Introduccin a FTK En este captulo aprenderemos a crear (Preservar la Evidencia) Imgenes forenses las cuales posteriormente sern analizadas.

En la etapa de preservacin de Datos se realiza algo que se le denomina firmar la imagen , este proceso nos permite determinar una cadena (has) que vara segn el algoritmo que utilizamos podra ser MD5 o SHA1. Con estas firmas podemos crear o generar la Cadena de Custodia para preservar la Integridad de Informacin

Export Files Esta opcin permite exportar los archivos del directorio Seleccionado Export File Hash List Esta opcin permite exportar a un archivo en el formato csv que contiene un listado de lo que contiene la carpeta seleccionado con sus respectivas firmas Md5 y Sha1. Export Logical Image Esta opcin nos permite crear una nueva imagen forense de la carpeta Seleccionada, siguiendo con el proceso natural de creacin de imgenes, incluso nos da la facultad de seleccionar el nuevo formato de la Imagen como ser .dd , .afd1 , .eff1, .smart Add Custon Content Image (AD1).

Con esta ltima opcin podemos seleccionar distintas carpetas y crear una imagen Forense de las carpetas Seleccionadas

En esta ventana observamos datos del archivo o carpeta seleccionado estos datos son conocidos como Metadatos. Los cual determina cuando fue creado, modificado un archivo y sectores en los cuales se encuentra. Presionando las teclas Crtl+F nos aparece una ventana de Bsqueda (Find) la cual por medio de patrones de caracteres podemos realizar bsquedas en distintos tipos como ser Binario, Text, ANSI