FTKImager UserGuide Español

Machine Translated by Google
Generador de imágenes
Guía del usuario
| 1
AccessData Legal y Empresa

Información
AccesoDatos Información Legal

Fecha del documento: 10 de septiembre de 2021
Información legal
©2019 AccessData Group, Inc. Todos los derechos reservados. Ninguna parte de esta publicación puede reproducirse, fotocopiarse,
almacenarse en un sistema de recuperación ni transmitirse sin el consentimiento expreso por escrito del editor.
AccessData Group, Inc. no hace ninguna declaración ni garantía con respecto al contenido o el uso de esta documentación, y
específicamente renuncia a cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier propósito en particular.
Además, AccessData Group, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido, en cualquier
momento, sin obligación de notificar a ninguna persona o entidad sobre dichas revisiones o cambios.
Además, AccessData Group, Inc. no hace declaraciones ni ofrece garantías con respecto a ningún software y específicamente
renuncia a cualquier garantía expresa o implícita de comerciabilidad o idoneidad para cualquier propósito en particular.
Además, AccessData Group, Inc. se reserva el derecho de realizar cambios en todas y cada una de las partes del software
AccessData, en cualquier momento, sin obligación de notificar a ninguna persona o entidad sobre dichos cambios.
No puede exportar ni reexportar este producto en violación de las leyes o regulaciones aplicables, incluidas, entre otras, las regulaciones
de exportación de EE. UU. o las leyes del país en el que reside.
Exterro Inc.
4145 SW Watson Ave.,

suite 400,
castor,
O 97005 EE. UU.
AccessData Marcas comerciales e información de derechos de autor
Las siguientes son marcas comerciales registradas o marcas comerciales de AccessData Group, Inc. Todas las demás marcas
comerciales son propiedad de sus respectivos dueños.
.
AccesoDatos® Suma AD® Examinador de teléfono móvil Plus®
Examinador certificado de AccessData® (ACE®) Discovery Cracker® MPE+ Velocitor™
Datos de acceso AD™ Ataque de red distribuida® Kit de herramientas de recuperación de contraseña®
AD eDiscovery® ADN® PRTK®
ADRTK™ Kit de herramientas forenses® (FTK®) Visor de registro®
LeyDrop® Suma®
|2
Un símbolo de marca registrada (®, ™, etc.) indica una marca comercial de AccessData Group, Inc. Con pocas excepciones, y a menos que
se indique lo contrario, todos los nombres de productos de terceros se escriben y escriben en mayúscula de la misma manera que el propietario
escribe y escribe en mayúscula el nombre de su producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los titulares
de la marca comercial y de los derechos de autor. AccessData no asume ninguna responsabilidad por la función o el rendimiento de
productos de terceros.
Reconocimientos de terceros:
AFF® y AFFLIB® Copyright® 2005, 2006, 2007, 2008 Simson L. Garfinkel y Basis Technology
Corp. Todos los derechos reservados.
Copyright © 2005 2009 Ayende Rahien
FreeBSD ® Copyright 19922011. El proyecto FreeBSD.
Licencia BSD:
Copyright (c) 20092011, Andriy Syrov. Reservados todos los derechos. Se permite la redistribución y el uso en formato fuente y binario,
con o sin modificación, siempre que se cumplan las siguientes condiciones: Las redistribuciones del código fuente deben
conservar el aviso de derechos de autor anterior, esta lista de condiciones y la siguiente exención de responsabilidad; Las
redistribuciones en formato binario deben reproducir el aviso de derechos de autor anterior, esta lista de condiciones y la siguiente exención
de responsabilidad en la documentación y/u otros materiales proporcionados con la distribución; Ni el nombre de Andriy Syrov ni los
nombres de sus colaboradores pueden utilizarse para respaldar o promocionar productos derivados de este software sin un permiso previo
específico por escrito. ESTE SOFTWARE ES PROPORCIONADO POR LOS TITULARES DE DERECHOS DE AUTOR Y
COLABORADORES "TAL CUAL" Y SE RENUNCIA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUYENDO, PERO NO
LIMITADO A, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD E IDONEIDAD PARA UN PROPÓSITO PARTICULAR. EN
NINGÚN CASO EL PROPIETARIO DE LOS DERECHOS DE AUTOR O LOS COLABORADORES SERÁN RESPONSABLES
DE NINGÚN DAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O CONSECUENTE (INCLUYENDO, PERO NO
LIMITADO A, LA ADQUISICIÓN DE BIENES O SERVICIOS SUSTITUTOS; PÉRDIDA DE USO, DATOS O GANANCIAS; O
INTERRUPCIÓN COMERCIAL) CUALQUIER CAUSA Y EN CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA POR CONTRATO,
RESPONSABILIDAD ESTRICTA O AGRAVIO (INCLUYENDO NEGLIGENCIA O DE OTRA MANERA) QUE SURJA DE
CUALQUIER MANERA DEL USO DE ESTE SOFTWARE, INCLUSO SI SE ADVIERTE DE LA POSIBILIDAD DE DICHO DAÑO.
Licencia WordNet:
Esta licencia está disponible como archivo LICENCIA en cualquier versión descargada de WordNet.
Licencia WordNet 3.0: (Descargar)
WordNet Versión 3.0 Este software y base de datos se los proporciona a usted, el LICENCIATARIO, la Universidad de Princeton bajo la
siguiente licencia. Al obtener, usar y/o copiar este software y base de datos, usted acepta que ha leído, comprendido y cumplirá con
estos términos y condiciones.: Permiso para usar, copiar, modificar y distribuir este software y base de datos y su documentación para
cualquier Por el presente se concede este propósito y sin cargo ni regalías, siempre que acepte cumplir con el siguiente aviso y declaraciones
de derechos de autor, incluida la exención de responsabilidad, y que los mismos aparezcan en TODAS las copias del software, la base
de datos y la documentación, incluidas las modificaciones que realice para uso interno o para distribución.
WordNet 3.0 Copyright 2006 de la Universidad de Princeton. Reservados todos los derechos. ESTE SOFTWARE Y BASE DE
DATOS SE PROPORCIONAN "TAL CUAL" Y LA UNIVERSIDAD DE PRINCETON NO HACE DECLARACIONES NI GARANTÍAS,
EXPRESAS O IMPLÍCITAS. A MODO DE EJEMPLO, PERO SIN LIMITACIÓN, LA UNIVERSIDAD DE PRINCETON NO
OFRECE DECLARACIONES NI GARANTÍAS DE COMERCIABILIDAD O IDONEIDAD PARA NINGÚN PROPÓSITO PARTICULAR
O DE QUE EL USO DEL SOFTWARE, BASE DE DATOS O DOCUMENTACIÓN CON LICENCIA NO INFRINGIRÁ NINGUNA PATENTE,
DERECHOS DE AUTOR, MARCAS COMERCIALES O OTROS DERECHOS. El nombre de Princeton University o Princeton no se puede
utilizar en publicidad o publicidad relacionada con la distribución del software y/o la base de datos.
La propiedad de los derechos de autor de este software, base de datos y cualquier documentación asociada permanecerá en todo momento
en manos de la Universidad de Princeton y el LICENCIATARIO se compromete a preservarlos.
Acuerdo de licencia de desarrollador de XMLmind XSLFO Converter Professional Edition:

