectar cifrado. ÿÿHaga clic en el botón Detectar cifrado en la barra de herramientas. El programa escanea la evidencia y le notifica si se encuentran archivos cifrados. Como se ilustra en la figura anterior, los archivos cifrados con EFS se indican mediante un icono de llave, , en el Árbol de Evidencia. Nota: esta característica no funciona con archivos .L01 . Cifrado de anuncios FTK Imager 3.0 y versiones posteriores tienen la capacidad de cifrar datos durante la exportación a una imagen. Esta característica se conoce como Cifrado AD. Los tipos de imágenes compatibles son: ÿÿAD1 (Contenido personalizado de AD) ÿÿE01 (Compatible con EnCase) ÿÿS01 (inteligente) ÿÿAFF (Formato forense avanzado) ÿÿ001 (RAW/DD) Capítulo 3 Trabajar con evidencia Uso de imágenes cifradas | 29 Machine Translated by Google AD Encryption también es compatible con lo siguiente: ÿÿAlgoritmo hash SHA-512 ÿÿAlgoritmos criptográficos AES 128, 192 y 256 ÿÿMateriales clave (para cifrar la clave AES): frases de contraseña, archivos de claves sin procesar y certificados Nota: Un archivo de clave sin procesar es cualquier archivo arbitrario cuyos datos sin procesar se tratarán como material de clave. FIGURA 5-7 Opciones de credenciales de cifrado de AD Los certificados utilizan claves públicas para el cifrado y las claves privadas correspondientes para el descifrado. ÿÿPara cifrar con una contraseña, marque Contraseña, luego escriba y vuelva a escribir la contraseña para usar. ÿÿPara cifrar con un certificado, marque Certificado y busque el certificado que desea utilizar. Cifrado AFF El nuevo comienzo en FTK Imager 3.0 es la capacidad de crear imágenes usando AFF Encryption. Cuando crea una imagen cifrada AFF, se requiere una contraseña. Si desea abrir esa imagen cifrada más tarde, deberá proporcionar la contraseña que se utilizó cuando se creó. FIGURA 5-8 Cuadro de diálogo Cifrado AFF Capítulo 3 Trabajar con evidencia Uso de imágenes cifradas | treinta Machine Translated by Google Capítulo 4 Archivos de salida del generador de imágenes FTK FTK Imager le permite hacer varios tipos diferentes de imágenes forenses. Además, se pueden exportar el contenido de la unidad y las listas hash. En este capítulo se describen las opciones disponibles. Creación de imágenes forenses FTK Imager le permite escribir un archivo de imagen en un solo destino o escribir simultáneamente varios archivos de imagen en varios destinos utilizando los mismos datos de origen o unidad. Creación de imágenes de unidades o particiones completas Importante: la siguiente información importante debe revisarse y comprenderse antes de completar la obtención de imágenes unidades o particiones completas en unidades: ÿÿCuando utilice FTK Imager para crear una imagen forense de un disco duro, asegúrese de utilizar un hardware dispositivo de bloqueo de escritura basado en Esto asegura que su sistema operativo no altere el disco duro cuando lo conecte a su computadora de procesamiento de imágenes. ÿÿAl exportar datos a una imagen desde una unidad cifrada, cree la imagen físicamente, no lógicamente. A menudo se requiere una imagen física para descifrar el cifrado de disco completo. Para crear una imagen forense 1. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Crear imagen de disco. ÿÿHaga clic en el botón Crear imagen de disco en la barra de herramientas. FIGURA 6-1 Seleccionar fuente 2. En el cuadro de diálogo Seleccionar fuente, seleccione la fuente de la que desea crear una imagen. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 31 Machine Translated by Google 3. Haga clic en Siguiente. 4. Si selecciona Unidad lógica y necesita seleccionar un disquete o un CD como fuente, puede marcar la casilla Automatizar múltiples medios extraíbles para crear grupos de imágenes. Imager incrementará automáticamente los números de caso con cada imagen y, si algo interrumpe el proceso, puede asignar el número de caso manualmente. 5. Seleccione la unidad o busque el origen de la imagen que desea y luego haga clic en Finalizar. 6. En el cuadro de diálogo Crear imagen , haga clic en Agregar. FIGURA 6-2 Crear imagen ÿÿCompare los valores hash almacenados del contenido de su imagen marcando la casilla Verificar imágenes después de crearlas . Si un archivo no tiene un hash, esta opción generará uno. ÿÿEnumere todo el contenido de sus imágenes con la ruta, las fechas de creación, si se eliminaron los archivos y otros metadatos. La lista se guarda en formato de valores separados por tabuladores (.TSV) . 7. Seleccione el tipo de imagen que desea crear. Nota: si está creando una imagen de un CD o DVD, este paso se omite porque todas las imágenes de CD/DVD se creado en el formato IsoBuster CUE. No se generan hashes para imágenes de CD y DVD, por lo que tampoco se verificarán. FIGURA 6-3 Seleccionar tipo de imagen Importante: el tipo de imagen sin procesar no está comprimido. Si selecciona el tipo Raw (dd), asegúrese de tener suficiente espacio disponible en el disco para la imagen resultante. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 32 Machine Translated by Google 7a. Si está creando un tipo de imagen AFF , elija AFF. El cuadro de diálogo Carpeta de destino de la imagen que ve será diferente al que se ve al seleccionar cualquier otro tipo de imagen. FIGURA 6-4 Seleccione el tipo de imagen con AFF seleccionado. 7b. Haga clic en siguiente. 8. Especifique la información del elemento de prueba. Toda la información del elemento de evidencia es opcional, pero es útil tener la información de fácil acceso en caso de que sea cuestionada en cualquier momento después de la creación FIGURA 6-5 Información del elemento de prueba 9. Complete los campos en el cuadro de diálogo Información del elemento de evidencia. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 33 Machine Translated by Google FIGURA 6-6 Seleccione el destino de la imagen 10. Haga clic en Siguiente. 