Professional Documents
Culture Documents
FTKImager UserGuide Español
FTKImager UserGuide Español
Generador de imágenes
| 1
Machine Translated by Google
Información legal
©2019 AccessData Group, Inc. Todos los derechos reservados. Ninguna parte de esta publicación puede reproducirse, fotocopiarse,
almacenarse en un sistema de recuperación ni transmitirse sin el consentimiento expreso por escrito del editor.
AccessData Group, Inc. no hace ninguna declaración ni garantía con respecto al contenido o el uso de esta documentación, y
específicamente renuncia a cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier propósito en particular.
Además, AccessData Group, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido, en cualquier
momento, sin obligación de notificar a ninguna persona o entidad sobre dichas revisiones o cambios.
Además, AccessData Group, Inc. no hace declaraciones ni ofrece garantías con respecto a ningún software y específicamente
renuncia a cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier propósito en particular.
Además, AccessData Group, Inc. se reserva el derecho de realizar cambios en todas y cada una de las partes del software
AccessData, en cualquier momento, sin obligación de notificar a ninguna persona o entidad sobre dichos cambios.
No puede exportar ni reexportar este producto en violación de las leyes o regulaciones aplicables, incluidas, entre otras, las regulaciones
de exportación de EE. UU. o las leyes del país en el que reside.
Exterro Inc.
Las siguientes son marcas comerciales registradas o marcas comerciales de AccessData Group, Inc. Todas las demás marcas
comerciales son propiedad de sus respectivos dueños.
.
Datos de acceso AD™ Ataque de red distribuida® Kit de herramientas de recuperación de contraseña®
LeyDrop® Suma®
|2
Machine Translated by Google
Un símbolo de marca registrada (®, ™, etc.) indica una marca comercial de AccessData Group, Inc. Con pocas excepciones, y a menos que
se indique lo contrario, todos los nombres de productos de terceros se escriben y escriben en mayúscula de la misma manera que el propietario
escribe y escribe en mayúscula el nombre de su producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los titulares
de la marca comercial y de los derechos de autor. AccessData no asume ninguna responsabilidad por la función o el rendimiento de
productos de terceros.
Reconocimientos de terceros:
AFF® y AFFLIB® Copyright® 2005, 2006, 2007, 2008 Simson L. Garfinkel y Basis Technology
Corp. Todos los derechos reservados.
Copyright © 2005 2009 Ayende Rahien
Licencia BSD:
Copyright (c) 20092011, Andriy Syrov. Reservados todos los derechos. Se permite la redistribución y el uso en formato fuente y binario,
con o sin modificación, siempre que se cumplan las siguientes condiciones: Las redistribuciones del código fuente deben
conservar el aviso de derechos de autor anterior, esta lista de condiciones y la siguiente exención de responsabilidad; Las
redistribuciones en formato binario deben reproducir el aviso de derechos de autor anterior, esta lista de condiciones y la siguiente exención
de responsabilidad en la documentación y/u otros materiales proporcionados con la distribución; Ni el nombre de Andriy Syrov ni los
nombres de sus colaboradores pueden utilizarse para respaldar o promocionar productos derivados de este software sin un permiso previo
específico por escrito. ESTE SOFTWARE ES PROPORCIONADO POR LOS TITULARES DE DERECHOS DE AUTOR Y
COLABORADORES "TAL CUAL" Y SE RENUNCIA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUYENDO, PERO NO
LIMITADO A, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD E IDONEIDAD PARA UN PROPÓSITO PARTICULAR. EN
NINGÚN CASO EL PROPIETARIO DE LOS DERECHOS DE AUTOR O LOS COLABORADORES SERÁN RESPONSABLES
DE NINGÚN DAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O CONSECUENTE (INCLUYENDO, PERO NO
LIMITADO A, LA ADQUISICIÓN DE BIENES O SERVICIOS SUSTITUTOS; PÉRDIDA DE USO, DATOS O GANANCIAS; O
INTERRUPCIÓN COMERCIAL) CUALQUIER CAUSA Y EN CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA POR CONTRATO,
RESPONSABILIDAD ESTRICTA O AGRAVIO (INCLUYENDO NEGLIGENCIA O DE OTRA MANERA) QUE SURJA DE
CUALQUIER MANERA DEL USO DE ESTE SOFTWARE, INCLUSO SI SE ADVIERTE DE LA POSIBILIDAD DE DICHO DAÑO.
Licencia WordNet:
Esta licencia está disponible como archivo LICENCIA en cualquier versión descargada de WordNet.
Licencia WordNet 3.0: (Descargar)
WordNet Versión 3.0 Este software y base de datos se los proporciona a usted, el LICENCIATARIO, la Universidad de Princeton bajo la
siguiente licencia. Al obtener, usar y/o copiar este software y base de datos, usted acepta que ha leído, comprendido y cumplirá con
estos términos y condiciones.: Permiso para usar, copiar, modificar y distribuir este software y base de datos y su documentación para
cualquier Por el presente se concede este propósito y sin cargo ni regalías, siempre que acepte cumplir con el siguiente aviso y declaraciones
de derechos de autor, incluida la exención de responsabilidad, y que los mismos aparezcan en TODAS las copias del software, la base
de datos y la documentación, incluidas las modificaciones que realice para uso interno o para distribución.
WordNet 3.0 Copyright 2006 de la Universidad de Princeton. Reservados todos los derechos. ESTE SOFTWARE Y BASE DE
DATOS SE PROPORCIONAN "TAL CUAL" Y LA UNIVERSIDAD DE PRINCETON NO HACE DECLARACIONES NI GARANTÍAS,
EXPRESAS O IMPLÍCITAS. A MODO DE EJEMPLO, PERO SIN LIMITACIÓN, LA UNIVERSIDAD DE PRINCETON NO
OFRECE DECLARACIONES NI GARANTÍAS DE COMERCIABILIDAD O IDONEIDAD PARA NINGÚN PROPÓSITO PARTICULAR
O DE QUE EL USO DEL SOFTWARE, BASE DE DATOS O DOCUMENTACIÓN CON LICENCIA NO INFRINGIRÁ NINGUNA PATENTE,
DERECHOS DE AUTOR, MARCAS COMERCIALES O OTROS DERECHOS. El nombre de Princeton University o Princeton no se puede
utilizar en publicidad o publicidad relacionada con la distribución del software y/o la base de datos.
La propiedad de los derechos de autor de este software, base de datos y cualquier documentación asociada permanecerá en todo momento
en manos de la Universidad de Princeton y el LICENCIATARIO se compromete a preservarlos.
El licenciatario deberá incluir el siguiente aviso de copyright: "XMLmind XSLFO Converter Copyright © 2002
|3
Machine Translated by Google
2009 Pixware SARL", con cada copia de la Aplicación. Este aviso de derechos de autor puede colocarse junto con los avisos
de derechos de autor del propio Licenciatario, o en cualquier ubicación razonablemente visible en el embalaje o la
documentación de la Aplicación.
El Licenciatario puede usar, distribuir, licenciar y vender la Aplicación sin cargos adicionales adeudados al Licenciante,
sujeto a todas las condiciones de este Acuerdo de Licencia.
"Amazon Web Services", "AWS" "AWS Aurora" "AWS Relational Database Service" son marcas comerciales de
Amazon.com, Inc. o sus afiliados en los Estados Unidos y/u otros países y se utiliza con permiso
https://aws.amazon.com/aispl/trademarkguidelines/.
Apache(r), Apache Cassandra y el logotipo de la llama son marcas registradas de Apache Software
Fundación en Estados Unidos y/u otros países. Sin respaldo por parte del software Apache
La fundación está implícita en el uso de estas marcas.
Información de la empresa
Convenciones de documentación
En la documentación de AccessData, se utilizan varias variaciones de texto para indicar significados o acciones. Por ejemplo,
se utiliza un símbolo mayor que (>) para separar acciones dentro de un paso. Cuando se debe escribir una entrada usando el teclado,
los datos variables se separan usando el formato [datos_variables] . Los pasos que requieren que el usuario haga clic en un botón o
icono se indican con texto en negrita. Esta fuente en cursiva indica una etiqueta o elemento no interactivo en la interfaz de usuario.