El Licenciatario
de distribución no puede distribuir con la Aplicación ningún componente del Software que no sea la biblioteca de clases binarias (xfc.jar)
para la versión JavaTM y el archivo de la Biblioteca de vínculos dinámicos (xfc.dll) para la versión .NET.
El licenciatario deberá incluir el siguiente aviso de copyright: "XMLmind XSLFO Converter Copyright © 2002
|3
2009 Pixware SARL", con cada copia de la Aplicación. Este aviso de derechos de autor puede colocarse junto con los avisos
de derechos de autor del propio Licenciatario, o en cualquier ubicación razonablemente visible en el embalaje o la
documentación de la Aplicación.
El Licenciatario puede usar, distribuir, licenciar y vender la Aplicación sin cargos adicionales adeudados al Licenciante,
sujeto a todas las condiciones de este Acuerdo de Licencia.
"Amazon Web Services", "AWS" "AWS Aurora" "AWS Relational Database Service" son marcas comerciales de
Amazon.com, Inc. o sus afiliados en los Estados Unidos y/u otros países y se utiliza con permiso
https://aws.amazon.com/aispl/trademarkguidelines/.
Apache(r), Apache Cassandra y el logotipo de la llama son marcas registradas de Apache Software
Fundación en Estados Unidos y/u otros países. Sin respaldo por parte del software Apache
La fundación está implícita en el uso de estas marcas.
Información de la empresa
Convenciones de documentación
En la documentación de AccessData, se utilizan varias variaciones de texto para indicar significados o acciones. Por ejemplo,
se utiliza un símbolo mayor que (>) para separar acciones dentro de un paso. Cuando se debe escribir una entrada usando el teclado,
los datos variables se separan usando el formato [datos_variables] . Los pasos que requieren que el usuario haga clic en un botón o
icono se indican con texto en negrita. Esta fuente en cursiva indica una etiqueta o elemento no interactivo en la interfaz de usuario.
Un símbolo de marca registrada (®, ™, etc.) indica una marca comercial de AccessData Group, Inc. A menos que se indique lo contrario, todos los nombres
de productos de terceros se escriben y escriben en mayúscula de la misma manera que el propietario escribe y escribe en mayúscula el nombre de su
producto. Las marcas comerciales y los derechos de autor de terceros son propiedad de los titulares de la marca comercial y de los derechos de autor.
AccessData no asume ninguna responsabilidad por la función o el rendimiento de productos de terceros.
Registro
El registro del producto AccessData se realiza en AccessData después de realizar la compra y antes de enviar el producto. Las licencias
están vinculadas a un dispositivo de seguridad USB o a un CmStick virtual, según su compra.
Suscripciones
AccessData proporciona una suscripción de licencia de un año con todas las compras de productos nuevos. La suscripción le permite
acceder a soporte técnico y descargar e instalar las últimas versiones de sus productos con licencia durante el período de licencia
activa.
Después del período de licencia inicial, se requiere una renovación de la suscripción anualmente para obtener soporte continuo y
actualizar sus productos. Puede renovar sus suscripciones a través de su representante de ventas de AccessData.
Utilice License Manager para ver su información de registro actual, buscar actualizaciones de productos y descargar las
últimas versiones del producto, donde estén disponibles para descargar. También puede visitar nuestro sitio web,
Visite www.accessdata.com en cualquier momento para encontrar las últimas versiones de nuestros productos.
Para obtener más información, consulte Gestión de licencias en el manual de su producto o en el sitio web de AccessData.
|4
Información de contacto de AccessData
Su representante de ventas de AccessData es su contacto principal con AccessData. Además, a continuación se enumeran el número
de teléfono y la dirección postal general de AccessData, y los números de teléfono para comunicarse con los departamentos
individuales.
Dirección postal y números de teléfono generales
Puede ponerse en contacto con AccessData de las siguientes maneras:
Dirección postal, horario y números de teléfono del departamento de AccessData
Sedes corporativas: Exterro Inc.
4145 SW Watson Ave., Suite