11. En el campo Carpeta de destino de la imagen, realice una de las siguientes acciones: ÿÿEscriba la ruta de ubicación donde desea guardar el archivo de imagen. ÿÿHaga clic en Examinar para buscar y seleccionar la ubicación deseada. Nota: si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar todo el archivo de imagen, FTK Imager solicita una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación. Sin embargo, todos los archivos de imagen relacionados deben guardarse juntos en la misma carpeta antes de agregarse a un caso. 12. En el campo Nombre de archivo de imagen, especifique un nombre para el archivo de imagen pero no especifique una extensión de archivo. 13. Especifique el tamaño del fragmento de imagen: ÿÿTamaño de fragmento de imagen predeterminado = 1500 MB ÿÿPara guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB. ÿÿPara guardar segmentos de imagen que se pueden grabar en un DVD, especifique 4000 MB. ÿÿEl formato .S01 está limitado por diseño a tamaños entre 1 MB y 2047 MB (2 GB). Los punteros de bloque comprimidos son números de 31 bits (el bit alto es un indicador comprimido), lo que limita el tamaño de cualquier segmento a dos gigabytes. 13a. Seleccione el nivel de compresión a utilizar. ÿÿ0=Sin compresión ÿÿ1=Más rápido, menor compresión (más rápido y también un poco más pequeño que un archivo de compresión 0) ÿÿ9=Más lento, mayor compresión (archivo más pequeño, más lento de crear). ÿÿLos números entre 1 y 9 producen una imagen con diferentes niveles de relación entre compresión y velocidad. 14. Para cifrar la imagen, elija la casilla de cifrado correcta como se explica a continuación: 14a. Para cifrar la nueva imagen con AD Encryption, marque la casilla Usar AD Encryption . 14b. Para cifrar la nueva imagen con AFF Encryption, marque la casilla Usar AFF Encryption . Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 34 Machine Translated by Google FIGURA 6-7 Seleccione el destino de la imagen 15. Haga clic en Finalizar. Para obtener más información, consulte Detectar el cifrado EFS (página 28). 16. Cuando se selecciona Cifrado AD, puede elegir entre cifrar con una contraseña o cifrar con un certificado FIGURA 6-8 Credenciales de cifrado de AD Si usa una contraseña, debe escribirla y luego volver a escribirla para confirmar. ÿÿHaga clic en Mostrar contraseña para mostrar la contraseña en texto sin formato a medida que la escribe por primera vez, para verificar que la está escribiendo correctamente. ÿÿDesmarque Mostrar contraseña para reemplazar los caracteres con asteriscos. 16a. Cuando se selecciona Cifrado AFF, escriba la contraseña y vuelva a escribir la contraseña para confirmar. FIGURA 6-9 Cifrado AFF 16b. Haga clic en Mostrar contraseña para comprobar que la ha escrito correctamente la primera vez. 17. Cuando haya realizado las selecciones de cifrado, haga clic en Aceptar para guardar las selecciones y volver a Crear imagen . diálogo. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 35 Machine Translated by Google 18. Para agregar otro destino de imagen (es decir, una ubicación guardada diferente o un tipo de archivo de imagen diferente), haga clic en Agregar y repita los pasos 4-14. ÿÿPara cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar. ÿÿPara eliminar un destino de imagen, seleccione el destino y haga clic en Quitar. 19. Haga clic en Iniciar para comenzar el proceso de generación de imágenes. 20. Una vez creadas correctamente las imágenes, el cuadro Resultados de verificación de la unidad/ imagen muestra una imagen detallada. información, incluidas sumas de verificación MD5 y SHA1, y sectores defectuosos. FIGURA 6-10 Resultados de verificación de imagen/unidad Nota: Los datos que se muestran en el cuadro de resultados varían según el tipo de imagen creada. 21. Aparece un cuadro de diálogo de progreso que muestra lo siguiente: Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 36 Machine Translated by Google FIGURA 6-11 Creación de imagen: Imagen ÿÿLa fuente de la que se está tomando la imagen ÿÿLa ubicación donde se guarda la imagen ÿÿEl estado del proceso de formación de imágenes ÿÿUna barra de progreso gráfica ÿÿLa cantidad de datos en MB que se ha copiado y la cantidad total que se copiará ÿÿTiempo transcurrido desde que comenzó el proceso de creación de imágenes ÿÿTiempo estimado restante hasta que se complete el proceso ÿÿBotón Resumen de imagen. Haga clic en él para abrir la ventana Resumen de imagen como se muestra a continuación: FIGURA 6-12 Resumen de imágenes El resumen de la imagen también incluye los datos que ingresó en el cuadro de diálogo Información del elemento de evidencia. 22. Haga clic en Aceptar para cerrar el Resumen de imágenes. 23. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen . 24. Haga clic en Cerrar para volver a Imager. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 37 Machine Translated by Google Creación de imágenes de contenido personalizado FTK Imager le permite personalizar su imagen para disminuir el tiempo y la memoria necesarios para almacenar información y pruebas importantes. Con la función Imagen de contenido personalizado, puede seleccionar archivos específicos de un sistema de archivos en vivo o una imagen existente para crear una imagen más pequeña y específica. También puede buscar una imagen existente usando un carácter comodín para crear una imagen personalizada que tenga solo aquellos archivos que se ajusten a sus criterios exactos. Las imágenes personalizadas sirven a los investigadores que deben adquirir pruebas rápidamente o que solo necesitan determinados elementos de información para crear pruebas. Las imágenes también se pueden personalizar para que quepan en una memoria USB u otro medio portátil. Nota: Al exportar el contenido de una carpeta a una Imagen de contenido personalizado (AD1) o Imagen lógica (AD1), si un archivo en la carpeta que se exporta está bloqueado (en uso por otro proceso o programa), aparece un mensaje de error. mostrando el problema y el nombre del archivo que está en uso. Para crear una imagen de contenido personalizado 1. Agregue una unidad o carpeta a Imager como elemento de prueba y revise el contenido para obtener la información que desea. para agregar a una imagen personalizada. 2. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Agregar a imagen de contenido personalizado. ÿÿHaga clic derecho en cada elemento para abrir el menú Exportar. Seleccione Agregar a imagen de contenido personalizado (AD1). El elemento aparece en el panel Orígenes de contenido personalizado. FIGURA 6-13 Fuentes de contenido personalizadas Nota: El panel Fuentes de contenido personalizado se puede acoplar; es decir, puede moverlo a cualquier esquina de la ventana de Imager, o incluso puede desacoplarlo completamente de la ventana de Imager y arrastrarlo a un segundo monitor. pantalla. 3. Continúe agregando contenido repitiendo este paso hasta que haya especificado o seleccionado todas las pruebas que desea agregar a esta imagen de contenido personalizado. Puede cambiar los elementos en su lista de imágenes personalizadas. Utilice los botones Nuevo y Quitar para incluir o excluir elementos y el botón Editar para abrir el cuadro de diálogo Opciones de comodines. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 38 Machine Translated by Google FIGURA 6-14 Opciones de comodines El cuadro de diálogo Opciones de comodines le permite crear filtros para encontrar archivos específicos. En el campo de descripción de la ruta, puede escribir: ÿÿUn signo de interrogación (?) para reemplazar cualquier carácter individual en el nombre y la extensión del archivo ÿÿUn asterisco (*) para reemplazar cualquier serie de caracteres en un nombre de archivo y extensión El carácter de tubería ( | ) para separar directorios y archivos La siguiente tabla muestra ejemplos de filtrado de comodines: TABLA 6-1 Ejemplos de nombres de comodines Meta Descripción del comodín Recopile todos los archivos que terminen en .doc que residan en cualquier carpeta denominada Mis documentos. Mis documentos|*.doc Recopile todas las cookies de Internet en un sistema con Cookies|index.dat para múltiples usuarios. Recopile los archivos de correo electrónico de Outlook en Datos de la aplicación|Microsoft|Outlook|*.pst un sistema Windows XP de varios usuarios . Datos de la aplicación|Microsoft|Outlook|*.ost Las opciones de la casilla de verificación se pueden usar individualmente o en combinación para filtrar archivos no deseados: ÿÿIgnorar mayúsculas y minúsculas permite todos los directorios en las pruebas añadidas independientemente de las mayúsculas y minúsculas. ÿÿIncluir subdirectorios incluye todos los archivos y subdirectorios en la evidencia agregada debajo del carpeta especificada. Match All Ocurrences localiza todos los directorios en las pruebas añadidas que coinciden con el expresión. Elimina la necesidad de hacer clic derecho en cada nodo en el árbol de evidencia y seleccionar Agregar a la imagen de contenido personalizado (AD1) uno por uno. Por ejemplo, si quisiera recopilar todos los archivos que terminan en .doc que residen en todas las carpetas denominadas Mis documentos, FTK Imager buscaría todas las pruebas agregadas para cada ocurrencia de Mis documentos y luego recopilaría todos los archivos .doc en ese directorio. Al desmarcar Incluir subdirectorios , Imager encuentra solo los archivos en la raíz de la carpeta Mis documentos. 4. Cuando se hayan identificado y agregado todas las fuentes de contenido personalizadas , haga clic en Crear imagen. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 39 Machine Translated by Google FIGURA 6-15 Crear imagen 5. En el cuadro de diálogo Crear imagen , especifique las opciones para esta imagen AD1. 6. Haga clic en Agregar para agregar un destino para la nueva imagen. 7. Especifique la información del elemento de prueba. Toda la información de elementos de evidencia es opcional, pero es útil tener la información fácilmente accesible en caso de que se cuestione en cualquier momento después de la creación. FIGURA 6-16 Cuadro de diálogo de información del elemento de prueba 8. Haga clic en Siguiente. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 40 Machine Translated by Google FIGURA 6-17 Cuadro de diálogo Seleccionar destino de imagen 9. Complete el cuadro de diálogo Seleccionar destino de imagen de la siguiente manera: 9a. Especifique o busque la carpeta de destino. 9b. Escriba el nombre de archivo de la nueva imagen, sin extensión; la extensión está determinada por el tipo de imagen seleccionado y se agrega automáticamente. 9c. Especifique el tamaño del fragmento de imagen: ÿ Tamaño de fragmento de imagen predeterminado = 1500 MB ÿÿPara guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB. ÿÿPara guardar segmentos de imagen que se pueden grabar en un DVD, especifique 4000 MB. ÿÿ0 crea una imagen de un solo archivo (no fragmentada). Use esto si nunca necesitará usar medios de almacenamiento o transporte de los datos de imagen. 9d. Seleccione el nivel de compresión a utilizar. ÿÿ0=Sin compresión ÿÿ1=Más rápido, menor compresión (más rápido y también un poco más pequeño que un archivo de compresión 0) ÿÿ9=Más lento, mayor compresión (archivo más pequeño, más lento de crear). ÿÿLos números entre 1 y 9 producen una imagen con diferentes niveles de relación entre compresión y velocidad. 9e. Elija si usar el cifrado de AD. Para obtener más información, consulte el Paso 9 en "Creación de informes forenses". Imágenes” a partir de la página 31. 9f. Elija si Filtrar por propietario del archivo. Para obtener más información, consulte Exportación por SID (página 43). 