Machine Translated by Google
Datos de acceso
generador de imágenes FTK
Guía del usuario
| una
Machine Translated by Google
AccesoDatos Legales y Contacto
Información
Fecha del documento: 21 de marzo de 2012
Información legal
©2012 AccessData Group, LLC Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, fotocopiada,
almacenada en un sistema de recuperación o transmitida sin el consentimiento expreso por escrito del editor.
AccessData Group, LLC no se responsabiliza ni ofrece garantías con respecto al contenido o uso de esta documentación, y renuncia
específicamente a cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier fin en particular. Además, AccessData
Group, LLC se reserva el derecho de revisar esta publicación y realizar cambios en su contenido, en cualquier momento, sin obligación de
notificar a ninguna persona o entidad sobre dichas revisiones o cambios.
Además, AccessData Group, LLC no hace representaciones ni garantías con respecto a ningún software, y renuncia específicamente a
cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier propósito en particular.
Además, AccessData Group, LLC se reserva el derecho de realizar cambios en todas y cada una de las partes del software
AccessData, en cualquier momento, sin ninguna obligación de notificar a ninguna persona o entidad sobre dichos cambios.
No puede exportar o reexportar este producto en violación de las leyes o reglamentos aplicables, incluidos, entre otros, los reglamentos de
exportación de EE. UU. o las leyes del país en el que reside.
Grupo de datos de acceso, LLC.
384 Sur 400 Oeste
suite 200
Lindon, Utah 84042
EE.UU
www.accesodatos.com
AccessData Marcas registradas e información de derechos de autor
ÿÿAccessData® es una marca registrada de AccessData Group, LLC.
ÿÿDistributed Network Attack® es una marca registrada de AccessData Group, LLC.
ÿÿDNA® es una marca registrada de AccessData Group, LLC.
ÿÿForensic Toolkit® es una marca registrada de AccessData Group, LLC.
ÿÿFTK® es una marca registrada de AccessData Group, LLC.
ÿÿPassword Recovery Toolkit® es una marca registrada de AccessData Group, LLC.
ÿÿPRTK® es una marca registrada de AccessData Group, LLC.
ÿÿRegistry Viewer® es una marca registrada de AccessData Group, LLC.
Datos de acceso Información legal y de contacto
Información legal
|2
Machine Translated by Google
Un símbolo de marca comercial (®, ™, etc.) indica AccessData Group, LLC. marca comercial. Con algunas excepciones, ya menos que se indique
lo contrario, todos los nombres de productos de terceros se escriben y escriben con mayúscula de la misma manera que el propietario escribe y
escribe con mayúscula el nombre de su producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los propietarios de las
marcas comerciales y los derechos de autor. AccessData no asume ninguna responsabilidad por la función o el rendimiento de los productos de
terceros.
Reconocimientos de terceros:
ÿÿFreeBSD® Copyright 1992-2011. El Proyecto FreeBSD.
ÿÿAFF® y AFFLIB® Copyright® 2005, 2006, 2007, 2008 Simson L. Garfinkel y Basis Technology Corp. Todos los derechos reservados.
ÿÿCopyright © 2005 - 2009 Ayende Rahien
Convenciones de documentación
En la documentación de AccessData, se utilizan varias variaciones de texto para indicar significados o acciones. Por ejemplo, un símbolo
mayor que (>) se usa para separar acciones dentro de un paso. Cuando se debe escribir una entrada usando el teclado, los datos variables se
separan usando el formato [datos_variables] . Los pasos que requieren que el usuario haga clic en un botón o icono se indican con texto en negrita.
Esta fuente en cursiva indica una etiqueta o elemento no interactivo en la interfaz de usuario.
Un símbolo de marca comercial (®, ™, etc.) indica AccessData Group, LLC. marca comercial. A menos que se indique lo contrario, todos los nombres de
productos de terceros se escriben y escriben con mayúscula de la misma manera que el propietario escribe y escribe con mayúscula el nombre de su
producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los propietarios de las marcas comerciales y los derechos de autor.
AccessData no asume ninguna responsabilidad por la función o el rendimiento de los productos de terceros.
Registro
El registro del producto AccessData se realiza en AccessData después de realizar una compra y antes de que se envíe el producto. Las licencias están
vinculadas a un dispositivo de seguridad USB o a un CmStick virtual, según su compra.
Suscripciones
AccessData proporciona una suscripción de licencia de un año con todas las compras de nuevos productos. La suscripción le permite acceder al
soporte técnico y descargar e instalar las últimas versiones de sus productos con licencia durante el período de licencia activo.
Después del período de licencia inicial, se requiere una renovación de suscripción anual para obtener soporte continuo y actualizar sus productos.
Puede renovar sus suscripciones a través de su representante de ventas de AccessData.
Utilice LicenseManager para ver su información de registro actual, buscar actualizaciones de productos y descargar las últimas versiones de productos,
donde estén disponibles para su descarga. También puede visitar nuestro sitio web, www.accessdata.com en cualquier momento para encontrar los
últimos lanzamientos de nuestros productos.
Para obtener más información, consulte Administración de licencias en el manual de su producto o en el sitio web de AccessData.
Información de contacto de AccessData
Su representante de ventas de AccessData es su contacto principal con AccessData Group, LLC. Además, a continuación se enumeran el número de
teléfono y la dirección postal generales de AccessData, y los números de teléfono para comunicarse con los departamentos individuales.
Datos de acceso Información legal y de contacto
Convenciones de documentación
|3
Machine Translated by Google
Dirección postal y números de teléfono generales
Puede ponerse en contacto con AccessData de las siguientes maneras:
TABLA 1-1 Dirección postal, horario y números de teléfono del departamento de AD
Sedes corporativas:
Grupo de datos de acceso , LLC.
384 Sur 400 Oeste
suite 200
Lindon, UT 84042 EE. UU.
Voz: 801.377.5410
Fax: 801.377.5426
Horario corporativo general:
Estatales y Locales
Ventas de aplicación de la ley:
De lunes a viernes, de 8:00 a. m. a 5:00 p. m. (MST)
AccessData está cerrado los días festivos federales de EE. UU.
Voz: 800.574.5199, opción 1
Fax: 801.765.4370
Correo electrónico: Sales@AccessData.com
Ventas Federales:
Voz: 800.574.5199, opción 2
Fax: 801.765.4370
Correo electrónico: Sales@AccessData.com
ventas corporativas:
Voz: 801.377.5410, opción 3
Fax: 801.765.4370
Correo electrónico: Sales@AccessData.com
capacitación:
Voz: 801.377.5410, opción 6
Fax: 801.765.4370
Correo electrónico: Training@AccessData.com
Contabilidad:
Voz: 801.377.5410, opción 4
Apoyo técnico
El soporte técnico gratuito está disponible en todos los productos de AccessData con licencia actual.
Puede ponerse en contacto con el soporte técnico y al cliente de AccessData de las siguientes maneras:
TABLA 1-2 Información de contacto del soporte técnico y del cliente de AD
Asistencia interna América/Asia-Pacífico
Soporte estándar:
De lunes a viernes, de 5:00 a. m. a 6:00 p. m. (MST), excepto feriados
corporativos.
Voz: 801.377.5410, opción 5 Voz:
800.658.5199 (llamada gratuita en Norteamérica)
Correo electrónico: Support@AccessData.com
Asistencia telefónica fuera del horario de atención:
De lunes a viernes de 6:00 p. m. a 1:00 a. m. (MST), excepto feriados
corporativos.
Voz: 801.377.5410, opción 5
Asistencia fuera del horario de atención solo por correo electrónico: de lunes a viernes, de 1:00 a. m. a 5:00 a. m.
(MST), excepto feriados corporativos.
Correo electrónico: afterhours@accessdata.com
Soporte internacional Europa/Oriente Medio/África
Soporte estándar:
De lunes a viernes, de 8:00 a. m. a 5:00 p. m. (Reino Unido,
Londres), excepto días festivos corporativos.
Voz: +44 207 160 2017 (Reino Unido)
Correo electrónico: emeasupport@accessdata.com
Datos de acceso Información legal y de contacto
Información de contacto de AccessData
|4
Machine Translated by Google
TABLA 1-2 Información de contacto del soporte técnico y del cliente de AD (continuación)
Soporte fuera de horario:
De lunes a viernes, de 5:00 p. m. a 1:00 a. m. (Reino Unido/
Londres), excepto días festivos corporativos.
Voz: 801.377.5410 Opción 5*.
Asistencia fuera del horario de atención solo por correo electrónico:
De lunes a viernes, de 1:00 a. m. a 5:00 a. m. (Reino Unido/
Londres), excepto días festivos corporativos.
Correo electrónico: afterhours@accessdata.com
Otro
Sitio web:
http://www.AccessData.com/Support
El sitio web de soporte permite el acceso a foros de discusión,
descargas, versiones anteriores, nuestra base de conocimientos, una
forma de enviar y realizar un seguimiento de sus "tickets de problemas"
e información de contacto detallada.
RESUMEN DE ANUNCIOS
América/Asia-Pacífico:
800.786.2778 (América del Norte).
415.659.0105.
Correo electrónico: support@summation.com
Soporte estándar:
De lunes a viernes, de 6:00 a. m. a 6:00 p. m. (PST), excepto feriados
corporativos.
Soporte fuera de horario:
de lunes a viernes llamando al 415.659.0105.
Asistencia fuera del horario de atención solo por correo electrónico:
Entre las 12 a. m. y las 4 a. m. (PST), el soporte de productos solo
está disponible por correo electrónico a afterhours@accessdata.com.
Bóveda de casos de suma de AD
866.278.2858
Correo electrónico: support@casevault.com
De lunes a viernes, de 8:00 a. m. a 6:00 p. m. (EST), excepto feriados
corporativos.
Cracker de descubrimiento de suma AD
866.833.5377
Correo electrónico: dcsupport@accessdata.com
Horas de soporte:
De lunes a viernes, de 7:00 a. m. a 7:00 p. m. (EST, excepto feriados
corporativos).
Nota: Por lo general, todas las consultas de soporte se responden dentro de un día hábil. Si hay una necesidad urgente de
soporte, comuníquese con AccessData por teléfono durante el horario comercial normal.
Documentación
Envíe un correo electrónico a AccessData con respecto a cualquier error tipográfico, inexactitud u otros problemas que encuentre con la documentación:
documentación@accessdata.com
Servicios profesionales
El personal de los servicios profesionales de AccessData cuenta con una amplia y variada experiencia en investigaciones digitales, incluidas
la aplicación de la ley, la contrainteligencia y la seguridad corporativa. Su experiencia colectiva en el trabajo con entidades gubernamentales y
comerciales, así como en la prestación de testimonios de expertos, les permite brindar una gama completa de servicios informáticos forenses y de
descubrimiento electrónico.
En este momento, los servicios profesionales brindan asistencia para las ventas, la instalación, la capacitación y el uso de FTK, FTK Pro, Enterprise,
eDiscovery y Lab. Ellos pueden ayudarte a resolver cualquier duda o problema que puedas tener con respecto a estos productos.
Datos de acceso Información legal y de contacto
Servicios profesionales
| cinco
Machine Translated by Google
Información de contacto para servicios profesionales
Comuníquese con los servicios profesionales de AccessData de las siguientes maneras:
TABLA 1-3 Información de contacto de los servicios profesionales de AccessData
metodo de contacto
Número o Dirección
Teléfono
Washington DC: 410.703.9237
Norteamérica: 801.377.5410
Número gratuito de América del Norte: 800-489-5199, opción 7
Internacional: +1.801.377.5410
Correo electrónico
Datos de acceso Información legal y de contacto
adservices@accessdata.com
Servicios profesionales
|6
Machine Translated by Google
Tabla de contenido
Datos de acceso Información legal y de contacto ..
información jurídica .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
AccessData Marcas registradas e información de derechos de autor . . . . . . . . . . . . . . . . . . . .2
Convenciones de documentación .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
registro _
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
suscripciones _
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Información de contacto de AccessData .
Dirección postal y números de teléfono generales .
soporte técnico
Documentación .
Servicios Profesionales .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .cinco
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .cinco
Información de contacto para servicios profesionales .