Un símbolo de marca registrada (®, ™, etc.) indica una marca comercial de AccessData Group, Inc. A menos que se indique lo contrario, todos los nombres
de productos de terceros se escriben y escriben en mayúscula de la misma manera que el propietario escribe y escribe en mayúscula el nombre de su
producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los titulares de la marca comercial y de los derechos de autor.
Registro
El registro del producto AccessData se realiza en AccessData después de realizar la compra y antes de enviar el producto. Las licencias
están vinculadas a un dispositivo de seguridad USB o a un CmStick virtual, según su compra.
Suscripciones
AccessData proporciona una suscripción de licencia de un año con todas las compras de productos nuevos. La suscripción le permite
acceder a soporte técnico y descargar e instalar las últimas versiones de sus productos con licencia durante el período de licencia
activa.
Después del período de licencia inicial, se requiere una renovación de la suscripción anualmente para obtener soporte continuo y
actualizar sus productos. Puede renovar sus suscripciones a través de su representante de ventas de AccessData.
Utilice License Manager para ver su información de registro actual, buscar actualizaciones de productos y descargar las
últimas versiones del producto, donde estén disponibles para descargar. También puede visitar nuestro sitio web,
Visite www.accessdata.com en cualquier momento para encontrar las últimas versiones de nuestros productos.
Para obtener más información, consulte Gestión de licencias en el manual de su producto o en el sitio web de AccessData.
|4
Machine Translated by Google
Su representante de ventas de AccessData es su contacto principal con AccessData. Además, a continuación se enumeran el número
de teléfono y la dirección postal general de AccessData, y los números de teléfono para comunicarse con los departamentos
individuales.
Apoyo técnico
El soporte técnico está disponible para todas las soluciones AccessData con licencia actual.
Puede ponerse en contacto con el servicio de atención al cliente y técnico de AccessData de las siguientes maneras:
Puede acceder al chat, la base de conocimientos, los foros de discusión, los documentos técnicos y más a través de
https://support.accessdata.com
soporte@exterro.com
|5
Machine Translated by Google
Horario de soporte: de lunes a viernes, de 7:00 a. m. a 6:00 p. m. (MST), excepto feriados corporativos.
Documentación
Envíe un correo electrónico a AccessData sobre cualquier error tipográfico, inexactitud u otros problemas que encuentre con la documentación:
documentación@exterro.com
Servicios profesionales
El personal de AccessData Professional Services cuenta con una amplia y variada experiencia en investigaciones digitales que
incluyen aplicación de la ley, contrainteligencia y seguridad corporativa. Su experiencia colectiva en el trabajo con entidades
gubernamentales y comerciales, así como en la prestación de testimonios de expertos, les permite ofrecer una gama completa de servicios
informáticos forenses y de descubrimiento electrónico.
En este momento, los Servicios profesionales brindan soporte para las ventas, instalación, capacitación y utilización de Summation, eDiscovery,
FTK, FTK Central, FTK Plus, FTK Pro, Enterprise y Lab. Ellos podrán ayudarle a resolver cualquier duda o problema que pueda tener respecto a
estas soluciones.
Correo electrónico
ventas@exterro.com
|6
Machine Translated by Google
|7
Machine Translated by Google
Tabla de contenido
Información de la empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
Tabla de contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Tabla de contenido |8
Machine Translated by Google
Tabla de contenido |9
Machine Translated by Google
FTK® Imager es una herramienta de imágenes y vista previa de datos que le permite evaluar rápidamente evidencia electrónica para
determinar si se justifica un análisis adicional con una herramienta forense como AccessData® Forensic Toolkit® (FTK). FTK Imager
también puede crear copias perfectas (imágenes forenses) de datos informáticos sin realizar cambios en la evidencia original.
Con FTK Imager, usted puede:
Cree imágenes forenses de discos duros locales, disquetes, discos Zip, CD y DVD, carpetas completas o archivos individuales
desde varios lugares dentro del medio.
Vista previa de archivos y carpetas en discos duros locales, unidades de red, disquetes, discos Zip, CD y DVD Vista previa del
contenido de imágenes forenses almacenadas en la máquina local o en una unidad de red Montar una imagen
para una vista de solo lectura que aprovecha el Explorador de Windows para ver el contenido de la imagen exactamente como lo
vio el usuario en la unidad original.
Ver y recuperar archivos que se eliminaron de la Papelera de reciclaje, pero que aún no se han sobrescrito en
el disco.
Cree hashes de archivos utilizando cualquiera de las dos funciones hash disponibles en FTK Imager: Message Digest 5
(MD5) y algoritmo Hash seguro (SHA1).
Genere informes hash para archivos e imágenes de disco normales (incluidos archivos dentro de imágenes de disco) que luego
podrá utilizar como punto de referencia para demostrar la integridad de las pruebas de su caso. Cuando se crea una imagen de
una unidad completa, se puede utilizar un hash generado por FTK Imager para verificar que el hash de la imagen y el hash de la
unidad coincidan después de crear la imagen, y que la imagen no haya cambiado desde su adquisición.
Importante: cuando utilice FTK Imager para crear una imagen forense de un disco duro u otro dispositivo electrónico, asegúrese
de utilizar un bloqueador de escritura basado en hardware. Esto garantiza que su sistema operativo no altere
la unidad de origen original cuando la conecte a su computadora.
Para evitar la manipulación accidental o intencional de la evidencia original, FTK Imager crea una imagen duplicada bit a bit del
medio. La imagen forense es idéntica en todos los aspectos a la original, incluida la holgura del archivo y el espacio no asignado o el
espacio libre en la unidad. Esto le permite almacenar los medios originales, a salvo de daños mientras continúa la investigación utilizando
la imagen.
Después de crear una imagen de los datos, puede utilizar AccessData Forensic Toolkit (FTK) para realizar un examen forense
completo y exhaustivo y crear un informe de sus hallazgos.
AccessData ha producido un nuevo formato de imagen AD1v4 que es diferente al formato AD1v3 anterior. Las versiones anteriores de los productos
Como resultado, hay dos versiones de Imager disponibles para descargar y usar:
Utilice la siguiente tabla para comprender qué productos pueden utilizar qué formato AD1.
Imager 3.4.1 y posteriores FTK Si crea un AD1 usando uno de estos productos, se crea solo en el nuevo formato v4.
6.0 y posteriores
Suma 6.0 y posteriores Estos productos pueden leer archivos de imagen AD1v3 o AD1v4.
Esta versión puede leer archivos AD1v3 o AD1v4 pero solo crea
Archivos AD1v3.
FTK 5.x y anteriores Estos productos solo pueden leer archivos AD1v3.
Suma 5.x y versiones anteriores Estos productos solo pueden crear archivos AD1v3.
eDiscovery 5.x y versiones anteriores
Imager 3.3.x y versiones anteriores
Es importante tener en cuenta que los archivos AD1 creados en las versiones 6.x de FTK, Summation o eDiscovery tienen el formato v4 y no pueden leerse en
las versiones 5.x y anteriores de esos productos, ni tampoco en Imager 3.3.x y anteriores. El uso de una versión anterior de Imager generará el error "Error en
la detección de imagen".
Sin embargo, puede abrir un archivo v4 en Imager 3.4.0 (solamente) y guardarlo como un archivo v3.
Para utilizar Imager 3.4.0 para convertir un archivo v4 en un archivo v3, tenga en cuenta lo siguiente:
Los hash de verificación serán diferentes porque un AD1 v4 incluye tablas GUID que se aplican hash.
Para evitar que se cambie el nombre del nodo de nivel superior (sistema de archivos), se debe crear el AD1 haciendo lo siguiente:
siguiente:
Incorrecto: agregue AD1, expanda, haga clic derecho en el nodo del sistema de archivos en el árbol, exporte imagen lógica (AD1)
Nota: Nota: Una imagen AD1 no es realmente una imagen de disco aunque la opción que utilice sea Crear disco
Imagen.