400,
castor,
O 97005 EE. UU.
Voz: 5035015100; Fax: 18664087310
Horario Corporativo General: De lunes a viernes, de 8:00 a. m. a 5:00 p. m. (MST)

AccessData está cerrado los días festivos federales de EE. UU.
Apoyo técnico
El soporte técnico está disponible para todas las soluciones AccessData con licencia actual.
Puede ponerse en contacto con el servicio de atención al cliente y técnico de AccessData de las siguientes maneras:
Portal de soporte de AccessData
Puede acceder al chat, la base de conocimientos, los foros de discusión, los documentos técnicos y más a través de
Portal de soporte de AccessData:
https://support.accessdata.com
Soporte de correo electrónico:
soporte@exterro.com
|5
Horario de soporte: de lunes a viernes, de 7:00 a. m. a 6:00 p. m. (MST), excepto feriados corporativos.
NOTA: El soporte de emergencia está disponible los fines de semana:
Sábado y domingo de 8:00 a. m. a 6:00 p. m. MST a través de support@exterro.com
Documentación
Envíe un correo electrónico a AccessData sobre cualquier error tipográfico, inexactitud u otros problemas que encuentre con la documentación:
documentación@exterro.com
Servicios profesionales
El personal de AccessData Professional Services cuenta con una amplia y variada experiencia en investigaciones digitales que
incluyen aplicación de la ley, contrainteligencia y seguridad corporativa. Su experiencia colectiva en el trabajo con entidades
gubernamentales y comerciales, así como en la prestación de testimonios de expertos, les permite ofrecer una gama completa de servicios
informáticos forenses y de descubrimiento electrónico.
En este momento, los Servicios profesionales brindan soporte para las ventas, instalación, capacitación y utilización de Summation, eDiscovery,
FTK, FTK Central, FTK Plus, FTK Pro, Enterprise y Lab. Ellos podrán ayudarle a resolver cualquier duda o problema que pueda tener respecto a
estas soluciones.
Información de contacto para servicios profesionales
Comuníquese con AccessData Professional Services de las siguientes maneras:
Información de contacto de servicios profesionales de AccessData
Metodo de contacto Número o dirección
Teléfono América del Norte: 5035015100
Correo electrónico
ventas@exterro.com
|6
|7
Tabla de contenido
AccessData Información Legal y de la Empresa . . . . . . . . . . . . . . . . . . . . . . . . . .2
Acceso a Datos Información Legal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
Información de la empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
Tabla de contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Capítulo 1 Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Acerca del generador de imágenes FTK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Comprender la compatibilidad de la versión del archivo de imagen AD1 . . . . . . . . . . . . . . . . . 11
Acerca de los archivos de imagen V3 y V4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Conversión de archivos de imagen v4 a v3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Determinar la versión de un archivo de imagen . . . . . . . . . . . . . . . . . . . . . .12
Capítulo 2 Instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Instalación de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Instalación local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Instalación en un dispositivo portátil. . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Ejecutando FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Opciones de línea de comando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Capítulo 3 La interfaz de usuario de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . .dieciséis
La interfaz de usuario de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dieciséis
Barra de menús. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dieciséis
Barra de herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

Ver paneles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Capítulo 4 Trabajar con evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Vista previa de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Modos de vista previa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Agregar elementos de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Agregar un elemento de evidencia único . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Agregar todos los dispositivos conectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

Montaje de imágenes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Eliminación de pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Eliminación de un solo elemento de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . .30

Eliminación de todos los elementos de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Tabla de contenido |8
Obtención de archivos de registro protegidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Adquirir archivos de registro protegidos en una máquina local. . . . . . . . . . . . . . .31

Acceder a archivos de Registro desde una imagen de unidad . . . . . . . . . . . . . . . . . . . . .31
Uso de imágenes cifradas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
Detección de cifrado EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

Cifrado de anuncios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Cifrado AFF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Capítulo 5 Archivos de salida de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Creación de imágenes forenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Imágenes de unidades o particiones completas . . . . . . . . . . . . . . . . . . . . . . . .36

Creación de imágenes de contenido personalizado . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Exportación desde FTK Imager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Exportación de imágenes forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

Exportación de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Exportando por SID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Exportación de listas hash de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
Exportación de listados de directorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Descifrando imágenes AD1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Verificación de unidades e imágenes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Importación de conjuntos de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
Apéndice A Sistemas de archivos y formatos de imágenes de unidades. . . . . . . . . . . . . . . . . . . . . .57
Sistemas de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

Todo el disco cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Formatos de imagen del disco duro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Formatos de imagen de CD y DVD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
Apéndice B Uso de un dispositivo Logicube . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
Integración de un Logicube Forensic MD5 . . . . . . . . . . . . . . . . . . . . . . . . . .60
Creación de un archivo de imagen con Logicube Forensic MD5 . . . . . . . . . . . . . .60