Tabla de contenido .
. . . . . . . . . . . . . . . . . . . .4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
. . . . . . . . . . . . . . . . . . . .6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Capítulo 1 Descripción general e instalación
de FTK Imager. .. . . . . . . . . . . . . . . .
Generador de imágenes FTK .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Instalación de generador de imágenes FTK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instalando localmente .
. once
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Instalación en un dispositivo portátil. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Ejecutando FTK Imager .
Opciones de la línea de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Capítulo 2 La interfaz de usuario de FTK Imager .. .
La FTK ImagerUI .
barra de menú
. . . . . . . . . . . . . . . . . . . . . . . . . . .
. catorce
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. catorce
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. catorce
menú Archivo. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ver menú .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Menú Modo .
barra de herramientas
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. dieciséis
Menú de ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. dieciséis
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver paneles .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panel de árbol de pruebas .
. dieciséis
. Dieciocho
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Dieciocho
Panel de lista de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Dieciocho
panel combinado .
Tabla de contenido
. catorce
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Dieciocho
|7
Machine Translated by Google
espectador. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Capítulo 3 Trabajar con evidencia. . .
. veinte
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Vista previa de la evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Modos de vista previa .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Modo automático .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
modo de texto .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Modo hexadecimal .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Adición de elementos de prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Adición de un único elemento de prueba .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Adición de todos los dispositivos conectados .
Montaje de imagen .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Beneficios del montaje de imágenes .
. . . . . . . . . . . . . . . . . . . . . . . . . 23
Características de una Imagen Montada Lógicamente .
Características de una imagen montada físicamente .
Montaje de una imagen .
Eliminación de pruebas .
. . . . . . . . . . . . . . 23
. . . . . . . . . . . . . 23
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Eliminación de un único elemento de prueba .
. . . . . . . . . . . . . . . . . . . . . . . . . . 26
Eliminación de todos los elementos de evidencia .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Obtención de Archivos de Registro Protegidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Adquisición de archivos de registro protegidos en una máquina local .
Acceso a archivos de registro desde una imagen de disco .
. . . . . . . . . . . . . . 27
. . . . . . . . . . . . . . . . . . . . 28
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Uso de imágenes cifradas .
Detección de cifrado EFS .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Cifrado AD .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Cifrado AFF .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Capítulo 4 Archivos de salida de FTK Imager .
Creación de imágenes forenses. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Creación de imágenes de unidades o particiones completas .
Creación de imágenes de contenido personalizadas .
. . . . . . . . . . . . . . . . . . . . . . . . 31
. . . . . . . . . . . . . . . . . . . . . . . . . . . 38
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Exportación desde FTK Imager .
Exportación de imágenes forenses .
exportando archivos .
. treinta
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Exportación por S.I.D. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Exportación de listas hash de archivos .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Información del elemento de prueba. . . . . . . . . . . . . . . . . . . . . . . . . .
. 46
Exportación de listados de directorios .
Descifrado de imágenes AD1. .
Verificación de unidades e imágenes .
Importación de conjuntos de archivos. .
Tabla de contenido
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. cincuenta
|8
Machine Translated by Google
Apéndice A Sistemas de archivos y
Formatos de imagen de unidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Sistemas de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Todo el disco cifrado .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Formatos de imagen de disco duro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Formatos de imagen de CD y DVD. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Apéndice B Uso de un
dispositivo Logicube .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Integrando un Logicube Forensic MD5 .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Creación de un archivo de imagen con Logicube Forensic MD5 .
Formateo del disco duro interno Logicube Forensic MD5 .
. . . . . . . . . . . . . 54
. . . . . . . . . . . 55
Uso de la unidad interna Logicube Forensic MD5 como unidad USB .
. . . . . . . . 55
Acceder a la unidad flash compacta Logicube Forensic MD5 como una unidad USB . 55
Visualización de la información de hardware de Logicube Forensic MD5 . . 55
. . . . . . . . . .
Apéndice C Uso de un
Dispositivo Fernico .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Integración de un sistema Fernico FAR .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Acceso al Fernico FAR System desde Imager. .
Tabla de contenido
. . . . . . . . . . . . . . . . . 56
| nueve
Machine Translated by Google
Capítulo 1 Descripción general e instalación de
generador de imágenes FTK
generador de imágenes FTK
FTK® Imager es una herramienta de visualización y vista previa de datos que le permite evaluar rápidamente la evidencia electrónica
para determinar si se justifica un análisis adicional con una herramienta forense como AccessData® Forensic Toolkit® (FTK). FTK Imager
también puede crear copias perfectas (imágenes forenses) de datos informáticos sin realizar cambios en la evidencia original.
Con FTK Imager, puede:
ÿÿCree imágenes forenses de discos duros locales, disquetes, discos Zip, CD y DVD, carpetas completas o archivos individuales
desde varios lugares dentro de los medios.
ÿÿVista previa de archivos y carpetas en discos duros locales, unidades de red, disquetes, discos Zip, CD y DVD ÿÿVista previa del
contenido de imágenes forenses almacenadas en la máquina local o en una unidad de red ÿÿMonte una imagen para una lectura
-solo vista que aprovecha el Explorador de Windows para ver el contenido de la imagen exactamente como el usuario lo vio en la
unidad original.
ÿÿExportar archivos y carpetas desde imágenes forenses.
Vea y recupere archivos que se han eliminado de la Papelera de reciclaje, pero que aún no se han sobrescrito en
la unidad
ÿÿCree hashes de archivos usando cualquiera de las dos funciones hash disponibles en FTK Imager: Message Digest 5
(MD5) y algoritmo hash seguro (SHA-1).
ÿÿ Genere informes hash para archivos regulares e imágenes de disco (incluidos archivos dentro de imágenes de disco) que luego
puede usar como punto de referencia para probar la integridad de la evidencia de su caso. Cuando se crea una imagen de una
unidad completa, se puede usar un hash generado por FTK Imager para verificar que el hash de la imagen y el hash de la
unidad coincidan después de crear la imagen, y que la imagen no haya cambiado desde la adquisición.
Importante: cuando utilice FTK Imager para crear una imagen forense de un disco duro u otro dispositivo electrónico,
asegúrese de estar utilizando un bloqueador de escritura basado en hardware. Esto garantiza que su
sistema operativo no altere la unidad de origen original cuando la conecte a su computadora.
Para evitar la manipulación accidental o intencional de la evidencia original, FTK Imager crea una imagen duplicada bit a bit de
los medios. La imagen forense es idéntica en todos los sentidos a la original, incluida la holgura del archivo y el espacio no asignado o el
espacio libre de la unidad. Esto le permite almacenar los medios originales lejos, a salvo de daños mientras la investigación continúa
utilizando la imagen.
Después de crear una imagen de los datos, puede usar AccessData Forensic Toolkit (FTK) para realizar un examen forense
completo y exhaustivo y crear un informe de sus hallazgos.
Instalación de generador de imágenes FTK
FTK Imager se puede instalar en la computadora donde se utilizará, o se puede ejecutar desde un dispositivo portátil, como una memoria
USB conectada a una máquina en el campo, por lo que no es necesario instalarlo en la computadora de un sospechoso en para captar
su imagen.
Capítulo 1 Descripción general e instalación de FTK Imager
generador de imágenes FTK
| 10
Machine Translated by Google
Instalar localmente
Instale FTK Imager en un disco duro local cuando tenga la intención de adjuntar hardware de evidencia a esa computadora para obtener una vista previa y
obtener imágenes de la evidencia.
Para instalar FTK Imager
1. Busque el archivo de instalación de FTK Imager, ya sea desde un disco de instalación o desde el archivo guardado descargado de http://accessdata.com/
support/adownloads. El siguiente es un ejemplo de lo que encontrará en el sitio web, sin embargo, el número de versión y su número hash MD5 cambiarán.
FIGURA 3-1 Sitio web de AccessData: descargas de Imager
2. En Utilidades, busque FTK Imager. Haga clic en Descargar para descargar la última versión publicada.
3. Haga clic en Guardar archivo.
4. Busque la ubicación donde desea guardar el archivo de instalación y haga clic en Guardar.
5. Cuando se complete la descarga, busque la ubicación donde se guardó.
6. Ejecute el archivo de instalación haciendo doble clic en él.
7. En la pantalla de bienvenida , haga clic en Siguiente.
8. Lea y acepte el Acuerdo de licencia, luego haga clic en Siguiente.
9. Realice una de las siguientes acciones:
ÿÿAcepte la ubicación de instalación predeterminada.
ÿÿNavegar a una carpeta de destino diferente.
10. Haga clic en Siguiente.
11. En la pantalla Listo para instalar , haga clic en Siguiente.
12. Realice una de las siguientes acciones:
Marque la casilla Iniciar AccessData FTK Imager para obligar a Imager a ejecutarse inmediatamente después de la instalación .
completo.
ÿÿDeje la casilla sin marcar para ejecutar el programa recién instalado en otro momento.
Nota: En MS Windows Server 2008R2 ejecutando el Control de cuentas de usuario (UAC), marque la casilla Iniciar
no hace nada. Debe ejecutar manualmente FTK Imager después de la instalación.
13. Haga clic en Finalizar para completar la instalación y cerrar el asistente.
Capítulo 1 Descripción general e instalación de FTK Imager
Instalación de generador de imágenes FTK
| once
Machine Translated by Google
Instalación en un dispositivo portátil
Hay dos formas de usar Imager en un dispositivo portátil:
ÿÿCopie los archivos FTK Imager Lite directamente en el dispositivo, evitando instalar primero en una computadora local.
Descomprima los archivos descargados en la unidad portátil y ejecute el archivo desde allí.
El programa FTK Imager Lite tiene menos archivos (solo los esenciales) y no requiere una instalación por separado, aunque debe
descomprimir el archivo descargado para extraer su contenido en una carpeta antes de usarlo.
ÿÿEjecute la instalación en una computadora local, luego copie la carpeta FTK Imager desde [Unidad]:\Program Files\AccessData\FTK Imager a
la memoria USB u otro dispositivo portátil.
Una vez que los archivos del programa FTK Imager se guardan en el medio portátil, ese medio se puede conectar a cualquier computadora que
ejecute un sistema operativo Windows, y el archivo del programa FTK Imager.exe se puede ejecutar desde el dispositivo de medios portátil.
Con cualquiera de los dos métodos, deberá hacer que una unidad de destino esté disponible para guardar los datos de la imagen, y aún se debe usar
un bloqueador de escritura confiable.
Ejecución de generador de imágenes FTK
FTK Imager se puede ejecutar de varias maneras:
ÿÿHaga doble clic en el icono del escritorio
.
ÿÿEjecute el archivo FTK Imager.exe desde una memoria USB.
ÿÿHaga clic en Inicio > Ejecutar > Examinar. Busque y seleccione FTK Imager.exe desde la ubicación en la que se instaló,
y agregue un interruptor de línea de comando como se explica a continuación.
Opciones de línea de comandos
FTK Imager admite tres opciones de línea de comandos:
/CreateDirListing Crea un
archivo de lista de directorios en la carpeta desde donde se ejecuta FTK Imager.exe .
muestra:
"ftk imager.exe" /CreateDirListing e:\precious.E01
ÿÿ/Verificar imagen
Verifica una imagen cuando especifica la ruta de la imagen y el nombre del archivo.
muestra:
"FTK Imager.exe" /VerifyImage E:\precious.E01
ÿÿ/EnableDebugLog
Habilita el registro en el archivo FTKImageDebug.log creado en la carpeta desde la que ejecuta FTK Imager.exe .
muestra:
"FTK Imager.exe" /EnableDebugLog
Nota: Si no puede especificar una imagen cuando usa las opciones /CreateDirListing o /VerifyImage ,
aparece un mensaje de error que indica que no se encontró ninguna imagen.
Para ejecutar FTK Imager usando las opciones de la línea de comandos
1. Cierre FTK Imager y, a continuación, desde el menú Inicio de Windows, haga clic en Ejecutar.
2. En el cuadro de texto Ejecutar , busque la ruta y la carpeta que contiene FTK Imager.exe, luego haga clic en Abrir.
Capítulo 1 Descripción general e instalación de FTK Imager
Ejecución de generador de imágenes FTK
| 12
Machine Translated by Google
3. Al final de la línea de texto resultante:
3a. Agregue un espacio antes de la opción que desea usar
3b. Escriba la opción a utilizar.