Capítulo 1 Descripción general Comprender la compatibilidad de la versión del archivo de imagen AD1 | 11
Machine Translated by Google
Capítulo 1 Descripción general Comprender la compatibilidad de la versión del archivo de imagen AD1 | 12
Machine Translated by Google
Capítulo 2 Instalación
FTK Imager se puede instalar en la computadora donde se utilizará, o se puede ejecutar desde un dispositivo portátil, como una memoria USB
conectada a una máquina en el campo, por lo que no es necesario instalarlo en la computadora de un sospechoso en para capturar
su imagen.
Instalación local
Instale FTK Imager en un disco duro local cuando desee conectar hardware de evidencia a esa computadora para obtener una vista
previa y obtener imágenes de la evidencia.
2. En Utilidades, busque FTK Imager. Haga clic en Descargar para descargar la última versión publicada.
3. Haga clic en Guardar archivo.
4. Busque la ubicación donde desea guardar el archivo de instalación y haga clic en Guardar.
Marque la casilla Iniciar AccessData FTK Imager para forzar que Imager se ejecute inmediatamente después de finalizar la instalación.
completo.
Deje la casilla sin marcar para ejecutar el programa recién instalado más adelante.
Nota: En MS Windows Server 2008R2 ejecutando Control de cuentas de usuario (UAC), marcando la casilla Iniciar
no hace nada. Debe ejecutar FTK Imager manualmente después de la instalación.
Copie los archivos de FTK Imager Lite directamente al dispositivo, evitando instalarlos primero en una computadora local.
Descomprima los archivos descargados en la unidad portátil y ejecute el archivo desde allí.
El programa FTK Imager Lite tiene menos archivos (solo los esenciales) y no requiere una instalación por separado, aunque debes
descomprimir el archivo descargado para extraer su contenido en una carpeta antes de usarlo.
Ejecute la instalación en una computadora local, luego copie la carpeta FTK Imager desde [Unidad]:\Program Files\AccessData\FTK Imager
a la memoria USB u otro dispositivo portátil.
Una vez que los archivos del programa FTK Imager se guardan en el medio portátil, ese medio se puede conectar a cualquier computadora que
Con cualquiera de los métodos, deberá dejar disponible una unidad de destino para guardar los datos de la imagen y aún deberá utilizar un
bloqueador de escritura confiable.
Haga clic en Inicio > Ejecutar > Examinar. Busque y seleccione FTK Imager.exe en la ubicación en la que se instaló.
y agregue un modificador de línea de comando como se explica a continuación.
/CreateDirListing Crea un
archivo de listado de directorios en la carpeta desde donde se ejecuta FTK Imager.exe .
Muestra:
"ftk imager.exe" /CreateDirListing e:\precious.E01
/VerificarImagen
Verifica una imagen cuando especifica la ruta de la imagen y el nombre del archivo.
Muestra:
"FTK Imager.exe" /VerifyImage E:\precious.E01
/Habilitar registro de depuración
Permite iniciar sesión en el archivo FTKImageDebug.log creado en la carpeta desde la que ejecuta FTK Imager.exe .
Muestra:
"FTK Imager.exe" /EnableDebugLog
1. Cierre FTK Imager, luego desde el menú Inicio de Windows, haga clic en Ejecutar.
2. En el cuadro de texto Ejecutar , busque la ruta y la carpeta que contiene FTK Imager.exe y luego haga clic en Abrir.
La interfaz de usuario de FTK Imager está dividida en varios paneles; cada uno es acoplable. El árbol de pruebas, la lista de archivos, las propiedades, el
intérprete de valores hexadecimales, los paneles de fuentes de contenido personalizado , el menú y la barra de herramientas se pueden desacoplar y cambiar
de tamaño para adaptarse mejor a sus necesidades. Cada uno se puede volver a acoplar individualmente o puede restablecer la vista completa para la
siguiente investigación.
Arrastre el panel dentro de la ventana de FTK Imager hasta que una forma de contorno encaje en su lugar en el lugar deseado.
posición, luego suelte el panel.
Barra de menús
Utilice la barra de menú para acceder a todas las funciones de FTK Imager. La barra de menú está siempre visible y accesible.
Menú Archivo
El menú Archivo proporciona acceso a todas las funciones que puede utilizar desde la barra de herramientas.
El menú Archivo
Capítulo 3 La interfaz de usuario de FTK Imager La interfaz de usuario de la cámara FTK | dieciséis
Machine Translated by Google
Ver menú
El menú Ver le permite personalizar la apariencia de FTK Imager, incluyendo mostrar u ocultar paneles y barras de control.
El menú Ver
Menú de modo
El menú Modo le permite seleccionar el modo de vista previa del Visor. Cada uno de los modos de visualización se
analiza con más detalle en el Capítulo 3. Consulte Modos de vista previa (página 23).
El menú de modo
Menú de ayuda
El menú Ayuda proporciona acceso a la Guía del usuario de FTK Imager y a información sobre la versión del programa, etc.
El menú de ayuda
Barra de herramientas
La barra de herramientas contiene todas las herramientas, funciones o características a las que se puede acceder desde el menú Archivo, excepto Salir.
Botón Descripción
Agregar elemento de evidencia
Botón Descripción
Exportar imagen lógica (AD1)
Verificar unidad/imagen
Capturar memoria
Exportar archivos
Mostrar u ocultar paneles. Elija mostrar u ocultar la barra de herramientas, el árbol de pruebas, la lista de archivos,
las propiedades, el intérprete de valores hexadecimales y/o los paneles de fuentes de contenido personalizado.
Ver paneles
Hay varios paneles de vista básicos en FTK Imager. Se describen en esta sección.
El panel Árbol de evidencia (panel superior izquierdo) muestra elementos de evidencia agregados en un árbol jerárquico. En la raíz del árbol se encuentran
las fuentes de evidencia seleccionadas. Debajo de cada fuente se enumeran las carpetas y archivos que contiene.
Haga clic en el signo más junto a una fuente o carpeta para expandir la vista y mostrar sus subcarpetas.
Haga clic en el signo menos junto a una fuente o carpeta expandida para ocultar su contenido.
Cuando selecciona un objeto en el Árbol de evidencia, su contenido se muestra en la Lista de archivos. Las propiedades del objeto seleccionado, como el
cristal. Todos los datos contenidos en el objeto seleccionado se muestran en el panel Visor .
El panel Lista de archivos muestra los archivos y carpetas contenidos en cualquier elemento actualmente seleccionado en el Árbol de evidencia. Cambia a
Panel combinado
El panel inferior izquierdo de FTK Imager tiene tres pestañas: Propiedades, Intérprete de valores hexadecimales y Fuentes de contenido personalizadas.
Cada uno se describe aquí.
Propiedades
La pestaña Propiedades muestra una variedad de información sobre el objeto seleccionado actualmente en el Árbol de evidencia o en la Lista de archivos.
La pestaña Propiedades
Las propiedades incluyen información como el tipo de objeto, el tamaño, la ubicación en el medio de almacenamiento, indicadores y marcas de tiempo.
La pestaña Intérprete de valores hexadecimales convierte los valores hexadecimales seleccionados en el Visor en números enteros decimales y posibles
Para convertir valores hexadecimales, resalte de uno a ocho bytes adyacentes de código hexadecimal en el Visor. Una variedad de posibles
Esta característica es más útil si está familiarizado con la estructura del código interno de diferentes tipos de archivos y sabe exactamente dónde
Cada vez que agrega un elemento para incluirlo en una imagen de contenido personalizado , se enumera aquí.
Puede agregar, editar y eliminar una o todas las fuentes y crear la imagen desde aquí.
Opciones de comodín
Para obtener más información, consulte Creación de imágenes de contenido personalizado (página 43).
Espectador
El Visor muestra el contenido del archivo seleccionado actualmente, según el modo de vista previa seleccionado: Natural, Texto o Hexadecimal. Consulte Modos
Se puede desplazar el contenido para que pueda ver el contenido completo del archivo. Además, con el modo hexadecimal seleccionado y el intérprete de valores
hexadecimales del panel combinado abierto, la interpretación hexadecimal del texto seleccionado en el panel Visor se puede ver simultáneamente.