10. Haga clic en Finalizar en el cuadro de diálogo Seleccionar destino de imagen para guardar esta configuración y volver a Crear. diálogo de imagen 11. Para agregar otro destino de imagen (es decir, una ubicación diferente guardada adicional), haga clic en Agregar y repita pasos 5 a 8. 12. Para cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar. 13. Para eliminar un destino de imagen, seleccione el destino y haga clic en Eliminar. 14. Marque las opciones adicionales que desee: ÿÿMarque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos originales ha cambiado desde que se copió a la imagen. ÿÿMarque Crear listas de directorios de todos los archivos en la imagen para registrar los nombres de archivo y las rutas del contenido de la imagen. Este registro se guardará en formato de Microsoft Excel y, a menudo, funciona como evidencia. ÿÿMarque Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento requerirá la creación de la imagen personalizada antes de comenzar y a medida que avanza la creación de imágenes. Capítulo 4 Archivos de salida del generador de imágenes FTK Creación de imágenes forenses | 41 Machine Translated by Google 15. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente: ÿÿEl archivo de imagen de origen que se está exportando ÿÿLa ubicación donde se guarda la nueva imagen ÿÿEl estado del proceso de exportación ÿÿUna barra de progreso gráfica ÿÿLa cantidad de datos en MB que se han copiado y la cantidad total que se copiará ÿÿTiempo transcurrido desde que comenzó el proceso de exportación Tiempo estimado restante hasta que se complete el proceso FIGURA 6-18 Creación de imagen (ventana de progreso) 16. De manera predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra la archivos y los hashes (MD5 y SHA1) de su imagen personalizada. 16a. Haga clic en Cerrar cuando haya terminado de ver la información hash. 16b. Haga clic en Cerrar de nuevo para volver al cuadro de diálogo Crear imagen. En este punto, la ventana de estado dirá Imagen creada con éxito. 17. Haga clic en Resumen de imágenes para abrir la ventana Resumen de imágenes que muestra el registro de creación de imágenes. Elemento de evidencia Información que ingresó al principio. 18. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen. 19. Haga clic en Cerrar para volver a Imager. Exportación desde generador de imágenes FTK Hay varias formas de exportar datos desde FTK Imager. Cada uno se discute a continuación. Exportación de imágenes forenses Convierta un archivo de imagen existente a un formato diferente exportándolo y eligiendo un formato de imagen diferente del original. Exporte archivos de imagen completos para convertirlos de un tipo de formato a otro. Exporte los contenidos seleccionados de una unidad o imagen para crear una imagen de contenido personalizado (AD1). exportar archivos Exportar o copiar archivos desde un elemento de evidencia le permite imprimir, enviar por correo electrónico, recuperar archivos u organizar archivos según sea necesario, sin alterar la evidencia original. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 42 Machine Translated by Google Nota: esta característica es útil si su sistema operativo falla, pero la unidad aún está operativa. Crea una imagen de tu disco y exporta tus datos, fotos, etc. de la imagen Para exportar o copiar archivos de un elemento de prueba 1. En el árbol de pruebas, seleccione la carpeta que contiene los archivos que desea exportar. El contenido de la carpeta se muestra en la lista de archivos. 2. En la Lista de archivos, seleccione los archivos que desea exportar. ÿÿHaga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos. ÿÿHaga clic en un archivo, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos. 3. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Exportar archivos. ÿÿHaga clic en el botón Exportar archivos en la barra de herramientas. 4. En el cuadro de diálogo Buscar carpeta , busque la ubicación donde desea guardar los archivos exportados. 5. Haga clic en Aceptar. Los archivos se copian en la ubicación especificada. Exportación por SID Windows asigna identificadores únicos a cada proceso, usuario, máquina, etc. dentro de su sistema. Un identificador de sistema (SID) es único para el sistema y, en la mayoría de los casos, se aplica a los usuarios. Las funciones Exportar a imagen lógica (AD1) y Agregar a imagen de contenido personalizado (AD1) ahora permiten al usuario seleccionar y exportar archivos propiedad de SID en particular, o agregarlos a la imagen. FIGURA 6-19 Seleccione el destino de la imagen Para exportar una lista de archivos según el SID del propietario del archivo 1. Comience seleccionando un elemento del árbol de pruebas. 2. Haga clic derecho en el elemento de evidencia seleccionado 3. Elija uno de los siguientes: ÿÿExportar imagen lógica (AD1) ÿÿAñadir a imagen de contenido personalizado (AD1) Cuando se agrega a una imagen de contenido personalizado, verá el elemento en el cuadro Fuentes de contenido personalizado. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 43 Machine Translated by Google 4. Cuando se hayan agregado todos los elementos deseados a la imagen de contenido personalizado, haga clic en Crear imagen. Esto lo llevará a la misma pantalla que vería si hubiera seleccionado directamente Exportar imagen lógica. 5. En el cuadro de diálogo Crear imagen , haga clic en Agregar para especificar un destino de imagen FIGURA 6-20 Crear imagen. 6. Especifique la información del elemento de prueba. Toda la información del elemento de evidencia es opcional, pero es útil tener la información fácilmente accesible en caso de que se cuestione en cualquier momento después de la creación. FIGURA 6-21 Información del elemento de prueba. 7. Haga clic en Siguiente. 