3c. Agregue otro espacio y los datos correspondientes.
3d. Haga clic en Aceptar.
Capítulo 1 Descripción general e instalación de FTK Imager
Ejecución de generador de imágenes FTK
| 13
Machine Translated by Google
Capítulo 2 El usuario del generador de imágenes FTK
Interfaz
Este capítulo trata sobre la interfaz de usuario y las opciones de FTK Imager.
La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager se divide en varios paneles; cada uno es acoplable. El árbol de pruebas, la lista de archivos, las propiedades, el
intérprete de valores hexadecimales, los paneles de fuentes de contenido personalizado , el menú y la barra de herramientas se pueden desacoplar y
cambiar de tamaño para adaptarse mejor a sus necesidades. Cada uno se puede volver a acoplar individualmente o puede restablecer la vista completa
para la próxima investigación.
Para desacoplar un panel o una barra de herramientas
ÿÿSelecciónelo y haga clic y arrastre su barra de título a la ubicación deseada.
Para volver a acoplar un panel o una barra de herramientas
ÿÿArrastre el panel dentro de la ventana FTK Imager hasta que una forma de contorno encaje en su lugar en el lugar deseado.
posición, luego suelte el panel.
Para devolver todos los paneles a sus posiciones originales
ÿÿSeleccione Ver > Restablecer ventanas acopladas.
Barra de menús
Utilice la barra de menú para acceder a todas las funciones de FTK Imager. La barra de menú siempre está visible y accesible.
Hay cuatro elementos en la barra de menú. Se discuten en detalle en esta sección.
Menú Archivo
El menú Archivo brinda acceso a todas las funciones que puede usar desde la barra de herramientas.
Capítulo 2 La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager
| catorce
Machine Translated by Google
FIGURA 4-1 El menú Archivo
Consulte Barra de herramientas (página 16).
ver menú
El menú Ver le permite personalizar la apariencia de FTK Imager, incluso mostrar u ocultar paneles y barras de
control.
Capítulo 2 La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager
| 15
Machine Translated by Google
FIGURA 4-2 El menú Ver
Menú de modo
El menú Modo le permite seleccionar el modo de vista previa del Visor. Cada uno de los modos de visualización se
analiza con más detalle en el Capítulo 3. Consulte Modos de vista previa (página 21).
FIGURA 4-3 El menú de modo
Menú de ayuda
El menú Ayuda proporciona acceso a la Guía del usuario de FTK Imager ya información sobre la versión del programa, etc.
FIGURA 4-4 El menú de ayuda
barra de herramientas
La barra de herramientas contiene todas las herramientas, funciones o características a las que se puede acceder desde el menú Archivo, excepto Salir.
La siguiente tabla proporciona información básica sobre cada función.
TABLA 4-1 Componentes de la barra de herramientas de FTK Imager
Botón Descripción
Agregar elemento de evidencia
Capítulo 2 La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager
| dieciséis
Machine Translated by Google
TABLA 4-1 Componentes de la barra de herramientas de FTK Imager (continuación)
Botón Descripción
Agregar todos los dispositivos conectados
montaje de imagen Abre el cuadro de diálogo Asignar imagen a unidad.
Eliminar elemento de evidencia
Eliminar todos los elementos de evidencia
Crear imagen de disco
exportar imagen de disco
Exportar imagen lógica (AD1)
Añadir a imagen de contenido personalizado (AD1)
Crear imagen de contenido personalizado (AD1)
Verificar unidad/imagen
Capturar memoria
MetaCarve (escaneo profundo)
Obtener archivos protegidos
Detectar cifrado EFS
exportar archivos
Lista hash de archivos de exportación
Exportar listado de directorio
Elija IE, texto o visor hexadecimal automáticamente
ver archivos en texto plano
Ver archivos en formato hexadecimal
Abra la Guía del usuario de la cámara FTK
Mostrar u ocultar paneles. Elija mostrar u ocultar la barra de herramientas, el árbol de pruebas, la lista de archivos, las
propiedades, el intérprete de valores hexadecimales y/o los paneles de fuentes de contenido personalizado.
Capítulo 2 La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager
| 17
Machine Translated by Google
Ver paneles
Hay varios paneles de vista básicos en FTK Imager. Se describen en esta sección.
Panel de árbol de pruebas
El panel Árbol de evidencia (panel superior izquierdo) muestra los elementos de evidencia agregados en un árbol jerárquico. En la raíz del árbol se encuentran
las fuentes de evidencia seleccionadas. Debajo de cada fuente se enumeran las carpetas y los archivos que contiene.
Haga clic en el signo más
junto a una fuente o carpeta para expandir la vista y mostrar sus subcarpetas.
Haga clic en el signo menos
junto a una fuente o carpeta expandida para ocultar su contenido.
Cuando selecciona un objeto en el Árbol de pruebas, su contenido se muestra en la Lista de archivos. Las propiedades del objeto seleccionado, como el tipo
de objeto, la ubicación en el medio de almacenamiento y el tamaño, se muestran en Propiedades.
cristal. Todos los datos contenidos en el objeto seleccionado se muestran en el panel Visor .
Panel de lista de archivos
El panel Lista de archivos muestra los archivos y carpetas contenidos en cualquier elemento que esté actualmente seleccionado en el árbol de pruebas.
Cambia a medida que cambia su selección.
Panel de combinación
El panel inferior izquierdo de FTK Imager tiene tres pestañas: Propiedades, Intérprete de valores hexadecimales y Fuentes de contenido personalizadas.
Cada uno se describe aquí.
Propiedades
La pestaña Propiedades muestra una variedad de información sobre el objeto actualmente seleccionado en el Árbol de evidencia o en la Lista de archivos.
FIGURA 4-5 La pestaña Propiedades
Las propiedades incluyen información como el tipo de objeto, el tamaño, la ubicación en el medio de almacenamiento, las marcas y las marcas de tiempo.
Capítulo 2 La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager
| Dieciocho
Machine Translated by Google
Intérprete de valor hexadecimal
La pestaña Intérprete de valores hexadecimales convierte los valores hexadecimales seleccionados en el Visor en enteros decimales y posibles valores de
fecha y hora.
FIGURA 4-6 La pestaña Intérprete de valores hexadecimales
Para convertir valores hexadecimales, resalte de uno a ocho bytes adyacentes de código hexadecimal en el Visor. Una variedad de interpretaciones
posibles del código seleccionado se muestran automáticamente en el Intérprete de valores hexadecimales.
Esta característica es más útil si está familiarizado con la estructura del código interno de diferentes tipos de archivos y sabe exactamente dónde buscar
patrones de datos específicos o información de fecha y hora.
Fuentes de contenido personalizadas
Cada vez que agrega un elemento para incluirlo en una imagen de contenido personalizado , aparece aquí.
FIGURA 4-7 La pestaña Fuentes de contenido personalizado
Puede agregar, editar y eliminar una o todas las fuentes y crear la imagen desde aquí.
Haga clic en Editar para abrir el cuadro de diálogo Opciones de comodines.
Capítulo 2 La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager
| 19
Machine Translated by Google
FIGURA 4-8 Opciones de comodines
Para obtener más información, consulte Creación de imágenes de contenido personalizado (página 38).
Espectador
El visor muestra el contenido del archivo seleccionado actualmente, según el modo de vista previa seleccionado: natural, texto o hexadecimal. Consulte Modos de
vista previa (página 21) para obtener más información.
El contenido se puede desplazar para que pueda ver todo el contenido del archivo. Además, con el modo hexadecimal seleccionado y el intérprete de valor
hexadecimal del panel combinado abierto, la interpretación hexadecimal del texto seleccionado en el panel Visor se puede ver simultáneamente.
Capítulo 2 La interfaz de usuario de FTK Imager
La interfaz de usuario de FTK Imager
| veinte
Machine Translated by Google
Capítulo 3 Trabajar con evidencia
Utilice FTK Imager para obtener una vista previa de la evidencia antes de crear los archivos de imagen. A continuación, puede optar por crear una imagen de
todo el objeto de evidencia o elegir elementos específicos para agregar a una imagen de contenido personalizado (AD1). Este capítulo analiza el trabajo con
evidencia y el uso de FTK Imager para lograr la creación de imágenes forenses que satisfagan sus necesidades exactas.
Vista previa de la evidencia
Los elementos de evidencia se pueden previsualizar antes de decidir qué se debe incluir en una imagen. A partir de FTK Imager 3.0, se incluye compatibilidad
con los sistemas de archivos VXFS, exFAT y Ext4.
ADVERTENCIA: Si la máquina que ejecuta FTK Imager tiene una conexión a Internet activa y está utilizando Imager para obtener una
vista previa del contenido HTML del caché del sistema, existe un riesgo potencial asociado con el boletín de
seguridad de Microsoft MS-09-054. AccessData recomienda que, siempre que sea posible, los usuarios no tengan
una conexión a Internet activa mientras Imager se está ejecutando.
Modos de vista previa
FTK Imager ofrece tres modos para previsualizar datos electrónicos: modo automático, modo de texto y modo hexadecimal.
Estos modos se pueden seleccionar desde el menú Modo o desde la Barra de herramientas, como se presentó en el Capítulo 2. Cada uno se describe con
más detalle aquí.
modo automatico
El modo automático elige automáticamente el mejor método para obtener una vista previa del contenido de un archivo, según el tipo de archivo. Por ejemplo:
ÿÿPáginas web, gráficos relacionados con la web (JPEG y GIF) y cualquier otro tipo de medio para el que Internet
Los complementos de Explorer que se han instalado se muestran mediante una versión integrada de Internet Explorer en el Visor.
ÿÿLos archivos de texto se muestran en el Visor como caracteres ASCII o Unicode. ÿÿLos tipos de
archivos que no se pueden ver en Internet Explorer se muestran fuera de FTK Imager en su aplicación nativa siempre que esas aplicaciones estén
instaladas localmente y las asociaciones de archivos adecuadas se hayan configurado en Windows.
Los tipos de archivos que no se pueden ver en Internet Explorer y que no tienen un visor nativo conocido son
se muestra de forma predeterminada en modo hexadecimal en el visor.
Modo de texto
El modo de texto le permite obtener una vista previa del contenido de un archivo como caracteres ASCII o Unicode, incluso si el archivo no es un archivo de texto.
Este modo puede ser útil para ver texto y datos binarios que no son visibles cuando se ve un archivo en su aplicación original.
Capítulo 3 Trabajar con evidencia
Vista previa de la evidencia
| 21
Machine Translated by Google
Modo hexadecimal
El modo hexadecimal le permite ver cada byte de datos en un archivo como código hexadecimal. Puede utilizar el Intérprete de valores hexadecimales para interpretar
valores hexadecimales como enteros decimales y posibles valores de hora y fecha.
Nota: Los modos de vista previa se aplican solo cuando se muestran datos de archivos. Los datos contenidos en carpetas u otros no archivos
objetos siempre se muestra en formato hexadecimal.
Adición de elementos de evidencia
Puede agregar un solo elemento de evidencia o varios a la vez. Estos procedimientos se explican en esta sección.
Adición de un solo elemento de evidencia
Para agregar un elemento de evidencia al árbol de evidencia
1. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Agregar elemento de prueba.
ÿÿHaga clic en el botón Agregar elemento de evidencia
en la barra de herramientas.
2. Seleccione el tipo de fuente que desea previsualizar y luego haga clic en Siguiente.
3. Seleccione la unidad o busque la fuente que desea obtener una vista previa, luego haga clic en Finalizar.
El elemento de evidencia aparece en el árbol de evidencia.
4. Repita estos pasos para agregar más elementos de evidencia.
Agregar todos los dispositivos conectados
Para agregar datos de todos los dispositivos conectados a una máquina
ÿÿHaga uno de los siguientes:
ÿÿHaga clic en Archivo > Agregar todos los dispositivos conectados.
ÿÿHaga clic en el botón Agregar todos los dispositivos conectados
en la barra de herramientas.