Utilice FTK Imager para obtener una vista previa de la evidencia antes de crear los archivos de imagen. Luego puede optar por crear una imagen
de todo el objeto de evidencia o elegir elementos específicos para agregarlos a una imagen de Contenido personalizado (AD1). Este capítulo
analiza el trabajo con evidencia y el uso de FTK Imager para lograr la creación de imágenes forenses que satisfagan sus necesidades exactas.
Se puede obtener una vista previa de los elementos de evidencia antes de decidir qué se debe incluir en una imagen. A partir de FTK Imager
3.0 se incluye compatibilidad con los sistemas de archivos VXFS, exFAT y Ext4.
ADVERTENCIA: Si la máquina que ejecuta FTK Imager tiene una conexión a Internet activa y está utilizando Imager para obtener una vista
previa del contenido HTML desde la memoria caché del sistema, existe un riesgo potencial asociado con el Boletín de
seguridad de Microsoft MS09054. AccessData recomienda que, siempre que sea posible, los usuarios no tengan una
conexión a Internet activa mientras Imager se esté ejecutando.
FTK Imager ofrece tres modos para obtener una vista previa de datos electrónicos: modo automático, modo texto y modo hexadecimal.
Estos modos se pueden seleccionar desde el menú Modo o desde la barra de herramientas, como se presentó en el Capítulo 2. Cada uno es
descrito con más detalle aquí.
Modo automatico
El modo automático elige automáticamente el mejor método para obtener una vista previa del contenido de un archivo, según el tipo de archivo.
Por ejemplo:
Páginas web, gráficos relacionados con la web (JPEG y GIF) y cualquier otro tipo de medio para el cual Internet
Los complementos de Explorer que se han instalado se muestran mediante una versión integrada de Internet Explorer en el Visor.
Los archivos de texto se muestran en el Visor como caracteres ASCII o Unicode. Los
tipos de archivos que no se pueden ver en Internet Explorer se muestran fuera de FTK Imager en su aplicación nativa, siempre que dichas
aplicaciones estén instaladas localmente y se hayan configurado las asociaciones de archivos adecuadas en Windows.
Los tipos de archivos que no se pueden ver en Internet Explorer y que no tienen un visor nativo conocido son
se muestra de forma predeterminada en modo hexadecimal en el visor.
Modo de texto
El modo de texto le permite obtener una vista previa del contenido de un archivo como caracteres ASCII o Unicode, incluso si el archivo no es un archivo de texto.
Este modo puede resultar útil para ver texto y datos binarios que no son visibles cuando se ve un archivo en su aplicación nativa.
Modo hexagonal
El modo hexadecimal le permite ver cada byte de datos de un archivo como código hexadecimal. Puede utilizar el intérprete de valores hexadecimales
para interpretar valores hexadecimales como enteros decimales y posibles valores de fecha y hora.
Nota: Los modos de vista previa se aplican solo cuando se muestran datos de archivos. Los datos contenidos en carpetas u otros archivos que no sean
Los objetos siempre se muestran en formato hexadecimal.
Puede agregar un único elemento de evidencia o varios a la vez. Estos procedimientos se explican en esta sección.
2. Seleccione el tipo de fuente que desea obtener una vista previa y luego haga clic en Siguiente.
3. Seleccione la unidad o busque la fuente que desea obtener una vista previa y luego haga clic en Finalizar.
Haga clic en el botón Agregar todos los dispositivos conectados en la barra de herramientas.
La función Agregar todos los dispositivos conectados , también conocida como montaje automático, escanea todos los dispositivos físicos y lógicos conectados en busca de
medios. Si no hay ningún medio presente en un dispositivo conectado, como un CD, DVDROM o DVDRW, se omite el dispositivo.
Montaje de imágenes
Como nuevo comienzo en la versión 3.0 de FTK Imager, Image Mounting permite montar imágenes forenses como una unidad o dispositivo físico, para visualización de solo
lectura. Esta acción abre la imagen como una unidad y le permite explorar el contenido en Windows y otras aplicaciones. Los tipos admitidos son imágenes RAW/dd, E01, S01,
Las imágenes de disco completas RAW/dd, E01 y S01 se pueden montar físicamente. Las particiones contenidas en imágenes de disco completas, así como imágenes de contenido
personalizado de formatos AD1 y L01, se pueden montar lógicamente. Las diferencias se explican en esta sección.
Nota: Las imágenes cifradas con AD ahora se pueden montar como una unidad o un dispositivo físico. Otros tipos de
Las imágenes cifradas no son compatibles con el montaje como unidad o dispositivo físico.
La capacidad de montar una imagen con FTK Imager proporciona los siguientes beneficios y puede encontrar otros a medida que utiliza la función:
Monte una imagen de disco completa con sus particiones todas a la vez; al disco se le asigna un nombre de Unidad Física y a las particiones se
les asigna automáticamente una letra de unidad que comienza con la primera letra de unidad disponible o con cualquier letra de
unidad disponible de su elección.
Lea una imagen de disco completa montada físicamente y le asignó un nombre de unidad física n usando Imager o usando
cualquier aplicación de Windows que realice consultas de nombres físicos.
Lea y escriba en la imagen montada utilizando un archivo de caché. El contenido original no se modifica.
Montar imágenes de múltiples unidades y/o particiones. Las imágenes montadas permanecen montadas hasta que se desmontan o hasta
que se cierra Imager.
Vea una imagen montada lógicamente en el Explorador de Windows como si fuera una unidad conectada a la computadora, lo que brinda
los siguientes beneficios:
Ver tipos de archivos con asociaciones de Windows en su aplicación nativa o asociada, cuando esa aplicación está
instalada localmente.
Comparta y vea la imagen montada lógicamente como una unidad en el Explorador de Windows desde computadoras remotas
cuando el acceso remoto se ha configurado correctamente.
Evite que los archivos se copien en la imagen montada desde otra ubicación. (Debido a que la imagen es de solo lectura, no hay que
preocuparse de que un usuario remoto, o cualquier usuario, que vea la imagen realice un cambio que invalide los datos).
AD1 y L01 son imágenes de contenido personalizado y contienen una estructura de archivos completa, pero no contienen ninguna unidad.
geometría otros otros datos de la unidad física. Por tanto, estas imágenes no tienen la opción de montarse Físicamente.
Nota: Al montar lógicamente una imagen, el tamaño de la unidad o partición se muestra incorrectamente en la vista Inicio > Computadora de Windows .
Sin embargo, cuando abre la "unidad" desde allí, las carpetas y archivos contenidos en la imagen montada se muestran correctamente.
Cuando monta una imagen físicamente, aunque Windows Explorer no la puede ver, se puede ver fuera de Imager utilizando cualquier aplicación de
Las imágenes E01, S01, AFF y 001 (RAW/dd) son imágenes de unidades que tienen la estructura del disco, la partición y el archivo, así
como los datos de la unidad. Una imagen de disco físico se puede montar físicamente; y sus particiones de imagen de disco se
pueden montar lógicamente.
1. Si ya tiene la imagen deseada agregada como evidencia en la Lista de evidencia del generador de imágenes, seleccione ese elemento y luego
realice el Paso 2 para completar automáticamente el cuadro Fuente con el archivo de imagen que se va a montar, como se muestra en el Paso 3.
3. Escriba la ruta y el nombre del archivo, o haga clic en Examinar para completar el cuadro Fuente con la ruta y el nombre del archivo.
la imagen a montar.
Después de seleccionar una imagen, el tipo de montaje será el predeterminado para la asignación admitida según el tipo de imagen
seleccionado. Haga clic en el menú desplegable para mostrar otros tipos de montaje disponibles.
Los tipos de montaje disponibles son físico y lógico, solo físico y solo lógico.
Si el tipo de montaje seleccionado incluye Lógico, puede seleccionar la letra de unidad para asignarla como punto de montaje.