Formateo del disco duro interno Logicube Forensic MD5 . . . . . . . . . . . .61
Uso de la unidad interna Logicube Forensic MD5 como unidad USB . . . . . . . . .61
Acceso a la unidad flash compacta Logicube Forensic MD5 como unidad USB . .61
Visualización de la información del hardware Logicube Forensic MD5 . . .61 . . . . . . . . .
Apéndice C Uso de un dispositivo Fernico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
Integrando un sistema Fernico FAR . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
Accediendo al sistema Fernico FAR desde Imager . . . . . . . . . . . . . . . . . .62
Tabla de contenido |9
Capítulo 1 Descripción general
Acerca de FTK Imager
FTK® Imager es una herramienta de imágenes y vista previa de datos que le permite evaluar rápidamente evidencia electrónica para
determinar si se justifica un análisis adicional con una herramienta forense como AccessData® Forensic Toolkit® (FTK). FTK Imager
también puede crear copias perfectas (imágenes forenses) de datos informáticos sin realizar cambios en la evidencia original.
Con FTK Imager, usted puede:
Cree imágenes forenses de discos duros locales, disquetes, discos Zip, CD y DVD, carpetas completas o archivos individuales
desde varios lugares dentro del medio.
Vista previa de archivos y carpetas en discos duros locales, unidades de red, disquetes, discos Zip, CD y DVD Vista previa del
contenido de imágenes forenses almacenadas en la máquina local o en una unidad de red Montar una imagen
para una vista de solo lectura que aprovecha el Explorador de Windows para ver el contenido de la imagen exactamente como lo
vio el usuario en la unidad original.
Exportar archivos y carpetas de imágenes forenses.
Ver y recuperar archivos que se eliminaron de la Papelera de reciclaje, pero que aún no se han sobrescrito en
el disco.
Cree hashes de archivos utilizando cualquiera de las dos funciones hash disponibles en FTK Imager: Message Digest 5
(MD5) y algoritmo Hash seguro (SHA1).
Genere informes hash para archivos e imágenes de disco normales (incluidos archivos dentro de imágenes de disco) que luego
podrá utilizar como punto de referencia para demostrar la integridad de las pruebas de su caso. Cuando se crea una imagen de
una unidad completa, se puede utilizar un hash generado por FTK Imager para verificar que el hash de la imagen y el hash de la
unidad coincidan después de crear la imagen, y que la imagen no haya cambiado desde su adquisición.
Importante: cuando utilice FTK Imager para crear una imagen forense de un disco duro u otro dispositivo electrónico, asegúrese
de utilizar un bloqueador de escritura basado en hardware. Esto garantiza que su sistema operativo no altere
la unidad de origen original cuando la conecte a su computadora.
Para evitar la manipulación accidental o intencional de la evidencia original, FTK Imager crea una imagen duplicada bit a bit del
medio. La imagen forense es idéntica en todos los aspectos a la original, incluida la holgura del archivo y el espacio no asignado o el
espacio libre en la unidad. Esto le permite almacenar los medios originales, a salvo de daños mientras continúa la investigación utilizando
la imagen.
Después de crear una imagen de los datos, puede utilizar AccessData Forensic Toolkit (FTK) para realizar un examen forense
completo y exhaustivo y crear un informe de sus hallazgos.
Capítulo 1 Descripción general Acerca del generador de imágenes FTK | 10

Comprender la compatibilidad de la versión del archivo de imagen AD1
Acerca de los archivos de imagen V3 y V4
AccessData ha producido un nuevo formato de imagen AD1v4 que es diferente al formato AD1v3 anterior. Las versiones anteriores de los productos
AccessData no pueden reconocer el nuevo formato v4.
Como resultado, hay dos versiones de Imager disponibles para descargar y usar:
Generador de imágenes 3.4.0
Imager 3.4.2 (y posteriores)
Utilice la siguiente tabla para comprender qué productos pueden utilizar qué formato AD1.
Versiones de imagen AD1 y aplicaciones compatibles
Imager 3.4.1 y posteriores FTK Si crea un AD1 usando uno de estos productos, se crea solo en el nuevo formato v4.
6.0 y posteriores
Suma 6.0 y posteriores Estos productos pueden leer archivos de imagen AD1v3 o AD1v4.
eDiscovery 6.0 y posteriores
Esta versión puede leer archivos AD1v3 o AD1v4 pero solo crea
Archivos AD1v3.
Generador de imágenes 3.4.0

Utilice esta versión cuando trabaje con archivos AD1 para las versiones 5.x de FTK, Summation o
eDiscovery
Puede utilizar esta versión para abrir un archivo AD1v4 y guardarlo como un archivo AD1v3. (Vea abajo)
FTK 5.x y anteriores Estos productos solo pueden leer archivos AD1v3.
Suma 5.x y versiones anteriores Estos productos solo pueden crear archivos AD1v3.
eDiscovery 5.x y versiones anteriores
Imager 3.3.x y versiones anteriores
Conversión de archivos de imagen v4 a v3
Es importante tener en cuenta que los archivos AD1 creados en las versiones 6.x de FTK, Summation o eDiscovery tienen el formato v4 y no pueden leerse en
las versiones 5.x y anteriores de esos productos, ni tampoco en Imager 3.3.x y anteriores. El uso de una versión anterior de Imager generará el error "Error en
la detección de imagen".
Sin embargo, puede abrir un archivo v4 en Imager 3.4.0 (solamente) y guardarlo como un archivo v3.
Para utilizar Imager 3.4.0 para convertir un archivo v4 en un archivo v3, tenga en cuenta lo siguiente:
Los hash de verificación serán diferentes porque un AD1 v4 incluye tablas GUID que se aplican hash.
Para evitar que se cambie el nombre del nodo de nivel superior (sistema de archivos), se debe crear el AD1 haciendo lo siguiente:
siguiente:
Correcto: Archivo > Crear imagen de disco (siga el asistente)
Incorrecto: agregue AD1, expanda, haga clic derecho en el nodo del sistema de archivos en el árbol, exporte imagen lógica (AD1)
Nota: Nota: Una imagen AD1 no es realmente una imagen de disco aunque la opción que utilice sea Crear disco
Imagen.
Capítulo 1 Descripción general Comprender la compatibilidad de la versión del archivo de imagen AD1 | 11
Determinar la versión de un archivo de imagen