8. Especifique la carpeta de destino de la imagen y el nombre del archivo de la imagen (sin extensión) 9. Elija un tamaño de fragmento para la imagen. 10. Elija un nivel de compresión según la siguiente información: ÿÿ0=Sin compresión ÿÿ1=Más rápido, menor compresión (más rápido y también un poco más pequeño que un archivo de compresión 0) ÿÿ9=Más lento, mayor compresión (archivo más pequeño, más lento de crear). ÿÿLos números entre 1 y 9 producen una imagen con diferentes niveles de relación entre compresión y velocidad. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 44 Machine Translated by Google 11. Acepte el tamaño de fragmento de imagen predeterminado o especifique el tamaño de fragmento de imagen que desea utilizar. ÿÿTamaño de fragmento de imagen predeterminado = 1500 MB ÿÿPara guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB. ÿÿPara guardar segmentos de imagen que se pueden grabar en un DVD, especifique 4000 MB. ÿÿ0 crea una imagen de un solo archivo (no fragmentada). Úselo si nunca necesitará usar medios más pequeños para almacenar o transportar los datos de la imagen. 12. Marque Usar cifrado AD si desea aplicar cifrado con contraseña o utilizar un certificado para el cifrado del archivo de imagen AD1 resultante. 13. Marque Filtrar por propietario del archivo para que aparezca una lista de usuarios encontrados en la evidencia que puede seleccionar para exportador. 14. Haga clic en Finalizar. FIGURA 6-22 Elegir propietarios de archivos 15. En el cuadro de diálogo Elegir propietarios de archivos , marque los nombres de los usuarios y sus SID cuyos archivos desee. quiere exportar. 15a. Si el SID deseado no aparece en la lista, haga clic en Agregar para ingresar uno manualmente. Copie y pegue el SID desde otra ubicación, o escríbalo manualmente. Esto permite que un usuario cree una imagen que contenga archivos propiedad del SID de una cuenta de dominio. Nota: Los SID/Nombres ingresados por el usuario persisten solo mientras esta instancia de Imager esté abierta. 16. Haga clic en Aceptar. El archivo exportado se creará en el destino que especificó en el Paso 2. Exportación de listas hash de archivos Hashing es el proceso de generar un valor único basado en el contenido de un archivo. Este valor se puede usar para probar que una copia de un archivo no ha sido alterada de ninguna manera con respecto al archivo original. Es computacionalmente inviable que un archivo alterado genere el mismo número hash que la versión original de ese archivo. La función Exportar lista hash de archivos en FTK Imager utiliza los algoritmos hash MD5 y SHA1 para generar números hash para archivos. Para generar y exportar valores hash a una lista 1. En el árbol de pruebas, seleccione la carpeta que contiene los objetos que desea codificar. El contenido del objeto se muestran en la lista de archivos. 2. En la Lista de archivos, seleccione las carpetas o los archivos que desea codificar. Si selecciona una carpeta, todos los archivos contenidos en la carpeta y sus subcarpetas están codificadas. Nota: Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos. Haga clic en uno, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 45 Machine Translated by Google 3. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Exportar lista hash de archivo ÿÿHaga clic en el botón Exportar lista hash de archivos en la barra de herramientas. 4. En el cuadro de diálogo Guardar como , escriba un nombre para la lista hash de archivos en el campo Nombre de archivo . 5. Haga clic en Guardar. La lista hash se guarda como un archivo de valores separados por comas (*.CSV). Puede ver este archivo en una aplicación de hoja de cálculo, como Microsoft Excel, o importarlo a FTK como una base de datos KFF. Información del elemento de evidencia Al crear o exportar una imagen forense, puede ingresar información y notas sobre la evidencia contenida en la imagen que está creando. Esta información se guarda en la misma ubicación que el archivo de imagen, con el mismo nombre, pero con una extensión .TXT . Por ejemplo, si su imagen se llamara AD1test.ad1, la información del elemento de prueba se guardaría en la misma carpeta que AD1Test.ad1.TXT. Nota: si también eligió exportar la información de la lista de directorios a un archivo .CSV , para la misma imagen, el nombre del archivo sería AD1Test.ad1.CSV. FIGURA 6-23 Información del elemento de evidencia Puede ingresar la siguiente información: ÿÿEl número del caso con el que está asociado el elemento de prueba El número asignado al elemento de evidencia. ÿÿUna descripción única del elemento de evidencia, por ejemplo, “Disco duro del sistema recuperado del computadora personal en el hogar”. El nombre del examinador que está creando la imagen. ÿÿNotas sobre el elemento de prueba que puede ser útil para la investigación Para exportar una imagen lógica AD1 1. En el árbol de pruebas, seleccione el contenido que desea exportar como imagen lógica. 2. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado (AD1) ÿÿHaga clic con el botón derecho en la carpeta y seleccione Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado (AD1) en el menú rápido. 3. En el cuadro de diálogo Crear imagen , haga clic en Agregar. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 46 Machine Translated by Google 4. Ingrese la información del elemento de evidencia como se mencionó anteriormente. 5. Haga clic en Siguiente. 6. En el campo Carpeta de destino de la imagen, realice una de las siguientes acciones: ÿÿEscriba la ruta para el nuevo archivo de imagen ÿÿHaga clic en Examinar para seleccionar la ubicación deseada. Importante: si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar todo el archivo de imagen, FTK Imager solicita una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación. Esto funciona, sin embargo, todos los archivos de imagen relacionados deben guardarse juntos en la misma carpeta antes de agregarse a un caso. 7. En el campo Nombre de archivo de imagen , especifique un nombre para el nuevo archivo de imagen, pero no especifique una extensión. 