5. Haga clic en el menú desplegable Letra de unidad para ver todas las letras de unidad que están disponibles para asignarse al dispositivo montado.
imagen
7. Haga clic en el menú desplegable Método de montaje para seleccionar entre los métodos de montaje disponibles.
Dispositivo de bloqueo/escribible los cambios y anotaciones se guardan en un archivo de caché, pero no se realizan cambios en el original. Si se
selecciona, proporcione información de ruta para el archivo de caché en el campo Carpeta de caché de escritura.
Sistema de archivos/Solo lectura Lee el dispositivo como un dispositivo de solo lectura que puede ver mediante el Explorador de Windows.
9. Cuando todas las opciones de montaje estén seleccionadas, haga clic en Montar.
Para montar otra imagen, repita el proceso. Puede continuar montando imágenes según sea necesario, hasta que se le acaben las
pruebas para agregar o los puntos de montaje para usar. Las imágenes montadas permanecen disponibles hasta que se desmontan o
hasta que se cierra Imager.
2. En el cuadro de diálogo Montar imagen en la unidad , resalte la imagen que desea desmontar.
3. Haga clic en Desmontar.
4. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y regresar a FTK Imager.
Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de asignaciones contiguas.
Haga clic en una asignación de la lista y luego presione Ctrl y haga clic en asignaciones individuales para seleccionar varias asignaciones no contiguas.
mapeos.
2. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y regresar a FTK Imager.
Eliminación de pruebas
Cuando sea necesario, los elementos de evidencia se pueden eliminar individualmente o en conjunto. Ambos métodos se analizan en esta sección.
Puede eliminar elementos de evidencia individualmente o comenzar de nuevo eliminando todas las pruebas a la vez.
Nota: Debe seleccionar todo el elemento de evidencia para eliminarlo; no se puede eliminar sólo una parte de un elemento.
Haga clic en el botón Eliminar todos los elementos de evidencia en la barra de herramientas.
El sistema operativo Windows no le permite copiar ni guardar archivos de Registro activos. Sin FTK Imager, los usuarios tenían que crear una imagen de su disco duro
y luego extraer los archivos del Registro, o iniciar su computadora desde un disco de arranque y copiar los archivos del Registro del sistema operativo inactivo en
la unidad. FTK Imager proporciona una solución mucho más sencilla. Evita el sistema operativo Windows y sus bloqueos de archivos, lo que le permite copiar los
Puede adquirir los archivos de registro protegidos utilizando FTK Imager ejecutándose en la máquina cuyos archivos de registro necesita.
Archivos mínimos para la recuperación de inicio de sesión: recupera archivos de usuarios, sistema y SAM desde los que puede
recuperar la información de la cuenta de un usuario.
Recuperación de contraseña y todos los archivos de registro: recupera usuarios, sistema, SAM, NTUSER.DAT, predeterminado,
Archivos de seguridad, software y Userdiff desde los cuales puede recuperar información de la cuenta y posibles contraseñas de otros archivos.
Esta lista también se puede importar a las herramientas de recuperación de contraseñas de AccessData, como PRTK y DNA.
7. Para abrir los archivos del Registro, realice una de las siguientes acciones:
Haga clic con el botón derecho en un archivo de Registro en la lista de archivos y luego seleccione Visor de Registro.
Nota: Estos pasos no adquirirán archivos protegidos de una imagen de unidad; sólo desde el sistema en vivo que ejecuta Imager. Consulte las
instrucciones a continuación para adquirir archivos protegidos desde una imagen de unidad.
Para acceder a los archivos de Registro protegidos desde una imagen de unidad usando FTK Imager
En XP
2. Exportar
ntuser.dat
3. Navegue a [Unidad]:\Windows\System32\Config\.
4. Exporte los siguientes archivos:
SAM
Sistema
software _
Seguridad
En vista
ntuser.dat
3. Navegue a [Unidad]:\Windows\System32\Config\ 4. Exporte los
siguientes archivos:
SAM
Sistema
Software
Seguridad
Independientemente del sistema operativo, exporte los archivos a una ubicación accesible (donde tenga derechos
y permisos), luego agréguelos o ábralos uno por uno en el Visor de registro.
En la figura anterior, los archivos cifrados con EFS se indican con un icono de llave, , en el árbol de evidencia.
Cifrado de anuncios
FTK Imager 3.0 y posteriores tienen la capacidad de cifrar datos durante la exportación a una imagen. Esta característica se conoce como cifrado
AD.
S01 (inteligente)
001 (CRUDO/DD)
Materiales clave (para cifrar la clave AES): frases de contraseña, archivos de claves sin formato y certificados
Nota: Un archivo de clave sin formato es cualquier archivo arbitrario cuyos datos sin procesar se tratarán como material de clave.
Los certificados utilizan claves públicas para el cifrado y las correspondientes claves privadas para el descifrado.
Para cifrar con una contraseña, marque Contraseña, luego escriba y vuelva a escribir la contraseña que desea utilizar.
Para cifrar con un certificado, marque Certificado y luego busque el certificado que desea utilizar.
Cifrado AFF
El nuevo comienzo en FTK Imager 3.0 es la capacidad de crear imágenes utilizando el cifrado AFF. Cuando crea una imagen cifrada AFF, se requiere
una contraseña. Si desea abrir esa imagen cifrada más tarde, deberá proporcionar la contraseña que utilizó cuando se creó.
FTK Imager le permite crear varios tipos diferentes de imágenes forenses. Además, se pueden exportar el contenido de la unidad y las listas hash. En
Cuando utilice FTK Imager para crear una imagen forense de un disco duro, asegúrese de utilizar un hardware
dispositivo de bloqueo de escritura basado en Esto garantiza que su sistema operativo no altere el disco duro cuando lo conecte a su computadora
de imágenes.
Al exportar datos a una imagen desde una unidad cifrada, cree la imagen físicamente, no lógicamente. A menudo se requiere una imagen física
para descifrar el cifrado completo del disco.
Seleccionar fuente
2. En el cuadro de diálogo Seleccionar fuente, seleccione la fuente de la que desea crear una imagen.
4. Si selecciona Unidad lógica y necesita seleccionar un disquete o CD como fuente, puede marcar la casilla Automatizar múltiples medios extraíbles para crear
grupos de imágenes. Imager incrementará automáticamente los números de caso con cada imagen y, si algo interrumpe el proceso, podrá asignar el
número de caso manualmente.
5. Seleccione la unidad o busque la fuente de la imagen que desea y luego haga clic en Finalizar.
Crear imagen
Compare los hashes almacenados del contenido de su imagen marcando la casilla Verificar imágenes después de crearlas . Si un archivo no tiene
hash, esta opción generará uno.
Enumere todo el contenido de sus imágenes con la ruta, las fechas de creación, si se eliminaron los archivos y otros metadatos. La lista se guarda
en formato de valores separados por tabulaciones (.TSV) .
Nota: Si está creando una imagen de un CD o DVD, este paso se omite porque todas las imágenes de CD/DVD se crean en el formato IsoBuster CUE.
Los hashes no se generan para imágenes de CD y DVD, por lo que tampoco se verificarán.
Importante: el tipo de imagen sin formato no está comprimido. Si selecciona el tipo Raw (dd), asegúrese de tener suficiente
espacio disponible en el disco para la imagen resultante.
El cuadro de diálogo Carpeta de destino de imagen que verá será diferente al que se ve al seleccionar cualquier otro tipo de imagen.
8. Especifique la información del elemento de prueba. Toda la información del elemento de evidencia es opcional, pero es útil tener la información
fácilmente accesible en caso de que se cuestione en cualquier momento después de su creación.
11. En el campo Carpeta de destino de la imagen, realice una de las siguientes acciones:
Nota: Si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar el archivo de imagen
completo, FTK Imager solicitará una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación.
Sin embargo, todos los archivos de imágenes relacionados deben guardarse juntos en la misma carpeta antes de agregarlos a un caso.
12. En el campo Nombre de archivo de imagen, especifique un nombre para el archivo de imagen pero no especifique una extensión de archivo.
Para guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB.