Se puede utilizar un editor hexadecimal para determinar rápidamente si su AD1 es v3 o v4.
Capítulo 1 Descripción general Comprender la compatibilidad de la versión del archivo de imagen AD1 | 12
Capítulo 2 Instalación
Instalación de la cámara FTK
FTK Imager se puede instalar en la computadora donde se utilizará, o se puede ejecutar desde un dispositivo portátil, como una memoria USB
conectada a una máquina en el campo, por lo que no es necesario instalarlo en la computadora de un sospechoso en para capturar
su imagen.
A partir de la versión 3.4.2, Imager es una aplicación de 64 bits.
Instalación local
Instale FTK Imager en un disco duro local cuando desee conectar hardware de evidencia a esa computadora para obtener una vista
previa y obtener imágenes de la evidencia.
Para instalar FTK Imager

1. Busque el archivo de instalación de FTK Imager, ya sea desde un disco de instalación o desde el archivo guardado descargado de
http://accessdata.com/support/adownloads. El siguiente es un ejemplo de lo que encontrará en el sitio web; sin embargo, el
número de versión y su número de hash MD5 cambiarán.
Sitio web de AccessData: Descargas de generadores de imágenes
2. En Utilidades, busque FTK Imager. Haga clic en Descargar para descargar la última versión publicada.
3. Haga clic en Guardar archivo.
4. Busque la ubicación donde desea guardar el archivo de instalación y haga clic en Guardar.
5. Cuando se complete la descarga, busque la ubicación donde se guardó.
6. Ejecute el archivo de instalación haciendo doble clic en él.
Capítulo 2 Instalación Instalación de FTK Imager | 13

7. En la pantalla de bienvenida , haga clic en Siguiente.
8. Lea y acepte el Acuerdo de licencia, luego haga clic en Siguiente.
9. Haga una de las siguientes cosas:
Acepte la ubicación de instalación predeterminada.

Busque una carpeta de destino diferente.
10. Haga clic en Siguiente.
11. En la pantalla Listo para instalar , haga clic en Siguiente.
12. Haga una de las siguientes cosas:
Marque la casilla Iniciar AccessData FTK Imager para forzar que Imager se ejecute inmediatamente después de finalizar la instalación.
completo.
Deje la casilla sin marcar para ejecutar el programa recién instalado más adelante.
Nota: En MS Windows Server 2008R2 ejecutando Control de cuentas de usuario (UAC), marcando la casilla Iniciar
no hace nada. Debe ejecutar FTK Imager manualmente después de la instalación.
13. Haga clic en Finalizar para completar la instalación y cerrar el asistente.
Instalación en un dispositivo portátil

Hay dos formas de utilizar Imager en un dispositivo portátil:
Copie los archivos de FTK Imager Lite directamente al dispositivo, evitando instalarlos primero en una computadora local.
Descomprima los archivos descargados en la unidad portátil y ejecute el archivo desde allí.
El programa FTK Imager Lite tiene menos archivos (solo los esenciales) y no requiere una instalación por separado, aunque debes
descomprimir el archivo descargado para extraer su contenido en una carpeta antes de usarlo.
Ejecute la instalación en una computadora local, luego copie la carpeta FTK Imager desde [Unidad]:\Program Files\AccessData\FTK Imager
a la memoria USB u otro dispositivo portátil.
Una vez que los archivos del programa FTK Imager se guardan en el medio portátil, ese medio se puede conectar a cualquier computadora que
ejecute un sistema operativo Windows, y el archivo de programa, FTK
Imager.exe , se puede ejecutar desde el dispositivo de medio portátil.
Con cualquiera de los métodos, deberá dejar disponible una unidad de destino para guardar los datos de la imagen y aún deberá utilizar un
bloqueador de escritura confiable.
Capítulo 2 Instalación Instalación de FTK Imager | 14

Ejecutando el generador de imágenes FTK
FTK Imager se puede ejecutar de varias maneras:
Haga doble clic en el icono del escritorio. .
Ejecute el archivo FTK Imager.exe desde una memoria USB.
Haga clic en Inicio > Ejecutar > Examinar. Busque y seleccione FTK Imager.exe en la ubicación en la que se instaló.
y agregue un modificador de línea de comando como se explica a continuación.
Opciones de línea de comando
FTK Imager admite tres opciones de línea de comando:
/CreateDirListing Crea un
archivo de listado de directorios en la carpeta desde donde se ejecuta FTK Imager.exe .
Muestra:
"ftk imager.exe" /CreateDirListing e:\precious.E01
/VerificarImagen
Verifica una imagen cuando especifica la ruta de la imagen y el nombre del archivo.
Muestra:
"FTK Imager.exe" /VerifyImage E:\precious.E01
/Habilitar registro de depuración
Permite iniciar sesión en el archivo FTKImageDebug.log creado en la carpeta desde la que ejecuta FTK Imager.exe .
Muestra:
"FTK Imager.exe" /EnableDebugLog
Nota: Si no especifica una imagen al utilizar las opciones /CreateDirListing o /VerifyImage ,

aparece un mensaje de error que indica que no se encontró ninguna imagen.
Para ejecutar FTK Imager usando las opciones de línea de comando
1. Cierre FTK Imager, luego desde el menú Inicio de Windows, haga clic en Ejecutar.
2. En el cuadro de texto Ejecutar , busque la ruta y la carpeta que contiene FTK Imager.exe y luego haga clic en Abrir.
3. Al final de la línea de texto resultante:
3a. Añade un espacio antes de la opción que deseas utilizar.
3b. Escriba la opción a utilizar. 3c.
Añade otro espacio y los datos correspondientes.