8. En el campo Tamaño de fragmento de imagen , especifique el tamaño máximo en MB para cada fragmento de la nueva imagen . expediente. El tamaño de fragmento de imagen no tiene límite de tamaño máximo, excepto el espacio disponible en el disco. Nota: si desea copiar los archivos de imagen en un CD, especifique un tamaño de fragmento de 650 MB. Si una imagen grande se divide en varias unidades, debe verificarse manualmente colocando todos los segmentos de imagen en el mismo directorio. Para los archivos de imagen que caben en un DVD, especifique un tamaño de segmento de 4 GB. 9. Haga clic en Finalizar para guardar esta configuración y salir al cuadro de diálogo Crear imagen. 9a. Para agregar otro destino de imagen (es decir, una ubicación diferente guardada adicional), haga clic en Agregar y repita pasos 4-7. 9b. Para cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar. 9c. Para eliminar un destino de imagen, seleccione el destino y haga clic en Eliminar. 10. Marque las opciones adicionales que desee: ÿÿMarque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos originales ha cambiado desde que se copió a la imagen. ÿÿMarque Crear listas de directorios de todos los archivos en la imagen para registrar los nombres de archivo y las rutas del contenido de la imagen. Este registro se guardará en formato de Microsoft Excel y, a menudo, funciona como evidencia. ÿÿMarque Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento requerirá la creación de la imagen personalizada antes de comenzar y a medida que avanza la creación de imágenes. 11. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente: ÿÿEl archivo de imagen de origen que se está exportando ÿÿLa ubicación donde se guarda la nueva imagen ÿÿEl estado del proceso de exportación ÿÿUna barra de progreso gráfica ÿÿLa cantidad de datos en MB que se han copiado y la cantidad total que se copiará ÿÿTiempo transcurrido desde que comenzó el proceso de exportación Tiempo estimado restante hasta que se complete el proceso Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 47 Machine Translated by Google FIGURA 6-24 Creación de imagen (cuadro de diálogo Progreso) 12. De manera predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra la archivos y los hashes (MD5 y SHA1) de su imagen personalizada. 13. Haga clic en Cerrar cuando haya terminado de ver la información hash. 14. Haga clic en Cerrar de nuevo para volver al cuadro de diálogo Crear imagen. En este punto, la ventana de Estado dirá Imagen Creado con éxito. 15. Haga clic en Resumen de imágenes para abrir la ventana Resumen de imágenes que muestra el registro de creación de imágenes . mostrando la información del elemento de evidencia que ingresó al principio. 16. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen. 17. Haga clic en Cerrar para volver a Imager. Exportar listados de directorios Puede exportar una lista de carpetas y su contenido de archivo en la unidad o partición seleccionada. Para exportar una lista de directorio 1. Seleccione el directorio que desea exportar. 2. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Exportar listado de directorio. ÿÿHaga clic en el botón Exportar listado de directorio . 3. Seleccione la ubicación del archivo guardado y escriba un nombre de archivo. 4. Haga clic en Guardar. Descifrado de imágenes AD1 Puede usar Imager para descifrar imágenes AD1 que tienen cifrado AccessData. Para descifrar imágenes AD1 1. Abra el generador de imágenes FTK de datos de acceso. 2. Haga clic en Archivo > Descifrar imagen AD1. 3. En el cuadro de diálogo Elija un archivo/ imagen para cifrar o descifrar , busque la ubicación del AD1 cifrado. imagen, selecciónela y haga clic en Abrir. 4. En el cuadro de diálogo Guardar archivo/ imagen descifrado en, busque la ubicación donde desea almacenar el archivo descifrado . imagen AD1 y haga clic en Guardar. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 48 Machine Translated by Google 5. En el cuadro de diálogo Credenciales de cifrado de AD , ingrese la contraseña para la imagen cifrada y haga clic en Aceptar. 6. Una vez que se completa el proceso de descifrado, en el cuadro de diálogo Descifrado de AD Encryption , haga clic en Aceptar. Verificación de unidades e imágenes FTK Imager le permite calcular los valores hash MD5 y SHA1 para unidades e imágenes completas para verificar que las copias de los elementos de evidencia no se hayan alterado de ninguna manera con respecto a los originales. Para verificar una unidad o imagen 1. En el árbol de pruebas, seleccione la unidad o imagen que desea verificar. 2. Realice una de las siguientes acciones: ÿÿHaga clic en Archivo > Verificar unidad/imagen. ÿÿHaga clic en el botón Verificar unidad/imagen en la barra de herramientas. Aparece un cuadro de diálogo de progreso que muestra: ÿÿEl nombre de la unidad o imagen que está verificando ÿÿUna barra de progreso gráfica ÿÿLa cantidad de datos (en MB) que se ha verificado y la cantidad total a verificar ÿÿTiempo transcurrido desde que comenzó el proceso de verificación ÿÿTiempo estimado restante hasta que se complete el proceso 3. Una vez que el proceso de verificación se haya completado con éxito, aparecerá el resumen de resultados de verificación de la unidad/ imagen. Aparece una pantalla que muestra lo siguiente: Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 49 Machine Translated by Google FIGURA 6-25 Resultados de verificación de imagen/unidad ÿÿNombre de la unidad o imagen que se verificó ÿÿNúmero de sectores en el disco o imagen Hash MD5 calculado para la unidad o la imagen ÿÿSi verificó una imagen que contiene su propio valor hash, como una imagen .S01 (SMART) o .E01 (EnCase), también se muestra el valor hash almacenado dentro de la imagen. ÿÿSi el valor hash almacenado en la imagen coincide con el valor hash calculado por FTK Imager ÿÿHash SHA1 calculado para la unidad o la imagen ÿÿNúmero de sectores defectuosos encontrados Puede copiar cualquiera de los resultados en la pantalla Verificar resultados (por ejemplo, los valores hash MD5 o SHA1). Para copiar datos de la pantalla Verificar resultados 1. Haga clic en el resultado para resaltarlo 2. Haga clic con el botón derecho y seleccione Copiar en el menú rápido. 