Para guardar segmentos de imágenes que se puedan grabar en un DVD, especifique 4000 MB.
El formato .S01 está limitado por diseño a tamaños entre 1 MB y 2047 MB (2 GB). Los punteros de bloque comprimido son números de 31 bits
(el bit alto es una bandera comprimida), lo que limita el tamaño de cualquier segmento a dos gigabytes. 13a. Seleccione el nivel de
compresión a utilizar.
0=Sin compresión
1=Más rápido, menor compresión (más rápido y también ligeramente más pequeño que un archivo con 0 compresión)
9=Más lento, mayor compresión (archivo más pequeño, más lento de crear).
Los números entre 1 y 9 producen una imagen con distintos niveles de compresión para acelerar
relación.
14. Para cifrar la imagen, elija la casilla de cifrado correcta como se explica a continuación:
14a. Para cifrar la nueva imagen con cifrado AD, marque la casilla Usar cifrado AD .
14b. Para cifrar la nueva imagen con cifrado AFF, marque la casilla Usar cifrado AFF .
Para obtener más información, consulte Detección de cifrado EFS (página 33).
16. Cuando se selecciona Cifrado AD, puede elegir entre cifrar con una contraseña o cifrar
con un certificado.
Credenciales de cifrado AD
Si utiliza una contraseña, debe escribirla y luego volver a escribirla para confirmarla. Haga clic en Mostrar
contraseña para mostrar la contraseña en texto sin formato a medida que la escribe por primera vez, para verificar que la esté escribiendo correctamente.
16a. Cuando se selecciona Cifrado AFF, escriba la contraseña y vuelva a escribirla para confirmarla.
Cifrado AFF
16b. Haga clic en Mostrar contraseña para comprobar que la ha escrito correctamente la primera vez.
17. Cuando se realicen las selecciones de cifrado, haga clic en Aceptar para guardar las selecciones y volver a Crear imagen.
diálogo.
18. Para agregar otro destino de imagen (es decir, una ubicación guardada diferente o un tipo de archivo de imagen), haga clic en Agregar y
repita los pasos 414.
Para cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar. Para eliminar un
20. Una vez creadas correctamente las imágenes, el cuadro Resultados de verificación de imagen/unidad muestra una imagen detallada.
información, incluidas sumas de verificación MD5 y SHA1, y sectores defectuosos.
Nota: Los datos que se muestran en el cuadro de resultados varían según el tipo de imagen creada.
datos en MB que se han copiado y la cantidad total que se copiará El tiempo transcurrido desde el proceso de
Resumen de imagen
El Resumen de imagen también incluye los datos que ingresó en el cuadro de diálogo Información del elemento de evidencia.
23. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen .
FTK Imager le permite personalizar su imagen para disminuir el tiempo y la memoria necesarios para almacenar información y pruebas importantes. Con la función
Imagen de contenido personalizado, puede seleccionar archivos específicos de un sistema de archivos en vivo o una imagen existente para crear una imagen más
pequeña y específica. También puede buscar una imagen existente usando un carácter comodín para crear una imagen personalizada que tenga solo aquellos
Las imágenes personalizadas sirven a los investigadores que deben adquirir pruebas rápidamente o que solo necesitan elementos concretos de información para
crear pruebas. Las imágenes también se pueden personalizar para que quepan en una memoria USB u otro medio portátil.
Nota: Al exportar el contenido de una carpeta a una imagen de contenido personalizado (AD1) o una imagen lógica (AD1), si un archivo en la carpeta que se está
exportando está bloqueado (en uso por otro proceso o programa), aparece un mensaje de error. mostrando el problema y el nombre del archivo que está en
uso.
1. Agregue una unidad o carpeta a Imager como elemento de evidencia y revise el contenido para obtener la información que necesita.
desea agregar a una imagen personalizada.
Haga clic derecho en cada elemento para abrir el menú Exportar. Seleccione Agregar a imagen de contenido personalizado (AD1).
Nota: El panel Fuentes de contenido personalizado se puede acoplar; es decir, puede moverlo a cualquier esquina de la ventana de Imager, o incluso
puede desacoplarlo por completo de la ventana de Imager y arrastrarlo a una segunda pantalla de monitor.
3. Continúe agregando contenido repitiendo este paso hasta que haya especificado o seleccionado todas las pruebas que desea agregar a esta imagen de
contenido personalizado.
Puede cambiar los elementos en su lista de imágenes personalizadas. Utilice los botones Nuevo y Eliminar para incluir o excluir elementos, y el botón
Editar para abrir el cuadro de diálogo Opciones comodín .
Opciones de comodín
El cuadro de diálogo Opciones de comodín le permite crear filtros para buscar archivos específicos. En el campo de descripción de la ruta, puede escribir:
Un signo de interrogación (?) para reemplazar cualquier carácter en el nombre y la extensión del archivo
Un asterisco (*) para reemplazar cualquier serie de caracteres en un nombre de archivo y extensión
Recopile todas las cookies de Internet en un sistema con Cookies|index.dat para varios usuarios.
Las opciones de las casillas de verificación se pueden usar individualmente o en combinación para filtrar archivos no deseados:
Ignorar mayúsculas y minúsculas permite todos los directorios en la evidencia agregada independientemente de las mayúsculas.
Incluir subdirectorios incluye todos los archivos y subdirectorios en la evidencia agregada debajo del
carpeta especificada.
Coincidir todas las ocurrencias ubica todos los directorios en la evidencia agregada que coinciden con la información dada.
expresión. Elimina la necesidad de hacer clic derecho en cada nodo en el árbol de evidencia y seleccionar Agregar a imagen de contenido
personalizado (AD1) uno por uno.
Por ejemplo, si desea recopilar todos los archivos que terminan en .doc que residen en todas las carpetas denominadas Mis documentos, FTK
Imager buscará toda la evidencia agregada para cada aparición de Mis documentos y luego recopilará todos los archivos .doc en ese directorio.
Al desmarcar Incluir subdirectorios , Imager encuentra solo los archivos en la raíz de la carpeta Mis documentos.
4. Cuando se hayan identificado y agregado todas las fuentes de contenido personalizado , haga clic en Crear imagen.
Crear imagen
5. En el cuadro de diálogo Crear imagen , especifique las opciones para esta imagen AD1.
9b. Escriba el nombre de archivo de la nueva imagen, sin extensión; La extensión está determinada por el
tipo de imagen seleccionado y se agrega automáticamente.
Para guardar segmentos de imágenes que se puedan grabar en un CD, especifique 650 MB.
Para guardar segmentos de imágenes que se puedan grabar en un DVD, especifique 4000 MB.
0 crea una imagen de un solo archivo (no fragmentada). Utilízalo si nunca necesitarás usar más pequeños.
Medios para el almacenamiento o transporte de los datos de la imagen.
1=Más rápido, menor compresión (más rápido y también ligeramente más pequeño que un archivo con 0 compresión)
9=Más lento, mayor compresión (archivo más pequeño, más lento de crear).
Los números entre 1 y 9 producen una imagen con distintos niveles de compresión para acelerar
relación.
9e. Elija si desea utilizar cifrado AD. Para obtener más información, consulte el Paso 9 en “Creación de imágenes forenses” que comienza
en la página 36.
9f. Elija si desea filtrar por propietario del archivo. Para obtener más información, consulte Exportación por SID (página 48).
10. Haga clic en Finalizar en el cuadro de diálogo Seleccionar destino de imagen para guardar esta configuración y volver a la ventana Crear.
Diálogo de imagen.
11. Para agregar otro destino de imagen (es decir, una ubicación guardada adicional diferente), haga clic en Agregar y repita
pasos 5 al 8.
12. Para cambiar el destino de una imagen, seleccione el destino a cambiar y haga clic en Editar.
13. Para eliminar un destino de imagen, seleccione el destino y haga clic en Eliminar.
Marque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos originales
ha cambiado desde que se copiaron en la imagen.
Marque Crear listados de directorios de todos los archivos de la imagen para registrar los nombres de los archivos y las rutas del contenido de la
imagen. Este registro se guardará en formato Microsoft Excel y, a menudo, funciona como prueba.