3d. Haga clic en Aceptar.
Capítulo 2 Instalación Ejecutando FTK Imager | 15

Capítulo 3 La interfaz de usuario de FTK Imager
Este capítulo analiza la interfaz de usuario y las opciones de FTK Imager.
La interfaz de usuario de la cámara FTK
La interfaz de usuario de FTK Imager está dividida en varios paneles; cada uno es acoplable. El árbol de pruebas, la lista de archivos, las propiedades, el
intérprete de valores hexadecimales, los paneles de fuentes de contenido personalizado , el menú y la barra de herramientas se pueden desacoplar y cambiar
de tamaño para adaptarse mejor a sus necesidades. Cada uno se puede volver a acoplar individualmente o puede restablecer la vista completa para la
siguiente investigación.
Para desacoplar un panel o barra de herramientas
Selecciónelo y haga clic y arrastre su barra de título a la ubicación deseada.
Para volver a acoplar un panel o barra de herramientas
Arrastre el panel dentro de la ventana de FTK Imager hasta que una forma de contorno encaje en su lugar en el lugar deseado.
posición, luego suelte el panel.
Para devolver todos los paneles a sus posiciones originales
Seleccione Ver > Restablecer ventanas acopladas.
Barra de menús
Utilice la barra de menú para acceder a todas las funciones de FTK Imager. La barra de menú está siempre visible y accesible.
Hay cuatro elementos en la barra de menú. Se analizan en detalle en esta sección.
Menú Archivo
El menú Archivo proporciona acceso a todas las funciones que puede utilizar desde la barra de herramientas.
El menú Archivo
Capítulo 3 La interfaz de usuario de FTK Imager La interfaz de usuario de la cámara FTK | dieciséis
Consulte Barra de herramientas (página 18).
Ver menú
El menú Ver le permite personalizar la apariencia de FTK Imager, incluyendo mostrar u ocultar paneles y barras de control.
El menú Ver
Capítulo 3 La interfaz de usuario de FTK Imager La interfaz de usuario de la cámara FTK | 17

Menú de modo
El menú Modo le permite seleccionar el modo de vista previa del Visor. Cada uno de los modos de visualización se
analiza con más detalle en el Capítulo 3. Consulte Modos de vista previa (página 23).
El menú de modo
Menú de ayuda
El menú Ayuda proporciona acceso a la Guía del usuario de FTK Imager y a información sobre la versión del programa, etc.
El menú de ayuda
Barra de herramientas
La barra de herramientas contiene todas las herramientas, funciones o características a las que se puede acceder desde el menú Archivo, excepto Salir.
La siguiente tabla proporciona información básica sobre cada característica.
Componentes de la barra de herramientas de FTK Imager
Botón Descripción
Agregar elemento de evidencia
Agregar todos los dispositivos conectados
Montaje de imágenes. Abre el cuadro de diálogo Mapear imagen a unidad.
Eliminar elemento de evidencia
Eliminar todos los elementos de evidencia
Crear imagen de disco
Exportar imagen de disco

Componentes de la barra de herramientas de FTK Imager (continuación)
Botón Descripción
Exportar imagen lógica (AD1)
Agregar a imagen de contenido personalizado (AD1)
Crear imagen de contenido personalizado (AD1)
Verificar unidad/imagen
Capturar memoria
MetaCarve (escaneo profundo)
Obtener archivos protegidos
Detectar cifrado EFS
Exportar archivos
Exportar lista de hash de archivos
Listado de directorio de exportación
Elija IE, texto o visor hexadecimal automáticamente
Ver archivos en texto plano
Ver archivos en formato hexadecimal
Abra la guía del usuario de FTK Imager
Mostrar u ocultar paneles. Elija mostrar u ocultar la barra de herramientas, el árbol de pruebas, la lista de archivos,
las propiedades, el intérprete de valores hexadecimales y/o los paneles de fuentes de contenido personalizado.
Ver paneles
Hay varios paneles de vista básicos en FTK Imager. Se describen en esta sección.