3. Pegue el resultado copiado en un editor de texto. Importación de conjuntos de archivos Puede guardar un conjunto de carpetas y archivos en un directorio y luego crear imágenes personalizadas de esas carpetas y archivos desde otras unidades. Por ejemplo, si está rastreando una carpeta de gráficos en varias unidades, crearía una imagen de contenido personalizado de esas carpetas y archivos y la exportaría a una unidad. Al crear una imagen de un nuevo dispositivo, importará las carpetas y los archivos de la unidad, e Imager creará una imagen de contenido personalizado de esas carpetas y archivos a medida que se presenten en el próximo dispositivo que cree una imagen. Para crear una carpeta y un conjunto de archivos para la imagen 1. Enumere los archivos y carpetas que se incluirán con el cuadro de diálogo Crear imagen de contenido personalizado . 2. Haga clic en Exportar para guardar las carpetas y los archivos en una unidad. 3. Inicie una imagen en un nuevo dispositivo. 4. Abra el cuadro de diálogo Crear imagen de contenido personalizado y haga clic en Importar. 5. Navegue a las carpetas y archivos que exportó. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | cincuenta Machine Translated by Google 6. Seleccione los archivos que desea incluir en la nueva imagen y haga clic en Agregar. 7. En el cuadro de diálogo Crear imagen de contenido personalizado , haga clic en Crear imagen. Capítulo 4 Archivos de salida del generador de imágenes FTK Exportación desde generador de imágenes FTK | 51 Machine Translated by Google Apéndice A Sistemas de archivos y Formatos de imagen de unidad Este apéndice enumera los sistemas de archivos y los formatos de imagen que reconoce AD Imager. Sistemas de archivos La siguiente tabla enumera los sistemas de archivos identificados y analizados por AccessData Imager: TABLA A-1 Sistemas de archivos identificados y analizados ÿ GRASA 12, GRASA 16, GRASA 32 ÿ NTFS ÿExt2FS _ ÿ HFS ÿExt3FS _ ÿ HFS+ ÿExt4FS _ ÿ CDFS ÿ ReiserFS3 ÿ VXFS ÿ exFAT Todo el disco cifrado La siguiente tabla enumera los productos de descifrado de cifrado de disco completo (WDE) identificados y analizados por AccessData Imager (todos estos requieren que el investigador ingrese la contraseña, los productos forenses de AccessData no los "crackean"): TABLA A-2 Formatos de cifrado de disco completo reconocidos y analizados ÿPGP® _ ÿ Utimaco ÿ Credencial ÿ Filo guardián ÿArranque seguro _ ÿEFS _ ÿJFS _ ÿ LVM ÿ VMware ÿ LVM2 ÿ UFS1 ÿ UFS2 Apéndice A Sistemas de archivos y formatos de imágenes de unidades Sistemas de archivos | 52 Machine Translated by Google Formatos de imagen de disco duro La siguiente tabla enumera los formatos de imagen de disco duro identificados y analizados por AccessData Imager: TABLA A-3 Formatos de imagen de disco duro identificados y analizados ÿ Encase, incluyendo 6.12 ÿSnapback _ ÿ Safeback 2.0 y anterior ÿ Testigo experto ÿLinux DD ÿ SCI ÿ Fantasma (solo imágenes forenses) ÿ ÿ INTELIGENTE Imagen lógica de AccessData (AD1) ÿ Formato forense avanzado (AFF) Formatos de imagen de CD y DVD La siguiente tabla enumera los formatos de imagen de CD y DVD identificados y analizados por AccessData Imager: TABLA A-4 Sistemas de archivos y formatos de CD y DVD identificados y analizados ÿ Alcohol (*.mds) ÿ ÿ Señal IsoBuster PlexTools (*.pxi) ÿ Nero ÿ CD clonado (*.ccd) (*.nrg) ÿ Roxio (*.cif) ÿISO _ ÿ Pináculo (*.pdi) ÿ CD virtual (*.vc4) ÿ CD-RW, ÿ VCD ÿ CD-ROM ÿ DVD+MRW ÿ DVD ÿ DVD-RW ÿ DVD-VFR ÿ DVD+RW de doble capa ÿ DVD-VR ÿ BD-R SRM-POW ÿ BD-R DL ÿ BD-R SRM ÿ CD clonado (*.ccd) ÿ HD DVD-R ÿ HD DVD-RW DL ÿ SVCD ÿ DVD de alta definición ÿ HD DVD-RW ÿ DVD-RAM, ÿ CD-ROM XA ÿ CD-MRW, ÿ DVD+VR ÿ DVD+R ÿ DVD+R de doble capa ÿ BD-RE ÿ DVD-VRW ÿ BDÿROM ÿ HD DVD-R DL ÿ BD-R RRM ÿ BDAV ÿ Pináculo (*.pdi) ÿ HD DVD-RAM ÿISO _ ÿ CD-R ÿ CD virtual (*.vc4) ÿ SACD ÿ DVD+RW ÿ DVD-ROM ÿ VD-R ÿ DVD-VM ÿ DVD-R de doble capa ÿ DVD+VRW ÿ BD-R SRM+POW ÿ BD-R ÿ BD-RE DL Apéndice A Sistemas de archivos y formatos de imágenes de unidades Formatos de imagen de disco duro | 53 Machine Translated by Google Apéndice B Uso de un Dispositivo de cubo lógico Integración de un Logicube Forensic MD5 Con FTK Imager, puede conectarse y controlar un dispositivo de procesamiento de imágenes Logicube Forensic MD5 a través de la interfaz FTK Imager. Para obtener información adicional sobre el uso del dispositivo Logicube Forensic MD5, incluidas explicaciones de opciones específicas, consulte la documentación de Logicube Forensic MD5. Para integrar Logicube Forensic MD5 con FTK Imager 1. Conecte el Logicube Forensic MD5 al puerto paralelo de su computadora y encienda el dispositivo. 2. Inicie el generador de imágenes FTK. El menú Herramientas se abre solo si Logicube Forensic MD5 está conectado a su computadora y enciéndala antes de iniciar FTK Imager. 3. En el menú, seleccione Herramientas > Logicube Forensic MD5. 4. En el cuadro de diálogo Logicube MD5, puede realizar las siguientes funciones: ÿÿCree un archivo de imagen de una unidad externa conectada a Logicube Forensic MD5 ÿÿFormatee la unidad de destino interna de Logicube Forensic MD5 ÿÿAcceda a la unidad interna Logicube Forensic MD5 como una unidad USB ÿÿAcceda a la unidad flash compacta Logicube Forensic MD5 como una unidad USB ÿÿVer información de hardware sobre Logicube Forensic MD5. 