Verifique Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento se necesitará para crear
la imagen personalizada antes de comenzar y a medida que avanza la generación de imágenes.
15. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:
La cantidad de datos en MB que se han copiado y la cantidad total a copiar Tiempo transcurrido desde que comenzó
el proceso de exportación
16. De forma predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra el
archivos y los hashes (MD5 y SHA1) de su imagen personalizada.
16a. Haga clic en Cerrar cuando haya terminado de ver la información hash.
16b. Haga clic en Cerrar nuevamente para regresar al cuadro de diálogo Crear imagen. En este punto, la ventana de Estado dirá Imagen creada
con éxito.
17. Haga clic en Resumen de imagen para abrir la ventana Resumen de imagen que muestra el Registro de creación de imágenes.
Información del elemento de evidencia que ingresó al principio.
18. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen.
Convierta un archivo de imagen existente a un formato diferente exportándolo y eligiendo un formato de imagen diferente al original. Exporte archivos de imagen completos
para convertirlos de un tipo de formato a otro. Exporte el contenido seleccionado de una unidad o imagen para crear una imagen de contenido personalizado (AD1).
Exportar archivos
Exportar o copiar archivos de un elemento de evidencia le permite imprimir, enviar por correo electrónico, recuperar archivos u organizar archivos según sea necesario,
Nota: Esta función resulta útil si su sistema operativo falla, pero la unidad aún está operativa. Imagen de tu disco y exporta
tus datos, fotografías, etc. de la imagen.
1. En el Árbol de evidencia, seleccione la carpeta que contiene los archivos que desea exportar. El contenido de la carpeta se muestra en la Lista de archivos.
Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos.
Haga clic en un archivo, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos.
4. En el cuadro de diálogo Buscar carpeta , busque la ubicación donde desea guardar los archivos exportados.
Windows asigna identificadores únicos a cada proceso, usuario, máquina, etc. dentro de su sistema. Un identificador de sistema (SID) es exclusivo del sistema y, con
Las funciones Exportar a imagen lógica (AD1) y Agregar a imagen de contenido personalizado (AD1) ahora permiten al usuario seleccionar y exportar archivos
Para exportar una lista de archivos según el SID del propietario del archivo
1. Comience seleccionando un elemento del Árbol de evidencia.
Cuando se agrega a una imagen de contenido personalizado, verá el elemento en el cuadro Fuentes de contenido personalizado.
4. Cuando se agreguen todos los elementos deseados a la imagen de contenido personalizado, haga clic en Crear imagen.
Esto lo llevará a la misma pantalla que vería si hubiera seleccionado directamente Exportar imagen lógica.
5. En el cuadro de diálogo Crear imagen , haga clic en Agregar para especificar un destino de imagen.
Crear imagen.
Toda la información del elemento de evidencia es opcional, pero es útil tener la información fácilmente accesible en caso de que se cuestione
en cualquier momento después de su creación.
8. Especifique la carpeta de destino de la imagen y el nombre del archivo de la imagen (sin extensión)
1=Más rápido, menor compresión (más rápido y también ligeramente más pequeño que un archivo con 0 compresión)
9=Más lento, mayor compresión (archivo más pequeño, más lento de crear).
Los números entre 1 y 9 producen una imagen con distintos niveles de compresión y relación de velocidad.
11. Acepte el Tamaño de fragmento de imagen predeterminado o especifique el Tamaño de fragmento de imagen que se utilizará.
Para guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB.
Para guardar segmentos de imágenes que se puedan grabar en un DVD, especifique 4000 MB.
0 crea una imagen de un solo archivo (no fragmentada). Utilícelo si nunca necesitará utilizar medios más pequeños para almacenar o transportar los
datos de la imagen.
12. Marque Usar cifrado AD si desea aplicar cifrado con contraseña o utilizar un certificado para el cifrado del archivo de imagen AD1 resultante.
13. Marque Filtrar por propietario del archivo para que aparezca una lista de usuarios que se encuentran en la evidencia entre los que puede seleccionar
exportador.
15. En el cuadro de diálogo Elegir propietarios de archivos , marque los nombres de los usuarios y sus SID cuyos archivos
desea exportar.
15a. Si el SID deseado no aparece en la lista, haga clic en Agregar para ingresar uno manualmente.
Copie y pegue el SID desde otra ubicación o escríbalo manualmente. Esto permite al usuario crear una imagen que contiene archivos propiedad del
SID de una cuenta de dominio.
Nota: Los SID/nombres ingresados por el usuario persisten solo mientras esta instancia de Imager esté abierta.
Hashing es el proceso de generar un valor único basado en el contenido de un archivo. Este valor se puede utilizar para demostrar que una copia de un archivo no ha sido
alterada de ninguna manera con respecto al archivo original. Es computacionalmente inviable que un archivo alterado genere el mismo número hash que la versión original
de ese archivo. La función Exportar lista hash de archivos en FTK Imager utiliza los algoritmos hash MD5 y SHA1 para generar números hash para archivos.
2. En la Lista de archivos, seleccione las carpetas o archivos que desea aplicar hash. Si selecciona una carpeta, todos los archivos contenidos en ella
la carpeta y sus subcarpetas tienen hash.
Nota: Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos.
Haga clic en uno, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos.
4. En el cuadro de diálogo Guardar como , escriba un nombre para la lista hash de archivos en el campo Nombre de archivo .
La lista hash se guarda como un archivo de valores separados por comas (*.CSV). Puede ver este archivo en una aplicación de hoja de cálculo,
como Microsoft Excel, o importarlo a FTK como una base de datos KFF.
Al crear o exportar una imagen forense, puede ingresar información y notas sobre la evidencia contenida en la imagen que está creando. Esta información se guarda en la
misma ubicación que el archivo de imagen, con el mismo nombre, pero con extensión .TXT . Por ejemplo, si su imagen se llamara AD1test.ad1, su elemento de evidencia
Nota: Si también elige exportar la información del listado de directorios a un archivo .CSV , para la misma imagen, el nombre del archivo
sería AD1Test.ad1.CSV.
Una descripción única del elemento de evidencia, por ejemplo, "Disco duro del sistema recuperado de la casa del sospechoso".
computadora personal en casa”.
Notas sobre el elemento de evidencia que pueden ser útiles para la investigación.
Haga clic en Archivo > Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado (AD1)
Haga clic derecho en la carpeta y seleccione Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado (AD1) en el menú
rápido.
Importante: Si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar el archivo de imagen completo,
FTK Imager solicitará una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación. Esto funciona, sin
embargo, todos los archivos de imágenes relacionados deben guardarse juntos en la misma carpeta antes de agregarlos a un caso.
7. En el campo Nombre de archivo de imagen , especifique un nombre para el nuevo archivo de imagen, pero no especifique una extensión.
8. En el campo Tamaño del fragmento de imagen , especifique el tamaño máximo en MB para cada fragmento del nuevo archivo de imagen. El tamaño del
fragmento de imagen no tiene límite de tamaño máximo, excepto el espacio disponible en el disco.
Nota: Si desea copiar los archivos de imagen en un CD, especifique un tamaño de fragmento de 650 MB.
Si una imagen grande se divide en varias unidades, se debe verificar manualmente colocando todos los segmentos de la imagen
en el mismo directorio. Para archivos de imagen que quepan en un DVD, especifique un tamaño de segmento de 4 GB.
9. Haga clic en Finalizar para guardar esta configuración y salir al cuadro de diálogo Crear imagen.
9a. Para agregar otro destino de imagen (es decir, una ubicación guardada adicional diferente), haga clic en Agregar y repita
pasos 47.
9b. Para cambiar el destino de una imagen, seleccione el destino a cambiar y haga clic en Editar. 9c. Para eliminar un
Marque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos
originales ha cambiado desde que se copiaron en la imagen.
Marque Crear listados de directorios de todos los archivos de la imagen para registrar los nombres de los archivos y las rutas del contenido
de la imagen. Este registro se guardará en formato Microsoft Excel y, a menudo, funciona como prueba.