La función Agregar todos los dispositivos conectados , también conocida como montaje automático, escanea todos los dispositivos físicos y lógicos conectados en busca
de medios. Si no hay ningún medio presente en un dispositivo conectado, como un CD- o DVD-ROM o un DVD-RW, el dispositivo se omite.
Montaje de imagen
Nuevo comienzo en la versión 3.0 de FTK Imager, Image Mounting permite montar imágenes forenses como una unidad o dispositivo físico, para visualización de solo lectura.
Esta acción abre la imagen como una unidad y le permite explorar el contenido en Windows y otras aplicaciones. Los tipos admitidos son imágenes RAW/dd, E01, S01, AFF,
AD1 y L01.
Las imágenes de disco completas RAW/dd, E01 y S01 se pueden montar físicamente. Las particiones contenidas en imágenes de disco completas, así como las imágenes de
contenido personalizado de los formatos AD1 y L01 se pueden montar de forma lógica. Las diferencias se explican en esta sección.
Nota: las imágenes cifradas con AD ahora se pueden montar como una unidad o un dispositivo físico. Otros tipos de
las imágenes cifradas no son compatibles con el montaje como unidad o dispositivo físico.
Capítulo 3 Trabajar con evidencia
Adición de elementos de evidencia
| 22
Machine Translated by Google
Beneficios del montaje de imágenes
La capacidad de montar una imagen con FTK Imager brinda los siguientes beneficios, y puede encontrar otros a medida que usa la función:
ÿÿMonte una imagen de disco completa con todas sus particiones a la vez; al disco se le asigna un nombre de unidad física y a las particiones
se les asigna automáticamente una letra de unidad que comienza con la primera disponible o con cualquier letra de unidad disponible de su
elección.
ÿÿLea una imagen de disco completa montada físicamente y asigne un nombre de unidad física n usando Imager o usando
cualquier aplicación de Windows que realice consultas de nombres físicos.
ÿÿLeer y escribir en la imagen montada utilizando un archivo de caché. El contenido original no se altera.
ÿÿMontar imágenes de varias unidades y/o particiones. Las imágenes montadas permanecen montadas hasta que se desmontan o hasta que
se cierra Imager.
ÿÿDesmonte fácilmente las imágenes montadas en cualquier orden, individualmente o todas a la vez.
ÿÿVea una imagen montada lógicamente en el Explorador de Windows como si fuera una unidad conectada a la computadora, lo que brinda los
siguientes beneficios:
ÿÿVer tipos de archivos con asociaciones de Windows en su aplicación nativa o asociada, cuando esa aplicación está instalada
localmente.
ÿÿEjecutar aplicaciones antivirus en la imagen montada.
ÿÿComparta y vea la imagen montada lógicamente como una unidad en Windows Explorer desde computadoras remotas
cuando el acceso remoto se ha configurado correctamente.
ÿÿCopie los archivos de la imagen montada a otra ubicación.
ÿÿEvite que los archivos se copien en la imagen montada desde otra ubicación. (Debido a que la imagen es de solo lectura, no hay que
preocuparse de que un usuario remoto, o cualquier usuario, que vea la imagen realice un cambio que invalide los datos).
Características de una imagen montada lógicamente
AD1 y L01 son imágenes de contenido personalizado y contienen una estructura de archivo completa, pero no contienen ninguna
geometría de unidad ni otros datos de unidad física. Por lo tanto, estas imágenes no tienen la opción de ser montadas Físicamente.
Nota: Al montar una imagen de forma lógica, el tamaño de la unidad o partición se muestra incorrectamente en la vista Inicio > Equipo de Windows .
Sin embargo, cuando abre la "unidad" desde allí, las carpetas y los archivos contenidos en la imagen montada se muestran correctamente.
Características de una imagen montada físicamente
Cuando monta una imagen físicamente, aunque Windows Explorer no la puede ver, se puede ver fuera de Imager usando cualquier aplicación de
Windows que realice consultas de nombres físicos.
Las imágenes E01, S01, AFF y 001 (RAW/dd) son imágenes de unidades que tienen el disco, la partición y la estructura de archivos, así
como los datos de la unidad. Una imagen de disco físico se puede montar físicamente; y su(s) partición(es) de imagen de disco se pueden
montar lógicamente.
Capítulo 3 Trabajar con evidencia
Adición de elementos de evidencia
| 23
Machine Translated by Google
Montaje de una imagen
Para montar una imagen
1. Si ya tiene la imagen deseada agregada como evidencia en la Lista de evidencia de la cámara, seleccione ese elemento, luego realice el Paso 2 para completar
automáticamente el cuadro Fuente con el archivo de imagen que se montará, como se muestra en el Paso 3.
Si aún no ha agregado la imagen deseada como evidencia, comience con el Paso 2.
2. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Montaje de imagen.
ÿÿHaga clic en Montaje de imagen
botón en la barra de herramientas.
3. Escriba la ruta y el nombre del archivo, o haga clic en Examinar para completar el cuadro Fuente con la ruta y el nombre del archivo .
la imagen a montar.
Después de seleccionar una imagen, el tipo de montaje se establecerá de forma predeterminada en la asignación admitida según el tipo de imagen
seleccionado. Haga clic en el menú desplegable para mostrar otros tipos de montaje disponibles.
FIGURA 5-1 Monte la imagen en la unidad
4. Seleccione el tipo de montaje que se usará para el montaje.
FIGURA 5-2 Monte la imagen en la unidad: seleccione el tipo de montaje
Los tipos de montaje disponibles son físico y lógico, solo físico y solo lógico.
Si el Tipo de montaje seleccionado incluye Lógico, puede seleccionar la Letra de unidad para asignar como punto de montaje.
5. Haga clic en el menú desplegable Letra de unidad para todas las letras de unidad que están disponibles para asignar a la unidad montada.
imagen
Capítulo 3 Trabajar con evidencia
Adición de elementos de evidencia
| 24
Machine Translated by Google
FIGURA 5-3 Monte la imagen en la unidad: seleccione la letra de la unidad
6. Seleccione la letra de la unidad que se usará para este montaje.
7. Haga clic en el menú desplegable Método de montaje para seleccionar entre los métodos de montaje disponibles.
FIGURA 5-4 Monte la imagen en la unidad: seleccione el método de montaje
Los métodos de montaje disponibles se muestran y describen en la siguiente tabla:
TABLA 5-1 Imagen de montaje: métodos de montaje
Método de montaje
Descripción
Dispositivo de bloque/Solo lectura Lee el dispositivo como un dispositivo de bloque, lo que significa que el dispositivo montado se debe ver mediante cualquier
aplicación de Windows que realice consultas de nombres físicos. Le permite escribir en la evidencia, tomar notas, etc. los
Bloquear dispositivo/escribible
cambios y las anotaciones se guardan en un archivo de caché, pero no se realizan cambios en el original. Si se selecciona,
proporcione información de ruta para el archivo de caché en el campo Carpeta de caché de escritura.
Sistema de archivos/Solo lectura
Lee el dispositivo como un dispositivo de solo lectura que puede ver con el Explorador de Windows.
8. Seleccione el método de montaje que se usará para este montaje.
9. Cuando todas las opciones de montaje estén seleccionadas, haga clic en Montar.
Toda la información de montaje relacionada se mostrará en la lista de imágenes asignadas.
Capítulo 3 Trabajar con evidencia
Adición de elementos de evidencia
| 25
Machine Translated by Google
FIGURA 5-5 Montar imagen en la unidad: lista de imágenes asignadas
Para montar otra imagen, repita el proceso. Puede continuar montando imágenes según sea necesario, hasta que se quede sin pruebas
para agregar o puntos de montaje para usar. Las imágenes montadas permanecen disponibles hasta que se desmontan o hasta que se
cierra Imager.
10. Haga clic en Cerrar para volver a FTK Imager.
Desmontar una imagen
Para desmontar una imagen montada
1. Haga clic en Archivo > Montaje de imagen.
2. En el cuadro de diálogo Montar imagen en la unidad , resalte la imagen para desmontar.
3. Haga clic en Desmontar.
4. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y volver a FTK Imager.
Para desmontar varias asignaciones
1. Elija uno de los siguientes:
ÿÿHaga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de asignaciones contiguas.
ÿÿHaga clic en una asignación en la lista, luego presione Ctrl y haga clic en asignaciones individuales para seleccionar varias asignaciones no contiguas.
mapeos.
ÿÿHaga clic y arrastre para seleccionar varias imágenes montadas.
2. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y volver a FTK Imager.
Eliminación de pruebas
Cuando sea necesario, los elementos de evidencia se pueden eliminar individualmente o en conjunto. Ambos métodos se discuten en esta sección.
Eliminación de un único elemento de prueba
Puede eliminar elementos de evidencia individualmente o comenzar de nuevo eliminando todas las evidencias a la vez.
Para eliminar un elemento de prueba
1. En el árbol de evidencia, seleccione el elemento de evidencia que desea eliminar.
Capítulo 3 Trabajar con evidencia
Eliminación de pruebas
| 26
Machine Translated by Google
Nota: Debe seleccionar todo el elemento de evidencia para eliminarlo; no puede eliminar solo una parte de un elemento.
2. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Eliminar elemento de evidencia
ÿÿHaga clic en el botón Eliminar elemento de evidencia
en la barra de herramientas.
El elemento de evidencia se elimina del árbol de evidencia.
Eliminación de todos los elementos de evidencia
Para eliminar todos los elementos de prueba a la vez
ÿÿHaga uno de los siguientes:
ÿÿHaga clic en Archivo > Eliminar todos los elementos de evidencia
ÿÿHaga clic en el botón Eliminar todos los elementos de evidencia
en la barra de herramientas.
Todos los elementos de evidencia se eliminan del árbol de evidencia.
Obtención de archivos de registro protegidos
El sistema operativo Windows no le permite copiar o guardar archivos de registro en vivo. Sin FTK Imager, los usuarios tenían que crear una imagen de su disco duro y luego
extraer los archivos del Registro, o arrancar su computadora desde un disco de arranque y copiar los archivos del Registro del sistema operativo inactivo en la unidad. FTK
Imager ofrece una solución mucho más sencilla. Elude el sistema operativo Windows y sus bloqueos de archivos, lo que le permite copiar los archivos del Registro en vivo.
Adquisición de archivos de registro protegidos en una máquina local
Puede adquirir los archivos de registro protegidos utilizando FTK Imager ejecutándose en la máquina cuyos archivos de registro necesita.
Para adquirir archivos de registro protegidos en una máquina local
1. Inicie el generador de imágenes FTK.
2. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Obtener archivos protegidos.
ÿÿHaga clic en Obtener archivos protegidos
botón en la barra de herramientas.
3. Especifique un directorio de destino.
4. Seleccione la opción que se adapte a sus necesidades:
ÿÿArchivos mínimos para la recuperación de inicio de sesión: recupera archivos de usuarios, sistema y SAM desde los que puede
recuperar la información de la cuenta de un usuario.
ÿÿRecuperación de contraseña y todos los archivos de Registro: Recupera archivos de Usuarios, Sistema, SAM, NTUSER.DAT, Predeterminado, Seguridad,
Software y Userdiff desde los cuales puede recuperar información de cuenta y posibles contraseñas para otros archivos. Esta lista también se puede importar
a las herramientas de recuperación de contraseña de AccessData, como PRTK y DNA.
5. Haga clic en Aceptar.
FTK Imager exporta los archivos seleccionados a la ubicación designada.
6. Agregue los archivos al caso.
Capítulo 3 Trabajar con evidencia
Obtención de archivos de registro protegidos
| 27
Machine Translated by Google
7. Para abrir los archivos del Registro, realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Visor del registro.
ÿÿHaga clic con el botón derecho en un archivo de registro en la lista de archivos y luego seleccione Visor de registro.
Nota: estos pasos no adquirirán archivos protegidos de una imagen de disco; solo desde el sistema en vivo que ejecuta Imager. Consulte las
instrucciones a continuación para adquirir archivos protegidos desde una imagen de disco.