5. Para salir del cuadro de diálogo Logicube MD5, haga clic en Aceptar. Creación de un archivo de imagen con Logicube Forensic MD5 Con FTK Imager, puede crear un archivo de imagen de una unidad externa conectada a Logicube Forensic MD5. El archivo de imagen se guarda en la unidad interna Forensic MD5. Para crear un archivo de imagen de una unidad externa 1. En el cuadro de diálogo Logicube MD5, haga clic en Unidad de origen de imagen. Aparece el cuadro de diálogo Parámetros de imagen. 2. En la lista desplegable Tamaño de archivo, seleccione el tamaño máximo para cada fragmento del archivo de imagen. 3. En el campo Nombre de archivo, escriba un nombre para el archivo de imagen, pero no especifique una extensión de archivo. Los nombres de archivo deben tener ocho caracteres o menos y solo caracteres alfanuméricos. 4. En la lista desplegable Modo de verificación , seleccione el tipo de verificación de datos que desea utilizar. 5. En la lista desplegable Velocidad , seleccione la velocidad de transferencia de datos. Apéndice B Uso de un dispositivo Logicube Integración de un Logicube Forensic MD5 | 54 Machine Translated by Google 6. Haga clic en Aceptar para comenzar el proceso de generación de imágenes. La información de progreso se muestra en los parámetros de imagen cuadro de diálogo e incluye lo siguiente: ÿÿUna barra de progreso gráfica ÿÿLa cantidad de datos en MB copiados por minuto ÿÿTiempo estimado restante hasta que se complete el proceso El número de sectores copiados Formateo del disco duro interno Logicube Forensic MD5 FTK Imager le permite formatear el disco duro interno de Logicube Forensic MD5 para borrar los datos almacenados anteriormente y garantizar que haya suficiente espacio para almacenar un nuevo archivo de imagen. Para formatear la unidad interna Forensic MD5 ÿÿHaga clic en Formatear unidad de destino en el cuadro de diálogo Logicube MD5. La unidad está formateada con el sistema de archivos FAT32. Uso de la unidad interna Logicube Forensic MD5 como unidad USB Con FTK Imager, puede acceder a la información almacenada en el disco interno Logicube Forensic MD5 a través de una conexión USB. Para acceder a la unidad interna de Forensic como una unidad USB 1. En el cuadro de diálogo Logicube MD5, haga clic en Unidad interna USB. El Logicube Forensic MD5 cambia a USB modo. 2. Conecte el cable USB de la base de Logicube Forensic MD5 a su puerto USB. Windows asigna una letra de unidad a la unidad interna de Forensic MD5, lo que le permite acceder a ella como una unidad lógica. 3. Cuando termine, utilice la función Quitar hardware de forma segura de Windows para desconectar la unidad. 4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para cambiar Logicube Forensic MD5 fuera del modo USB. Acceder a la unidad flash compacta Logicube Forensic MD5 como una unidad USB FTK Imager también le permite acceder a la unidad flash compacta Logicube Forensic MD5 a través de una conexión USB. Para acceder a la unidad flash compacta de Forensic MD5 como una unidad USB 1. En el cuadro de diálogo Logicube MD5, haga clic en USB Compact Flash. El Logicube Forensic MD5 cambia a USB modo. 2. Conecte el cable USB de la base de Logicube Forensic MD5 a su puerto USB. Windows asigna una letra de unidad a la unidad flash compacta de Forensic MD5, lo que le permite acceder a ella como una unidad lógica. 3. Cuando termine, utilice la función Quitar hardware de forma segura de Windows para desconectar la unidad. 4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para cambiar Logicube Forensic MD5 fuera del modo USB. Visualización de la información de hardware de Logicube Forensic MD5 Para ver la información de hardware de Logicube Forensic MD5, haga clic en Información de versión de hardware en el cuadro de diálogo Logicube MD5. Apéndice B Uso de un dispositivo Logicube Integración de un Logicube Forensic MD5 | 55 Machine Translated by Google Apéndice C Uso de un Dispositivo Fernico Integración de un sistema Fernico FAR El sistema Fernico FAR® realiza una copia de seguridad de los datos forenses de las ubicaciones de la red o de los discos duros conectados localmente, distribuyendo automáticamente el contenido en una serie de discos. Las copias de seguridad incluyen verificación MD5 integral e informes completos de cadena de evidencia. Acceso al sistema Fernico FAR desde Imager Si tiene un sistema Fernico FAR instalado, el cuadro de diálogo de selección de fuente mostrará el dispositivo Fernico como un tipo de evidencia de fuente cuando agregue evidencia a un caso. FIGURA C-1 Seleccionar fuente Para acceder al sistema Fernico FAR 1. Seleccione el dispositivo Fernico (múltiples CD/DVD) y luego haga clic en Siguiente. Se abre el cuadro de diálogo Dispositivo Fernico. Apéndice C Uso de un dispositivo Fernico Integración de un sistema Fernico FAR | 56 Machine Translated by Google FIGURA C-2 Dispositivo Fernico 2. En el campo Número de discos , escriba el número de discos cargados en el dispositivo. 3. En el campo Número de copias , escriba el número de copias que se colocarán en los discos. 4. El dispositivo Fernico creará una imagen de todas las subcarpetas de forma predeterminada. Seleccione el botón de radio No si no desea sub carpeta de imágenes. 5. Escriba un destino para la imagen en el campo Ruta de la carpeta de imágenes o utilice el botón Examinar . 6. Escriba un nombre para la carpeta de imágenes en el campo Nombre de carpeta de archivo de imagen. 7. Haga clic en Finalizar. Se abrirá una ventana de DOS que muestra el progreso de la creación de imágenes. Para obtener más información sobre Fernico FAR System, consulte la documentación de Fernico que vino con su Fernico FAR System. Apéndice C Uso de un dispositivo Fernico Integración de un sistema Fernico FAR | 57