Verifique Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento se necesitará para
crear la imagen personalizada antes de comenzar y a medida que avanza la generación de imágenes.
11. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:
La cantidad de datos en MB que se han copiado y la cantidad total a copiar Tiempo transcurrido desde que
12. De forma predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra el
archivos y los hashes (MD5 y SHA1) de su imagen personalizada.
13. Haga clic en Cerrar cuando haya terminado de ver la información hash.
14. Haga clic en Cerrar nuevamente para regresar al cuadro de diálogo Crear imagen. En este punto, la ventana de Estado dirá Imagen creada con
éxito.
15. Haga clic en Resumen de imagen para abrir la ventana Resumen de imagen que muestra el Registro de creación de imágenes.
mostrando la información del elemento de evidencia que ingresó al principio.
16. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen.
Puede exportar una lista de carpetas y el contenido de sus archivos en la unidad o partición seleccionada.
Puede utilizar Imager para descifrar imágenes AD1 que tienen cifrado AccessData.
3. En el cuadro de diálogo Elija un archivo/imagen para cifrar o descifrar , busque la ubicación del archivo cifrado AD1.
imagen, selecciónela y haga clic en Abrir.
4. En el cuadro de diálogo Guardar archivo/imagen descifrado en, busque la ubicación donde desea almacenar el archivo descifrado.
Imagen AD1 y haga clic en Guardar.
5. En el cuadro de diálogo Credenciales de cifrado de AD , ingrese la contraseña para la imagen cifrada y haga clic en Aceptar.
6. Una vez que se complete el proceso de descifrado, en el cuadro de diálogo Descifrado de cifrado de AD , haga clic en Aceptar.
FTK Imager le permite calcular valores hash MD5 y SHA1 para unidades e imágenes completas para verificar que las copias de los elementos de
evidencia no hayan sido alteradas de ninguna manera con respecto a los originales.
La cantidad de datos (en MB) que se han verificado y la cantidad total a verificar
3. Una vez que el proceso de verificación se haya completado con éxito, aparecerá el resumen de resultados de verificación de unidad/imagen.
Aparece una pantalla que muestra lo siguiente:
Si verificó una imagen que contiene su propio valor hash, como una imagen .S01 (SMART) o .E01 (EnCase), también se muestra el valor hash
almacenado dentro de la imagen.
Si el valor hash almacenado en la imagen coincide con el valor hash calculado por FTK Imager Hash SHA1 calculado para la unidad
o imagen
Puede copiar cualquiera de los resultados en la pantalla Verificar resultados (por ejemplo, los valores hash MD5 o SHA1).
Puede guardar un conjunto de carpetas y archivos en un directorio y luego crear imágenes personalizadas de esas carpetas y archivos desde otras
unidades.
Por ejemplo, si realiza el seguimiento de una carpeta de gráficos en varias unidades, creará una imagen de contenido personalizado de esas
carpetas y archivos y la exportará a una unidad. Al crear una imagen de un nuevo dispositivo, deberá importar las carpetas y los archivos desde la unidad,
y Imager creará una imagen de contenido personalizado de esas carpetas y archivos tal como aparecen en el siguiente dispositivo del que imprima.
1. Enumere los archivos y carpetas que se incluirán en el cuadro de diálogo Crear imagen de contenido personalizado .
2. Haga clic en Exportar para guardar las carpetas y archivos en una unidad.
4. Abra el cuadro de diálogo Crear imagen de contenido personalizado y haga clic en Importar.
6. Seleccione los archivos que desea incluir en la nueva imagen y haga clic en Agregar.
7. En el cuadro de diálogo Crear imagen de contenido personalizado , haga clic en Crear imagen.
Este apéndice enumera los sistemas de archivos y formatos de imágenes que reconoce AD Imager.
Sistemas de archivos
La siguiente tabla enumera los sistemas de archivos identificados y analizados por AccessData Imager:
CDFS HFS+
exFAT NTFS _
Ext2FS _ ReiserFS3 _
Ext3FS _ VXFS
Ext4FS _ XFS _
La siguiente tabla enumera los productos de descifrado Whole Disk Encryption (WDE) identificados y analizados por AccessData Imager
(todos estos requieren que el investigador ingrese la contraseña; los productos forenses de AccessData no los "descifran"):
JFS _ LVM
VMware _ LVM2
UFS1 _ UFS2 _
La siguiente tabla enumera los formatos de imagen de disco duro identificados y analizados por AccessData Imager:
Apéndice A Sistemas de archivos y formatos de imágenes de unidades Formatos de imagen de disco duro | 58
Machine Translated by Google
La siguiente tabla enumera los formatos de imágenes de CD y DVD analizados y identificados por AccessData Imager:
DVDRW DVDVFR
SVCD HD DVD
HD DVDRW DVDRAM,
CDROM XA CDMRW,
DVD +VR DVD +R
DVDVRW BDROM
DVDROM VDR
BDR BDRE DL
información adicional sobre el uso del dispositivo Logicube Forensic MD5, incluidas explicaciones de opciones específicas, consulte la documentación de
2. Inicie la cámara FTK. El menú Herramientas se abre sólo si Logicube Forensic MD5 está conectado a su
computadora y enciéndalo antes de iniciar FTK Imager.
Crear un archivo de imagen de una unidad externa conectada a Logicube Forensic MD5 Formatear la unidad de
Acceda a la unidad interna Logicube Forensic MD5 como una unidad USB
Acceda a la unidad flash compacta Logicube Forensic MD5 como una unidad USB
5. Para salir del cuadro de diálogo de Logicube MD5, haga clic en Aceptar.
2. En la lista desplegable Tamaño de archivo, seleccione el tamaño máximo para cada fragmento del archivo de imagen.
3. En el campo Nombre de archivo, escriba un nombre para el archivo de imagen, pero no especifique una extensión de archivo. Los nombres de archivos deben
tener ocho caracteres o menos y únicamente caracteres alfanuméricos.
4. En la lista desplegable Modo de verificación , seleccione el tipo de verificación de datos que desea utilizar.
6. Haga clic en Aceptar para comenzar el proceso de creación de imágenes. La información de progreso se muestra en los parámetros de imagen.
cuadro de diálogo e incluye lo siguiente:
2. Conecte el cable USB desde la base del Logicube Forensic MD5 a su puerto USB.
Windows asigna una letra de unidad a la unidad interna del Forensic MD5, lo que le permite acceder a ella como una unidad lógica.
3. Cuando termine, utilice la función Quitar hardware con seguridad de Windows para desconectar la unidad.
4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para sacar el Logicube Forensic MD5 del modo USB.
FTK Imager también le permite acceder a la unidad flash compacta Logicube Forensic MD5 a través de una conexión USB.
Para acceder a la unidad flash compacta del Forensic MD5 como una unidad USB
1. En el cuadro de diálogo Logicube MD5, haga clic en USB Compact Flash. El Logicube Forensic MD5 cambia al modo USB.
2. Conecte el cable USB desde la base del Logicube Forensic MD5 a su puerto USB. Windows asigna una letra de unidad a la unidad flash
compacta del Forensic MD5, lo que le permite acceder a ella como una unidad lógica.
3. Cuando termine, utilice la función Quitar hardware con seguridad de Windows para desconectar la unidad.
4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para sacar el Logicube Forensic MD5 del modo USB.
Seleccionar fuente
Dispositivo Fernico
3. En el campo Número de copias , escriba el número de copias que se colocarán en los discos.
4. El dispositivo Fernico generará imágenes de todas las subcarpetas de forma predeterminada. Seleccione el botón de opción No si no desea sub
carpetas fotografiadas.
5. Escriba un destino para la imagen en el campo Ruta de la carpeta de imágenes o utilice el botón Examinar .
6. Escriba un nombre para la carpeta de imágenes en el campo Nombre de la carpeta del archivo de imagen.
7. Haga clic en Finalizar. Se abrirá una ventana de DOS que muestra el progreso de la imagen.
Para obtener más información sobre el sistema Fernico FAR, consulte la documentación de Fernico que vino con su sistema Fernico FAR.