Acceso a archivos de registro desde una imagen de disco
Para acceder a los archivos de Registro protegidos desde una imagen de disco usando FTK Imager
En EXP
1. Navegue a [Unidad]:\Documentos y configuración\[nombre de usuario]\.
2.Exportar _
ÿÿ ntuser.dat
3. Navegue a [Unidad]:\Windows\System32\Config\.
4. Exporte los siguientes archivos:
ÿÿSAM
ÿÿSistema
ÿÿSoftware
ÿÿSeguridad
en vista
1. Navegue a [Unidad]:\Usuarios\[nombre de usuario]\
2.Exportar _
ÿÿ ntuser.dat
3. Vaya a [Unidad]:\Windows\System32\Config\
4. Exporte los siguientes archivos:
ÿÿSAM
ÿÿSistema
ÿÿSoftware
ÿÿSeguridad
Independientemente del sistema operativo, exporte los archivos a una ubicación accesible (donde tenga derechos y permisos), luego agréguelos/
ábralos uno por uno en Registry Viewer.
Uso de imágenes cifradas
FTK Imager puede trabajar con imágenes cifradas con EFS o AD Encryption.
El uso de imágenes cifradas se analiza a continuación.
Detección de cifrado EFS
Puede buscar datos cifrados en una unidad física o una imagen con FTK Imager. La siguiente figura representa una vista de los archivos
cifrados con EFS detectados:
Capítulo 3 Trabajar con evidencia
Uso de imágenes cifradas
| 28
Machine Translated by Google
FIGURA 5-6 Archivos cifrados EFS detectados
Para detectar archivos cifrados
1. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Detectar cifrado.
ÿÿHaga clic en el botón Detectar cifrado
en la barra de herramientas.
El programa escanea la evidencia y le notifica si se encuentran archivos cifrados. Como se ilustra en la figura anterior, los archivos cifrados con EFS se indican
mediante un icono de llave,
, en el Árbol de Evidencia.
Nota: esta característica no funciona con archivos .L01 .
Cifrado de anuncios
FTK Imager 3.0 y versiones posteriores tienen la capacidad de cifrar datos durante la exportación a una imagen. Esta característica se conoce como Cifrado AD.
Los tipos de imágenes compatibles son:
ÿÿAD1 (Contenido personalizado de AD)
ÿÿE01 (Compatible con EnCase)
ÿÿS01 (inteligente)
ÿÿAFF (Formato forense avanzado)
ÿÿ001 (RAW/DD)
Capítulo 3 Trabajar con evidencia
Uso de imágenes cifradas
| 29
Machine Translated by Google
AD Encryption también es compatible con lo siguiente:
ÿÿAlgoritmo hash SHA-512
ÿÿAlgoritmos criptográficos AES 128, 192 y 256
ÿÿMateriales clave (para cifrar la clave AES): frases de contraseña, archivos de claves sin procesar y certificados
Nota: Un archivo de clave sin procesar es cualquier archivo arbitrario cuyos datos sin procesar se tratarán como material de clave.
FIGURA 5-7 Opciones de credenciales de cifrado de AD
Los certificados utilizan claves públicas para el cifrado y las claves privadas correspondientes para el descifrado.
ÿÿPara cifrar con una contraseña, marque Contraseña, luego escriba y vuelva a escribir la contraseña para usar.
ÿÿPara cifrar con un certificado, marque Certificado y busque el certificado que desea utilizar.
Cifrado AFF
El nuevo comienzo en FTK Imager 3.0 es la capacidad de crear imágenes usando AFF Encryption. Cuando crea una imagen cifrada AFF, se
requiere una contraseña. Si desea abrir esa imagen cifrada más tarde, deberá proporcionar la contraseña que se utilizó cuando se creó.
FIGURA 5-8 Cuadro de diálogo Cifrado AFF
Capítulo 3 Trabajar con evidencia
Uso de imágenes cifradas
| treinta
Machine Translated by Google
Capítulo 4 Archivos de salida del generador de imágenes FTK
FTK Imager le permite hacer varios tipos diferentes de imágenes forenses. Además, se pueden exportar el contenido de la unidad y las listas hash. En
este capítulo se describen las opciones disponibles.
Creación de imágenes forenses
FTK Imager le permite escribir un archivo de imagen en un solo destino o escribir simultáneamente varios archivos de imagen en varios destinos
utilizando los mismos datos de origen o unidad.
Creación de imágenes de unidades o particiones completas
Importante: la siguiente información importante debe revisarse y comprenderse antes de completar la obtención de imágenes
unidades o particiones completas en unidades:
ÿÿCuando utilice FTK Imager para crear una imagen forense de un disco duro, asegúrese de utilizar un hardware
dispositivo de bloqueo de escritura basado en Esto asegura que su sistema operativo no altere el disco duro cuando lo conecte a su computadora
de procesamiento de imágenes.
ÿÿAl exportar datos a una imagen desde una unidad cifrada, cree la imagen físicamente, no lógicamente. A menudo se requiere una imagen física
para descifrar el cifrado de disco completo.
Para crear una imagen forense
1. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Crear imagen de disco.
ÿÿHaga clic en el botón Crear imagen de disco en la barra de herramientas.
FIGURA 6-1 Seleccionar fuente
2. En el cuadro de diálogo Seleccionar fuente, seleccione la fuente de la que desea crear una imagen.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 31
Machine Translated by Google
3. Haga clic en Siguiente.
4. Si selecciona Unidad lógica y necesita seleccionar un disquete o un CD como fuente, puede marcar la casilla Automatizar
múltiples medios extraíbles para crear grupos de imágenes. Imager incrementará automáticamente los números de caso
con cada imagen y, si algo interrumpe el proceso, puede asignar el número de caso manualmente.
5. Seleccione la unidad o busque el origen de la imagen que desea y luego haga clic en Finalizar.
6. En el cuadro de diálogo Crear imagen , haga clic en Agregar.
FIGURA 6-2 Crear imagen
ÿÿCompare los valores hash almacenados del contenido de su imagen marcando la casilla Verificar imágenes después
de crearlas . Si un archivo no tiene un hash, esta opción generará uno.
ÿÿEnumere todo el contenido de sus imágenes con la ruta, las fechas de creación, si se eliminaron los archivos y otros
metadatos. La lista se guarda en formato de valores separados por tabuladores (.TSV) .
7. Seleccione el tipo de imagen que desea crear.
Nota: si está creando una imagen de un CD o DVD, este paso se omite porque todas las imágenes de CD/DVD se
creado en el formato IsoBuster CUE. No se generan hashes para imágenes de CD y DVD, por lo que tampoco se
verificarán.
FIGURA 6-3 Seleccionar tipo de imagen
Importante: el tipo de imagen sin procesar no está comprimido. Si selecciona el tipo Raw (dd), asegúrese de tener suficiente espacio
disponible en el disco para la imagen resultante.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 32
Machine Translated by Google
7a. Si está creando un tipo de imagen AFF , elija AFF.
El cuadro de diálogo Carpeta de destino de la imagen que ve será diferente al que se ve al seleccionar cualquier otro tipo
de imagen.
FIGURA 6-4 Seleccione el tipo de imagen con AFF seleccionado.
7b. Haga clic en siguiente.
8. Especifique la información del elemento de prueba. Toda la información del elemento de evidencia es opcional, pero es útil tener la
información de fácil acceso en caso de que sea cuestionada en cualquier momento después de la creación
FIGURA 6-5 Información del elemento de prueba
9. Complete los campos en el cuadro de diálogo Información del elemento de evidencia.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 33
Machine Translated by Google
FIGURA 6-6 Seleccione el destino de la imagen
10. Haga clic en Siguiente.
11. En el campo Carpeta de destino de la imagen, realice una de las siguientes acciones:
ÿÿEscriba la ruta de ubicación donde desea guardar el archivo de imagen.
ÿÿHaga clic en Examinar para buscar y seleccionar la ubicación deseada.
Nota: si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar todo el archivo de imagen, FTK
Imager solicita una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación. Sin embargo, todos
los archivos de imagen relacionados deben guardarse juntos en la misma carpeta antes de agregarse a un caso.
12. En el campo Nombre de archivo de imagen, especifique un nombre para el archivo de imagen pero no especifique una extensión de archivo.
13. Especifique el tamaño del fragmento de imagen:
ÿÿTamaño de fragmento de imagen predeterminado = 1500 MB
ÿÿPara guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB.
ÿÿPara guardar segmentos de imagen que se pueden grabar en un DVD, especifique 4000 MB.
ÿÿEl formato .S01 está limitado por diseño a tamaños entre 1 MB y 2047 MB (2 GB). Los punteros de bloque comprimidos son números de 31 bits
(el bit alto es un indicador comprimido), lo que limita el tamaño de cualquier segmento a dos gigabytes. 13a. Seleccione el nivel de compresión
a utilizar.
ÿÿ0=Sin compresión
ÿÿ1=Más rápido, menor compresión (más rápido y también un poco más pequeño que un archivo de compresión 0)
ÿÿ9=Más lento, mayor compresión (archivo más pequeño, más lento de crear).
ÿÿLos números entre 1 y 9 producen una imagen con diferentes niveles de relación entre compresión y velocidad.
14. Para cifrar la imagen, elija la casilla de cifrado correcta como se explica a continuación:
14a. Para cifrar la nueva imagen con AD Encryption, marque la casilla Usar AD Encryption .
14b. Para cifrar la nueva imagen con AFF Encryption, marque la casilla Usar AFF Encryption .
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 34
Machine Translated by Google
FIGURA 6-7 Seleccione el destino de la imagen
15. Haga clic en Finalizar.
Para obtener más información, consulte Detectar el cifrado EFS (página 28).
16. Cuando se selecciona Cifrado AD, puede elegir entre cifrar con una contraseña o cifrar
con un certificado
FIGURA 6-8 Credenciales de cifrado de AD
Si usa una contraseña, debe escribirla y luego volver a escribirla para confirmar.
ÿÿHaga clic en Mostrar contraseña para mostrar la contraseña en texto sin formato a medida que la escribe por primera vez, para verificar que la está
escribiendo correctamente.
ÿÿDesmarque Mostrar contraseña para reemplazar los caracteres con asteriscos.
16a. Cuando se selecciona Cifrado AFF, escriba la contraseña y vuelva a escribir la contraseña para confirmar.
FIGURA 6-9 Cifrado AFF
16b. Haga clic en Mostrar contraseña para comprobar que la ha escrito correctamente la primera vez.
17. Cuando haya realizado las selecciones de cifrado, haga clic en Aceptar para guardar las selecciones y volver a Crear imagen .
diálogo.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 35
Machine Translated by Google
18. Para agregar otro destino de imagen (es decir, una ubicación guardada diferente o un tipo de archivo de imagen diferente), haga clic en Agregar y
repita los pasos 4-14.
ÿÿPara cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar. ÿÿPara eliminar un destino
de imagen, seleccione el destino y haga clic en Quitar.
19. Haga clic en Iniciar para comenzar el proceso de generación de imágenes.
20. Una vez creadas correctamente las imágenes, el cuadro Resultados de verificación de la unidad/ imagen muestra una imagen detallada.
información, incluidas sumas de verificación MD5 y SHA1, y sectores defectuosos.
FIGURA 6-10 Resultados de verificación de imagen/unidad
Nota: Los datos que se muestran en el cuadro de resultados varían según el tipo de imagen creada.
21. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 36
Machine Translated by Google
FIGURA 6-11 Creación de imagen: Imagen
ÿÿLa fuente de la que se está tomando la imagen
ÿÿLa ubicación donde se guarda la imagen
ÿÿEl estado del proceso de formación de imágenes
ÿÿUna barra de progreso gráfica
ÿÿLa cantidad de datos en MB que se ha copiado y la cantidad total que se copiará
ÿÿTiempo transcurrido desde que comenzó el proceso de creación de imágenes
ÿÿTiempo estimado restante hasta que se complete el proceso
ÿÿBotón Resumen de imagen. Haga clic en él para abrir la ventana Resumen de imagen como se muestra a continuación:
FIGURA 6-12 Resumen de imágenes
El resumen de la imagen también incluye los datos que ingresó en el cuadro de diálogo Información del elemento de evidencia.
22. Haga clic en Aceptar para cerrar el Resumen de imágenes.
23. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen .
24. Haga clic en Cerrar para volver a Imager.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 37
Machine Translated by Google
Creación de imágenes de contenido personalizado
FTK Imager le permite personalizar su imagen para disminuir el tiempo y la memoria necesarios para almacenar información y pruebas importantes. Con la función
Imagen de contenido personalizado, puede seleccionar archivos específicos de un sistema de archivos en vivo o una imagen existente para crear una imagen más
pequeña y específica. También puede buscar una imagen existente usando un carácter comodín para crear una imagen personalizada que tenga solo aquellos archivos
que se ajusten a sus criterios exactos.
Las imágenes personalizadas sirven a los investigadores que deben adquirir pruebas rápidamente o que solo necesitan determinados elementos de información para
crear pruebas. Las imágenes también se pueden personalizar para que quepan en una memoria USB u otro medio portátil.
Nota: Al exportar el contenido de una carpeta a una Imagen de contenido personalizado (AD1) o Imagen lógica (AD1), si un archivo en la carpeta que se exporta está
bloqueado (en uso por otro proceso o programa), aparece un mensaje de error. mostrando el problema y el nombre del archivo que está en uso.
Para crear una imagen de contenido personalizado
1. Agregue una unidad o carpeta a Imager como elemento de prueba y revise el contenido para obtener la información que desea.
para agregar a una imagen personalizada.
2. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Agregar a imagen de contenido personalizado.
ÿÿHaga clic derecho en cada elemento para abrir el menú Exportar. Seleccione Agregar a imagen de contenido personalizado (AD1).
El elemento aparece en el panel Orígenes de contenido personalizado.
FIGURA 6-13 Fuentes de contenido personalizadas
Nota: El panel Fuentes de contenido personalizado se puede acoplar; es decir, puede moverlo a cualquier esquina de la ventana de Imager, o incluso puede
desacoplarlo completamente de la ventana de Imager y arrastrarlo a un segundo monitor.
pantalla.
3. Continúe agregando contenido repitiendo este paso hasta que haya especificado o seleccionado todas las pruebas que desea agregar a esta imagen de
contenido personalizado.
Puede cambiar los elementos en su lista de imágenes personalizadas. Utilice los botones Nuevo y Quitar para incluir o excluir elementos y el botón Editar
para abrir el cuadro de diálogo Opciones de comodines.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 38
Machine Translated by Google
FIGURA 6-14 Opciones de comodines
El cuadro de diálogo Opciones de comodines le permite crear filtros para encontrar archivos específicos. En el campo de descripción de la ruta, puede
escribir:
ÿÿUn signo de interrogación (?) para reemplazar cualquier carácter individual en el nombre y la extensión del archivo
ÿÿUn asterisco (*) para reemplazar cualquier serie de caracteres en un nombre de archivo y extensión
El carácter de tubería ( | ) para separar directorios y archivos
La siguiente tabla muestra ejemplos de filtrado de comodines:
TABLA 6-1 Ejemplos de nombres de comodines
Meta
Descripción del comodín
Recopile todos los archivos que terminen en .doc que residan
en cualquier carpeta denominada Mis documentos.
Mis documentos|*.doc
Recopile todas las cookies de Internet en un sistema con Cookies|index.dat para múltiples
usuarios.
Recopile los archivos de correo electrónico de Outlook en
Datos de la aplicación|Microsoft|Outlook|*.pst
un sistema Windows XP de varios usuarios .
Datos de la aplicación|Microsoft|Outlook|*.ost
Las opciones de la casilla de verificación se pueden usar individualmente o en combinación para filtrar archivos no deseados:
ÿÿIgnorar mayúsculas y minúsculas permite todos los directorios en las pruebas añadidas independientemente de las mayúsculas y minúsculas.
ÿÿIncluir subdirectorios incluye todos los archivos y subdirectorios en la evidencia agregada debajo del
carpeta especificada.
Match All Ocurrences localiza todos los directorios en las pruebas añadidas que coinciden con el
expresión. Elimina la necesidad de hacer clic derecho en cada nodo en el árbol de evidencia y seleccionar Agregar a la imagen de contenido
personalizado (AD1) uno por uno.
Por ejemplo, si quisiera recopilar todos los archivos que terminan en .doc que residen en todas las carpetas denominadas Mis documentos,
FTK Imager buscaría todas las pruebas agregadas para cada ocurrencia de Mis documentos y luego recopilaría todos los archivos .doc en ese
directorio.
Al desmarcar Incluir subdirectorios , Imager encuentra solo los archivos en la raíz de la carpeta Mis documentos.
4. Cuando se hayan identificado y agregado todas las fuentes de contenido personalizadas , haga clic en Crear imagen.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 39
Machine Translated by Google
FIGURA 6-15 Crear imagen
5. En el cuadro de diálogo Crear imagen , especifique las opciones para esta imagen AD1.
6. Haga clic en Agregar para agregar un destino para la nueva imagen.
7. Especifique la información del elemento de prueba.
Toda la información de elementos de evidencia es opcional, pero es útil tener la información fácilmente accesible en caso de que se cuestione
en cualquier momento después de la creación.
FIGURA 6-16 Cuadro de diálogo de información del elemento de prueba
8. Haga clic en Siguiente.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 40
Machine Translated by Google
FIGURA 6-17 Cuadro de diálogo Seleccionar destino de imagen
9. Complete el cuadro de diálogo Seleccionar destino de imagen de la siguiente manera:
9a. Especifique o busque la carpeta de destino.
9b. Escriba el nombre de archivo de la nueva imagen, sin extensión; la extensión está determinada por el tipo de imagen seleccionado y se
agrega automáticamente.
9c. Especifique el tamaño del fragmento de imagen:
ÿ Tamaño de fragmento de imagen predeterminado = 1500 MB
ÿÿPara guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB.
ÿÿPara guardar segmentos de imagen que se pueden grabar en un DVD, especifique 4000 MB.
ÿÿ0 crea una imagen de un solo archivo (no fragmentada). Use esto si nunca necesitará usar
medios de almacenamiento o transporte de los datos de imagen.
9d. Seleccione el nivel de compresión a utilizar.
ÿÿ0=Sin compresión
ÿÿ1=Más rápido, menor compresión (más rápido y también un poco más pequeño que un archivo de compresión 0)
ÿÿ9=Más lento, mayor compresión (archivo más pequeño, más lento de crear).
ÿÿLos números entre 1 y 9 producen una imagen con diferentes niveles de relación entre compresión y velocidad.
9e. Elija si usar el cifrado de AD. Para obtener más información, consulte el Paso 9 en "Creación de informes forenses".
Imágenes” a partir de la página 31.
9f. Elija si Filtrar por propietario del archivo. Para obtener más información, consulte Exportación por SID (página 43).
10. Haga clic en Finalizar en el cuadro de diálogo Seleccionar destino de imagen para guardar esta configuración y volver a Crear.
diálogo de imagen
11. Para agregar otro destino de imagen (es decir, una ubicación diferente guardada adicional), haga clic en Agregar y repita
pasos 5 a 8.
12. Para cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar.
13. Para eliminar un destino de imagen, seleccione el destino y haga clic en Eliminar.
14. Marque las opciones adicionales que desee:
ÿÿMarque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos
originales ha cambiado desde que se copió a la imagen.
ÿÿMarque Crear listas de directorios de todos los archivos en la imagen para registrar los nombres de archivo y las rutas del contenido de la
imagen. Este registro se guardará en formato de Microsoft Excel y, a menudo, funciona como evidencia.
ÿÿMarque Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento requerirá la creación
de la imagen personalizada antes de comenzar y a medida que avanza la creación de imágenes.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Creación de imágenes forenses
| 41
Machine Translated by Google
15. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:
ÿÿEl archivo de imagen de origen que se está exportando
ÿÿLa ubicación donde se guarda la nueva imagen
ÿÿEl estado del proceso de exportación
ÿÿUna barra de progreso gráfica
ÿÿLa cantidad de datos en MB que se han copiado y la cantidad total que se copiará ÿÿTiempo transcurrido desde que
comenzó el proceso de exportación
Tiempo estimado restante hasta que se complete el proceso
FIGURA 6-18 Creación de imagen (ventana de progreso)
16. De manera predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra la
archivos y los hashes (MD5 y SHA1) de su imagen personalizada.
16a. Haga clic en Cerrar cuando haya terminado de ver la información hash.
16b. Haga clic en Cerrar de nuevo para volver al cuadro de diálogo Crear imagen. En este punto, la ventana de estado dirá Imagen creada con
éxito.
17. Haga clic en Resumen de imágenes para abrir la ventana Resumen de imágenes que muestra el registro de creación de imágenes.
Elemento de evidencia Información que ingresó al principio.
18. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen.
19. Haga clic en Cerrar para volver a Imager.
Exportación desde generador de imágenes FTK
Hay varias formas de exportar datos desde FTK Imager. Cada uno se discute a continuación.
Exportación de imágenes forenses
Convierta un archivo de imagen existente a un formato diferente exportándolo y eligiendo un formato de imagen diferente del original. Exporte archivos de
imagen completos para convertirlos de un tipo de formato a otro. Exporte los contenidos seleccionados de una unidad o imagen para crear una imagen de
contenido personalizado (AD1).
exportar archivos
Exportar o copiar archivos desde un elemento de evidencia le permite imprimir, enviar por correo electrónico, recuperar archivos u organizar archivos según
sea necesario, sin alterar la evidencia original.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 42
Machine Translated by Google
Nota: esta característica es útil si su sistema operativo falla, pero la unidad aún está operativa. Crea una imagen de tu disco y exporta
tus datos, fotos, etc. de la imagen
Para exportar o copiar archivos de un elemento de prueba
1. En el árbol de pruebas, seleccione la carpeta que contiene los archivos que desea exportar. El contenido de la carpeta se muestra en la lista de archivos.
2. En la Lista de archivos, seleccione los archivos que desea exportar.
ÿÿHaga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos.
ÿÿHaga clic en un archivo, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos.
3. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Exportar archivos.
ÿÿHaga clic en el botón Exportar archivos
en la barra de herramientas.
4. En el cuadro de diálogo Buscar carpeta , busque la ubicación donde desea guardar los archivos exportados.
5. Haga clic en Aceptar. Los archivos se copian en la ubicación especificada.
Exportación por SID
Windows asigna identificadores únicos a cada proceso, usuario, máquina, etc. dentro de su sistema. Un identificador de sistema (SID) es único para el sistema y, en
la mayoría de los casos, se aplica a los usuarios.
Las funciones Exportar a imagen lógica (AD1) y Agregar a imagen de contenido personalizado (AD1) ahora permiten al usuario seleccionar y exportar archivos
propiedad de SID en particular, o agregarlos a la imagen.
FIGURA 6-19 Seleccione el destino de la imagen
Para exportar una lista de archivos según el SID del propietario del archivo
1. Comience seleccionando un elemento del árbol de pruebas.
2. Haga clic derecho en el elemento de evidencia seleccionado
3. Elija uno de los siguientes:
ÿÿExportar imagen lógica (AD1)
ÿÿAñadir a imagen de contenido personalizado (AD1)
Cuando se agrega a una imagen de contenido personalizado, verá el elemento en el cuadro Fuentes de contenido personalizado.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 43
Machine Translated by Google
4. Cuando se hayan agregado todos los elementos deseados a la imagen de contenido personalizado, haga clic en Crear imagen.
Esto lo llevará a la misma pantalla que vería si hubiera seleccionado directamente Exportar imagen lógica.
5. En el cuadro de diálogo Crear imagen , haga clic en Agregar para especificar un destino de imagen
FIGURA 6-20 Crear imagen.
6. Especifique la información del elemento de prueba.
Toda la información del elemento de evidencia es opcional, pero es útil tener la información fácilmente accesible en caso de que se cuestione en
cualquier momento después de la creación.
FIGURA 6-21 Información del elemento de prueba.
7. Haga clic en Siguiente.
8. Especifique la carpeta de destino de la imagen y el nombre del archivo de la imagen (sin extensión)
9. Elija un tamaño de fragmento para la imagen.
10. Elija un nivel de compresión según la siguiente información:
ÿÿ0=Sin compresión
ÿÿ1=Más rápido, menor compresión (más rápido y también un poco más pequeño que un archivo de compresión 0)
ÿÿ9=Más lento, mayor compresión (archivo más pequeño, más lento de crear).