Panel de árbol de evidencia
El panel Árbol de evidencia (panel superior izquierdo) muestra elementos de evidencia agregados en un árbol jerárquico. En la raíz del árbol se encuentran
las fuentes de evidencia seleccionadas. Debajo de cada fuente se enumeran las carpetas y archivos que contiene.
Haga clic en el signo más junto a una fuente o carpeta para expandir la vista y mostrar sus subcarpetas.
Haga clic en el signo menos junto a una fuente o carpeta expandida para ocultar su contenido.
Cuando selecciona un objeto en el Árbol de evidencia, su contenido se muestra en la Lista de archivos. Las propiedades del objeto seleccionado, como el
tipo de objeto, la ubicación en el medio de almacenamiento y el tamaño, se muestran en Propiedades
cristal. Todos los datos contenidos en el objeto seleccionado se muestran en el panel Visor .
Panel de lista de archivos
El panel Lista de archivos muestra los archivos y carpetas contenidos en cualquier elemento actualmente seleccionado en el Árbol de evidencia. Cambia a
medida que cambia su selección.
Panel combinado
El panel inferior izquierdo de FTK Imager tiene tres pestañas: Propiedades, Intérprete de valores hexadecimales y Fuentes de contenido personalizadas.
Cada uno se describe aquí.
Propiedades
La pestaña Propiedades muestra una variedad de información sobre el objeto seleccionado actualmente en el Árbol de evidencia o en la Lista de archivos.
La pestaña Propiedades
Las propiedades incluyen información como el tipo de objeto, el tamaño, la ubicación en el medio de almacenamiento, indicadores y marcas de tiempo.

Intérprete de valores hexadecimales
La pestaña Intérprete de valores hexadecimales convierte los valores hexadecimales seleccionados en el Visor en números enteros decimales y posibles
valores de fecha y hora.
La pestaña Intérprete de valores hexadecimales
Para convertir valores hexadecimales, resalte de uno a ocho bytes adyacentes de código hexadecimal en el Visor. Una variedad de posibles
interpretaciones del código seleccionado se muestran automáticamente en el intérprete de valores hexadecimales.
Esta característica es más útil si está familiarizado con la estructura del código interno de diferentes tipos de archivos y sabe exactamente dónde
buscar patrones de datos específicos o información de fecha y hora.
Fuentes de contenido personalizado
Cada vez que agrega un elemento para incluirlo en una imagen de contenido personalizado , se enumera aquí.
La pestaña Fuentes de contenido personalizado
Puede agregar, editar y eliminar una o todas las fuentes y crear la imagen desde aquí.
Haga clic en Editar para abrir el cuadro de diálogo Opciones de comodín .

Opciones de comodín
Para obtener más información, consulte Creación de imágenes de contenido personalizado (página 43).
Espectador
El Visor muestra el contenido del archivo seleccionado actualmente, según el modo de vista previa seleccionado: Natural, Texto o Hexadecimal. Consulte Modos
de vista previa (página 23) para obtener más información.
Se puede desplazar el contenido para que pueda ver el contenido completo del archivo. Además, con el modo hexadecimal seleccionado y el intérprete de valores
hexadecimales del panel combinado abierto, la interpretación hexadecimal del texto seleccionado en el panel Visor se puede ver simultáneamente.

Capítulo 4 Trabajar con evidencia
Utilice FTK Imager para obtener una vista previa de la evidencia antes de crear los archivos de imagen. Luego puede optar por crear una imagen
de todo el objeto de evidencia o elegir elementos específicos para agregarlos a una imagen de Contenido personalizado (AD1). Este capítulo
analiza el trabajo con evidencia y el uso de FTK Imager para lograr la creación de imágenes forenses que satisfagan sus necesidades exactas.
Vista previa de la evidencia
Se puede obtener una vista previa de los elementos de evidencia antes de decidir qué se debe incluir en una imagen. A partir de FTK Imager
3.0 se incluye compatibilidad con los sistemas de archivos VXFS, exFAT y Ext4.
ADVERTENCIA: Si la máquina que ejecuta FTK Imager tiene una conexión a Internet activa y está utilizando Imager para obtener una vista
previa del contenido HTML desde la memoria caché del sistema, existe un riesgo potencial asociado con el Boletín de
seguridad de Microsoft MS09054. AccessData recomienda que, siempre que sea posible, los usuarios no tengan una
conexión a Internet activa mientras Imager se esté ejecutando.
Modos de vista previa
FTK Imager ofrece tres modos para obtener una vista previa de datos electrónicos: modo automático, modo texto y modo hexadecimal.
Estos modos se pueden seleccionar desde el menú Modo o desde la barra de herramientas, como se presentó en el Capítulo 2. Cada uno es
descrito con más detalle aquí.
Modo automatico
El modo automático elige automáticamente el mejor método para obtener una vista previa del contenido de un archivo, según el tipo de archivo.
Por ejemplo:
Páginas web, gráficos relacionados con la web (JPEG y GIF) y cualquier otro tipo de medio para el cual Internet
Los complementos de Explorer que se han instalado se muestran mediante una versión integrada de Internet Explorer en el Visor.
Los archivos de texto se muestran en el Visor como caracteres ASCII o Unicode. Los
tipos de archivos que no se pueden ver en Internet Explorer se muestran fuera de FTK Imager en su aplicación nativa, siempre que dichas
aplicaciones estén instaladas localmente y se hayan configurado las asociaciones de archivos adecuadas en Windows.
Los tipos de archivos que no se pueden ver en Internet Explorer y que no tienen un visor nativo conocido son
se muestra de forma predeterminada en modo hexadecimal en el visor.
Capítulo 4 Trabajar con evidencia Vista previa de pruebas | 23

Modo de texto
El modo de texto le permite obtener una vista previa del contenido de un archivo como caracteres ASCII o Unicode, incluso si el archivo no es un archivo de texto.
Este modo puede resultar útil para ver texto y datos binarios que no son visibles cuando se ve un archivo en su aplicación nativa.
Modo hexagonal
El modo hexadecimal le permite ver cada byte de datos de un archivo como código hexadecimal. Puede utilizar el intérprete de valores hexadecimales
para interpretar valores hexadecimales como enteros decimales y posibles valores de fecha y hora.
Nota: Los modos de vista previa se aplican solo cuando se muestran datos de archivos. Los datos contenidos en carpetas u otros archivos que no sean
Los objetos siempre se muestran en formato hexadecimal.
Capítulo 4 Trabajar con evidencia Vista previa de pruebas | 24