ÿÿLos números entre 1 y 9 producen una imagen con diferentes niveles de relación entre compresión y velocidad.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 44
Machine Translated by Google
11. Acepte el tamaño de fragmento de imagen predeterminado o especifique el tamaño de fragmento de imagen que desea utilizar.
ÿÿTamaño de fragmento de imagen predeterminado = 1500 MB
ÿÿPara guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB.
ÿÿPara guardar segmentos de imagen que se pueden grabar en un DVD, especifique 4000 MB.
ÿÿ0 crea una imagen de un solo archivo (no fragmentada). Úselo si nunca necesitará usar medios más pequeños para almacenar o transportar los datos de
la imagen.
12. Marque Usar cifrado AD si desea aplicar cifrado con contraseña o utilizar un certificado para el cifrado del archivo de imagen AD1 resultante.
13. Marque Filtrar por propietario del archivo para que aparezca una lista de usuarios encontrados en la evidencia que puede seleccionar para
exportador.
14. Haga clic en Finalizar.
FIGURA 6-22 Elegir propietarios de archivos
15. En el cuadro de diálogo Elegir propietarios de archivos , marque los nombres de los usuarios y sus SID cuyos archivos desee.
quiere exportar.
15a. Si el SID deseado no aparece en la lista, haga clic en Agregar para ingresar uno manualmente.
Copie y pegue el SID desde otra ubicación, o escríbalo manualmente. Esto permite que un usuario cree una imagen que contenga archivos propiedad
del SID de una cuenta de dominio.
Nota: Los SID/Nombres ingresados por el usuario persisten solo mientras esta instancia de Imager esté abierta.
16. Haga clic en Aceptar.
El archivo exportado se creará en el destino que especificó en el Paso 2.
Exportación de listas hash de archivos
Hashing es el proceso de generar un valor único basado en el contenido de un archivo. Este valor se puede usar para probar que una copia de un archivo no ha sido
alterada de ninguna manera con respecto al archivo original. Es computacionalmente inviable que un archivo alterado genere el mismo número hash que la versión original
de ese archivo. La función Exportar lista hash de archivos en FTK Imager utiliza los algoritmos hash MD5 y SHA1 para generar números hash para archivos.
Para generar y exportar valores hash a una lista
1. En el árbol de pruebas, seleccione la carpeta que contiene los objetos que desea codificar. El contenido del objeto
se muestran en la lista de archivos.
2. En la Lista de archivos, seleccione las carpetas o los archivos que desea codificar. Si selecciona una carpeta, todos los archivos contenidos en
la carpeta y sus subcarpetas están codificadas.
Nota: Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos.
Haga clic en uno, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 45
Machine Translated by Google
3. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Exportar lista hash de archivo
ÿÿHaga clic en el botón Exportar lista hash de archivos
en la barra de herramientas.
4. En el cuadro de diálogo Guardar como , escriba un nombre para la lista hash de archivos en el campo Nombre de archivo .
5. Haga clic en Guardar.
La lista hash se guarda como un archivo de valores separados por comas (*.CSV). Puede ver este archivo en una aplicación de hoja de
cálculo, como Microsoft Excel, o importarlo a FTK como una base de datos KFF.
Información del elemento de evidencia
Al crear o exportar una imagen forense, puede ingresar información y notas sobre la evidencia contenida en la imagen que está creando. Esta información se
guarda en la misma ubicación que el archivo de imagen, con el mismo nombre, pero con una extensión .TXT . Por ejemplo, si su imagen se llamara AD1test.ad1,
la información del elemento de prueba se guardaría en la misma carpeta que AD1Test.ad1.TXT.
Nota: si también eligió exportar la información de la lista de directorios a un archivo .CSV , para la misma imagen, el nombre del archivo
sería AD1Test.ad1.CSV.
FIGURA 6-23 Información del elemento de evidencia
Puede ingresar la siguiente información:
ÿÿEl número del caso con el que está asociado el elemento de prueba
El número asignado al elemento de evidencia.
ÿÿUna descripción única del elemento de evidencia, por ejemplo, “Disco duro del sistema recuperado del
computadora personal en el hogar”.
El nombre del examinador que está creando la imagen.
ÿÿNotas sobre el elemento de prueba que puede ser útil para la investigación
Para exportar una imagen lógica AD1
1. En el árbol de pruebas, seleccione el contenido que desea exportar como imagen lógica.
2. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado (AD1)
ÿÿHaga clic con el botón derecho en la carpeta y seleccione Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado
(AD1) en el menú rápido.
3. En el cuadro de diálogo Crear imagen , haga clic en Agregar.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 46
Machine Translated by Google
4. Ingrese la información del elemento de evidencia como se mencionó anteriormente.
5. Haga clic en Siguiente.
6. En el campo Carpeta de destino de la imagen, realice una de las siguientes acciones:
ÿÿEscriba la ruta para el nuevo archivo de imagen
ÿÿHaga clic en Examinar para seleccionar la ubicación deseada.
Importante: si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar todo el archivo de imagen, FTK
Imager solicita una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación. Esto funciona, sin
embargo, todos los archivos de imagen relacionados deben guardarse juntos en la misma carpeta antes de agregarse a un caso.
7. En el campo Nombre de archivo de imagen , especifique un nombre para el nuevo archivo de imagen, pero no especifique una extensión.
8. En el campo Tamaño de fragmento de imagen , especifique el tamaño máximo en MB para cada fragmento de la nueva imagen .
expediente. El tamaño de fragmento de imagen no tiene límite de tamaño máximo, excepto el espacio disponible en el disco.
Nota: si desea copiar los archivos de imagen en un CD, especifique un tamaño de fragmento de 650 MB.
Si una imagen grande se divide en varias unidades, debe verificarse manualmente colocando todos los segmentos de imagen en el
mismo directorio. Para los archivos de imagen que caben en un DVD, especifique un tamaño de segmento de 4 GB.
9. Haga clic en Finalizar para guardar esta configuración y salir al cuadro de diálogo Crear imagen.
9a. Para agregar otro destino de imagen (es decir, una ubicación diferente guardada adicional), haga clic en Agregar y repita
pasos 4-7.
9b. Para cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar. 9c. Para eliminar
un destino de imagen, seleccione el destino y haga clic en Eliminar.
10. Marque las opciones adicionales que desee:
ÿÿMarque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos originales
ha cambiado desde que se copió a la imagen.
ÿÿMarque Crear listas de directorios de todos los archivos en la imagen para registrar los nombres de archivo y las rutas del contenido de la imagen.
Este registro se guardará en formato de Microsoft Excel y, a menudo, funciona como evidencia.
ÿÿMarque Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento requerirá la creación de la
imagen personalizada antes de comenzar y a medida que avanza la creación de imágenes.
11. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:
ÿÿEl archivo de imagen de origen que se está exportando
ÿÿLa ubicación donde se guarda la nueva imagen
ÿÿEl estado del proceso de exportación
ÿÿUna barra de progreso gráfica
ÿÿLa cantidad de datos en MB que se han copiado y la cantidad total que se copiará ÿÿTiempo transcurrido desde que
comenzó el proceso de exportación
Tiempo estimado restante hasta que se complete el proceso
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 47
Machine Translated by Google
FIGURA 6-24 Creación de imagen (cuadro de diálogo Progreso)
12. De manera predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra la
archivos y los hashes (MD5 y SHA1) de su imagen personalizada.
13. Haga clic en Cerrar cuando haya terminado de ver la información hash.
14. Haga clic en Cerrar de nuevo para volver al cuadro de diálogo Crear imagen. En este punto, la ventana de Estado dirá Imagen
Creado con éxito.
15. Haga clic en Resumen de imágenes para abrir la ventana Resumen de imágenes que muestra el registro de creación de imágenes .
mostrando la información del elemento de evidencia que ingresó al principio.
16. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen.
17. Haga clic en Cerrar para volver a Imager.
Exportar listados de directorios
Puede exportar una lista de carpetas y su contenido de archivo en la unidad o partición seleccionada.
Para exportar una lista de directorio
1. Seleccione el directorio que desea exportar.
2. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Exportar listado de directorio.
ÿÿHaga clic en el botón Exportar listado de directorio
.
3. Seleccione la ubicación del archivo guardado y escriba un nombre de archivo.
4. Haga clic en Guardar.
Descifrado de imágenes AD1
Puede usar Imager para descifrar imágenes AD1 que tienen cifrado AccessData.
Para descifrar imágenes AD1
1. Abra el generador de imágenes FTK de datos de acceso.
2. Haga clic en Archivo > Descifrar imagen AD1.
3. En el cuadro de diálogo Elija un archivo/ imagen para cifrar o descifrar , busque la ubicación del AD1 cifrado.
imagen, selecciónela y haga clic en Abrir.
4. En el cuadro de diálogo Guardar archivo/ imagen descifrado en, busque la ubicación donde desea almacenar el archivo descifrado .
imagen AD1 y haga clic en Guardar.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 48
Machine Translated by Google
5. En el cuadro de diálogo Credenciales de cifrado de AD , ingrese la contraseña para la imagen cifrada y haga clic en Aceptar.
6. Una vez que se completa el proceso de descifrado, en el cuadro de diálogo Descifrado de AD Encryption , haga clic en Aceptar.
Verificación de unidades e imágenes
FTK Imager le permite calcular los valores hash MD5 y SHA1 para unidades e imágenes completas para verificar que las copias de los elementos de evidencia no
se hayan alterado de ninguna manera con respecto a los originales.
Para verificar una unidad o imagen
1. En el árbol de pruebas, seleccione la unidad o imagen que desea verificar.
2. Realice una de las siguientes acciones:
ÿÿHaga clic en Archivo > Verificar unidad/imagen.
ÿÿHaga clic en el botón Verificar unidad/imagen
en la barra de herramientas.
Aparece un cuadro de diálogo de progreso que muestra:
ÿÿEl nombre de la unidad o imagen que está verificando
ÿÿUna barra de progreso gráfica
ÿÿLa cantidad de datos (en MB) que se ha verificado y la cantidad total a verificar
ÿÿTiempo transcurrido desde que comenzó el proceso de verificación
ÿÿTiempo estimado restante hasta que se complete el proceso
3. Una vez que el proceso de verificación se haya completado con éxito, aparecerá el resumen de resultados de verificación de la unidad/ imagen.
Aparece una pantalla que muestra lo siguiente:
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 49
Machine Translated by Google
FIGURA 6-25 Resultados de verificación de imagen/unidad
ÿÿNombre de la unidad o imagen que se verificó
ÿÿNúmero de sectores en el disco o imagen
Hash MD5 calculado para la unidad o la imagen
ÿÿSi verificó una imagen que contiene su propio valor hash, como una imagen .S01 (SMART) o .E01 (EnCase), también se muestra el valor hash
almacenado dentro de la imagen.
ÿÿSi el valor hash almacenado en la imagen coincide con el valor hash calculado por FTK Imager
ÿÿHash SHA1 calculado para la unidad o la imagen
ÿÿNúmero de sectores defectuosos encontrados
Puede copiar cualquiera de los resultados en la pantalla Verificar resultados (por ejemplo, los valores hash MD5 o SHA1).
Para copiar datos de la pantalla Verificar resultados
1. Haga clic en el resultado para resaltarlo
2. Haga clic con el botón derecho y seleccione Copiar en el menú rápido.
3. Pegue el resultado copiado en un editor de texto.
Importación de conjuntos de archivos
Puede guardar un conjunto de carpetas y archivos en un directorio y luego crear imágenes personalizadas de esas carpetas y archivos desde otras unidades.
Por ejemplo, si está rastreando una carpeta de gráficos en varias unidades, crearía una imagen de contenido personalizado de esas carpetas y archivos
y la exportaría a una unidad. Al crear una imagen de un nuevo dispositivo, importará las carpetas y los archivos de la unidad, e Imager creará una imagen de
contenido personalizado de esas carpetas y archivos a medida que se presenten en el próximo dispositivo que cree una imagen.
Para crear una carpeta y un conjunto de archivos para la imagen
1. Enumere los archivos y carpetas que se incluirán con el cuadro de diálogo Crear imagen de contenido personalizado .
2. Haga clic en Exportar para guardar las carpetas y los archivos en una unidad.
3. Inicie una imagen en un nuevo dispositivo.
4. Abra el cuadro de diálogo Crear imagen de contenido personalizado y haga clic en Importar.
5. Navegue a las carpetas y archivos que exportó.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| cincuenta
Machine Translated by Google
6. Seleccione los archivos que desea incluir en la nueva imagen y haga clic en Agregar.
7. En el cuadro de diálogo Crear imagen de contenido personalizado , haga clic en Crear imagen.
Capítulo 4 Archivos de salida del generador de imágenes FTK
Exportación desde generador de imágenes FTK
| 51
Machine Translated by Google
Apéndice A Sistemas de archivos y
Formatos de imagen de unidad
Este apéndice enumera los sistemas de archivos y los formatos de imagen que reconoce AD Imager.
Sistemas de archivos
La siguiente tabla enumera los sistemas de archivos identificados y analizados por AccessData Imager:
TABLA A-1 Sistemas de archivos identificados y analizados
ÿ GRASA 12, GRASA 16, GRASA 32
ÿ NTFS
ÿExt2FS _
ÿ HFS
ÿExt3FS _
ÿ HFS+
ÿExt4FS _
ÿ CDFS
ÿ ReiserFS3
ÿ VXFS
ÿ exFAT
Todo el disco cifrado
La siguiente tabla enumera los productos de descifrado de cifrado de disco completo (WDE) identificados y analizados por AccessData
Imager (todos estos requieren que el investigador ingrese la contraseña, los productos forenses de AccessData no los "crackean"):
TABLA A-2 Formatos de cifrado de disco completo reconocidos y analizados
ÿPGP® _
ÿ Utimaco
ÿ Credencial
ÿ Filo guardián
ÿArranque seguro _
ÿEFS _
ÿJFS _
ÿ LVM
ÿ VMware
ÿ LVM2
ÿ UFS1
ÿ UFS2
Apéndice A Sistemas de archivos y formatos de imágenes de unidades
Sistemas de archivos
| 52
Machine Translated by Google
Formatos de imagen de disco duro
La siguiente tabla enumera los formatos de imagen de disco duro identificados y analizados por AccessData Imager:
TABLA A-3 Formatos de imagen de disco duro identificados y analizados
ÿ Encase, incluyendo 6.12
ÿSnapback _
ÿ Safeback 2.0 y anterior
ÿ Testigo experto
ÿLinux DD
ÿ SCI
ÿ Fantasma (solo imágenes forenses) ÿ
ÿ INTELIGENTE
Imagen lógica de AccessData (AD1)
ÿ Formato forense avanzado (AFF)
Formatos de imagen de CD y DVD
La siguiente tabla enumera los formatos de imagen de CD y DVD identificados y analizados por AccessData Imager:
TABLA A-4 Sistemas de archivos y formatos de CD y DVD identificados y analizados
ÿ Alcohol (*.mds) ÿ
ÿ Señal IsoBuster
PlexTools (*.pxi) ÿ Nero
ÿ CD clonado (*.ccd)
(*.nrg)
ÿ Roxio (*.cif)
ÿISO _
ÿ Pináculo (*.pdi)
ÿ CD virtual (*.vc4)
ÿ CD-RW,
ÿ VCD
ÿ CD-ROM
ÿ DVD+MRW
ÿ DVD
ÿ DVD-RW
ÿ DVD-VFR
ÿ DVD+RW de doble capa
ÿ DVD-VR
ÿ BD-R SRM-POW
ÿ BD-R DL
ÿ BD-R SRM
ÿ CD clonado (*.ccd)
ÿ HD DVD-R
ÿ HD DVD-RW DL
ÿ SVCD
ÿ DVD de alta definición
ÿ HD DVD-RW
ÿ DVD-RAM,
ÿ CD-ROM XA
ÿ CD-MRW,
ÿ DVD+VR
ÿ DVD+R
ÿ DVD+R de doble capa
ÿ BD-RE
ÿ DVD-VRW
ÿ BDÿROM
ÿ HD DVD-R DL
ÿ BD-R RRM
ÿ BDAV
ÿ Pináculo (*.pdi)
ÿ HD DVD-RAM
ÿISO _
ÿ CD-R
ÿ CD virtual (*.vc4)
ÿ SACD
ÿ DVD+RW
ÿ DVD-ROM
ÿ VD-R
ÿ DVD-VM
ÿ DVD-R de doble capa
ÿ DVD+VRW
ÿ BD-R SRM+POW
ÿ BD-R
ÿ BD-RE DL
Apéndice A Sistemas de archivos y formatos de imágenes de unidades
Formatos de imagen de disco duro
| 53
Machine Translated by Google
Apéndice B Uso de un
Dispositivo de cubo lógico
Integración de un Logicube Forensic MD5
Con FTK Imager, puede conectarse y controlar un dispositivo de procesamiento de imágenes Logicube Forensic MD5 a través de la interfaz FTK
Imager. Para obtener información adicional sobre el uso del dispositivo Logicube Forensic MD5, incluidas explicaciones de opciones específicas, consulte
la documentación de Logicube Forensic MD5.
Para integrar Logicube Forensic MD5 con FTK Imager
1. Conecte el Logicube Forensic MD5 al puerto paralelo de su computadora y encienda el dispositivo.
2. Inicie el generador de imágenes FTK. El menú Herramientas se abre solo si Logicube Forensic MD5 está conectado a su
computadora y enciéndala antes de iniciar FTK Imager.
3. En el menú, seleccione Herramientas > Logicube Forensic MD5.
4. En el cuadro de diálogo Logicube MD5, puede realizar las siguientes funciones:
ÿÿCree un archivo de imagen de una unidad externa conectada a Logicube Forensic MD5 ÿÿFormatee la unidad de
destino interna de Logicube Forensic MD5
ÿÿAcceda a la unidad interna Logicube Forensic MD5 como una unidad USB
ÿÿAcceda a la unidad flash compacta Logicube Forensic MD5 como una unidad USB
ÿÿVer información de hardware sobre Logicube Forensic MD5.
5. Para salir del cuadro de diálogo Logicube MD5, haga clic en Aceptar.
Creación de un archivo de imagen con Logicube Forensic MD5
Con FTK Imager, puede crear un archivo de imagen de una unidad externa conectada a Logicube Forensic MD5.
El archivo de imagen se guarda en la unidad interna Forensic MD5.
Para crear un archivo de imagen de una unidad externa
1. En el cuadro de diálogo Logicube MD5, haga clic en Unidad de origen de imagen. Aparece el cuadro de diálogo Parámetros de imagen.
2. En la lista desplegable Tamaño de archivo, seleccione el tamaño máximo para cada fragmento del archivo de imagen.
3. En el campo Nombre de archivo, escriba un nombre para el archivo de imagen, pero no especifique una extensión de archivo. Los nombres de archivo deben
tener ocho caracteres o menos y solo caracteres alfanuméricos.
4. En la lista desplegable Modo de verificación , seleccione el tipo de verificación de datos que desea utilizar.
5. En la lista desplegable Velocidad , seleccione la velocidad de transferencia de datos.
Apéndice B Uso de un dispositivo Logicube
Integración de un Logicube Forensic MD5
| 54
Machine Translated by Google
6. Haga clic en Aceptar para comenzar el proceso de generación de imágenes. La información de progreso se muestra en los parámetros de imagen
cuadro de diálogo e incluye lo siguiente:
ÿÿUna barra de progreso gráfica
ÿÿLa cantidad de datos en MB copiados por minuto
ÿÿTiempo estimado restante hasta que se complete el proceso
El número de sectores copiados
Formateo del disco duro interno Logicube Forensic MD5
FTK Imager le permite formatear el disco duro interno de Logicube Forensic MD5 para borrar los datos almacenados anteriormente y
garantizar que haya suficiente espacio para almacenar un nuevo archivo de imagen.
Para formatear la unidad interna Forensic MD5
ÿÿHaga clic en Formatear unidad de destino en el cuadro de diálogo Logicube MD5.
La unidad está formateada con el sistema de archivos FAT32.
Uso de la unidad interna Logicube Forensic MD5 como unidad USB
Con FTK Imager, puede acceder a la información almacenada en el disco interno Logicube Forensic MD5 a través de una conexión USB.
Para acceder a la unidad interna de Forensic como una unidad USB
1. En el cuadro de diálogo Logicube MD5, haga clic en Unidad interna USB. El Logicube Forensic MD5 cambia a USB
modo.
2. Conecte el cable USB de la base de Logicube Forensic MD5 a su puerto USB.
Windows asigna una letra de unidad a la unidad interna de Forensic MD5, lo que le permite acceder a ella como una unidad lógica.
3. Cuando termine, utilice la función Quitar hardware de forma segura de Windows para desconectar la unidad.
4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para cambiar Logicube Forensic MD5 fuera del modo USB.
Acceder a la unidad flash compacta Logicube Forensic MD5 como una unidad USB
FTK Imager también le permite acceder a la unidad flash compacta Logicube Forensic MD5 a través de una conexión USB.
Para acceder a la unidad flash compacta de Forensic MD5 como una unidad USB
1. En el cuadro de diálogo Logicube MD5, haga clic en USB Compact Flash. El Logicube Forensic MD5 cambia a USB
modo.
2. Conecte el cable USB de la base de Logicube Forensic MD5 a su puerto USB. Windows asigna una letra de
unidad a la unidad flash compacta de Forensic MD5, lo que le permite acceder a ella como una unidad lógica.
3. Cuando termine, utilice la función Quitar hardware de forma segura de Windows para desconectar la unidad.
4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para cambiar Logicube Forensic MD5 fuera del modo USB.
Visualización de la información de hardware de Logicube Forensic MD5
Para ver la información de hardware de Logicube Forensic MD5, haga clic en Información de versión de hardware en el cuadro de diálogo
Logicube MD5.
Apéndice B Uso de un dispositivo Logicube
Integración de un Logicube Forensic MD5
| 55
Machine Translated by Google
Apéndice C Uso de un
Dispositivo Fernico
Integración de un sistema Fernico FAR
El sistema Fernico FAR® realiza una copia de seguridad de los datos forenses de las ubicaciones de la red o de los discos duros conectados
localmente, distribuyendo automáticamente el contenido en una serie de discos. Las copias de seguridad incluyen verificación MD5 integral e
informes completos de cadena de evidencia.
Acceso al sistema Fernico FAR desde Imager
Si tiene un sistema Fernico FAR instalado, el cuadro de diálogo de selección de fuente mostrará el dispositivo Fernico como un tipo de evidencia
de fuente cuando agregue evidencia a un caso.
FIGURA C-1 Seleccionar fuente
Para acceder al sistema Fernico FAR
1. Seleccione el dispositivo Fernico (múltiples CD/DVD) y luego haga clic en Siguiente. Se abre el cuadro de diálogo Dispositivo Fernico.
Apéndice C Uso de un dispositivo Fernico
Integración de un sistema Fernico FAR
| 56
Machine Translated by Google
FIGURA C-2 Dispositivo Fernico
2. En el campo Número de discos , escriba el número de discos cargados en el dispositivo.
3. En el campo Número de copias , escriba el número de copias que se colocarán en los discos.
4. El dispositivo Fernico creará una imagen de todas las subcarpetas de forma predeterminada. Seleccione el botón de radio No si no desea sub
carpeta de imágenes.
5. Escriba un destino para la imagen en el campo Ruta de la carpeta de imágenes o utilice el botón Examinar .
6. Escriba un nombre para la carpeta de imágenes en el campo Nombre de carpeta de archivo de imagen.
7. Haga clic en Finalizar. Se abrirá una ventana de DOS que muestra el progreso de la creación de imágenes.
Para obtener más información sobre Fernico FAR System, consulte la documentación de Fernico que vino con su Fernico FAR System.
Apéndice C Uso de un dispositivo Fernico
Integración de un sistema Fernico FAR
| 57