Agregar elementos de evidencia
Puede agregar un único elemento de evidencia o varios a la vez. Estos procedimientos se explican en esta sección.
Agregar un solo elemento de evidencia
Para agregar un elemento de evidencia al árbol de evidencia
1. Realice una de las siguientes acciones:
Haga clic en Archivo > Agregar elemento de evidencia.
Haga clic en el botón Agregar elemento de evidencia en la barra de herramientas.
2. Seleccione el tipo de fuente que desea obtener una vista previa y luego haga clic en Siguiente.
3. Seleccione la unidad o busque la fuente que desea obtener una vista previa y luego haga clic en Finalizar.
El elemento de evidencia aparece en el Árbol de evidencia.
4. Repita estos pasos para agregar más elementos de evidencia.
Agregar todos los dispositivos conectados
Para agregar datos de todos los dispositivos conectados a una máquina
Realice una de las siguientes acciones:
Haga clic en Archivo > Agregar todos los dispositivos conectados.
Haga clic en el botón Agregar todos los dispositivos conectados en la barra de herramientas.
La función Agregar todos los dispositivos conectados , también conocida como montaje automático, escanea todos los dispositivos físicos y lógicos conectados en busca de
medios. Si no hay ningún medio presente en un dispositivo conectado, como un CD, DVDROM o DVDRW, se omite el dispositivo.
Montaje de imágenes
Como nuevo comienzo en la versión 3.0 de FTK Imager, Image Mounting permite montar imágenes forenses como una unidad o dispositivo físico, para visualización de solo
lectura. Esta acción abre la imagen como una unidad y le permite explorar el contenido en Windows y otras aplicaciones. Los tipos admitidos son imágenes RAW/dd, E01, S01,
AFF, AD1 y L01.
Las imágenes de disco completas RAW/dd, E01 y S01 se pueden montar físicamente. Las particiones contenidas en imágenes de disco completas, así como imágenes de contenido
personalizado de formatos AD1 y L01, se pueden montar lógicamente. Las diferencias se explican en esta sección.
Nota: Las imágenes cifradas con AD ahora se pueden montar como una unidad o un dispositivo físico. Otros tipos de
Las imágenes cifradas no son compatibles con el montaje como unidad o dispositivo físico.
Beneficios del montaje de imágenes
La capacidad de montar una imagen con FTK Imager proporciona los siguientes beneficios y puede encontrar otros a medida que utiliza la función:
Capítulo 4 Trabajar con evidencia Agregar elementos de evidencia | 25

Monte una imagen de disco completa con sus particiones todas a la vez; al disco se le asigna un nombre de Unidad Física y a las particiones se
les asigna automáticamente una letra de unidad que comienza con la primera letra de unidad disponible o con cualquier letra de
unidad disponible de su elección.
Lea una imagen de disco completa montada físicamente y le asignó un nombre de unidad física n usando Imager o usando
cualquier aplicación de Windows que realice consultas de nombres físicos.
Lea y escriba en la imagen montada utilizando un archivo de caché. El contenido original no se modifica.
Montar imágenes de múltiples unidades y/o particiones. Las imágenes montadas permanecen montadas hasta que se desmontan o hasta
que se cierra Imager.
Desmonte fácilmente imágenes montadas en cualquier orden, individualmente o todas a la vez.
Vea una imagen montada lógicamente en el Explorador de Windows como si fuera una unidad conectada a la computadora, lo que brinda
los siguientes beneficios:
Ver tipos de archivos con asociaciones de Windows en su aplicación nativa o asociada, cuando esa aplicación está
instalada localmente.
Ejecute aplicaciones antivirus en la imagen montada.
Comparta y vea la imagen montada lógicamente como una unidad en el Explorador de Windows desde computadoras remotas
cuando el acceso remoto se ha configurado correctamente.
Copie archivos de la imagen montada a otra ubicación.
Evite que los archivos se copien en la imagen montada desde otra ubicación. (Debido a que la imagen es de solo lectura, no hay que
preocuparse de que un usuario remoto, o cualquier usuario, que vea la imagen realice un cambio que invalide los datos).
Características de una imagen montada lógicamente
AD1 y L01 son imágenes de contenido personalizado y contienen una estructura de archivos completa, pero no contienen ninguna unidad.
geometría otros otros datos de la unidad física. Por tanto, estas imágenes no tienen la opción de montarse Físicamente.
Nota: Al montar lógicamente una imagen, el tamaño de la unidad o partición se muestra incorrectamente en la vista Inicio > Computadora de Windows .
Sin embargo, cuando abre la "unidad" desde allí, las carpetas y archivos contenidos en la imagen montada se muestran correctamente.
Características de una imagen montada físicamente
Cuando monta una imagen físicamente, aunque Windows Explorer no la puede ver, se puede ver fuera de Imager utilizando cualquier aplicación de
Windows que realice consultas de nombres físicos.
Las imágenes E01, S01, AFF y 001 (RAW/dd) son imágenes de unidades que tienen la estructura del disco, la partición y el archivo, así
como los datos de la unidad. Una imagen de disco físico se puede montar físicamente; y sus particiones de imagen de disco se
pueden montar lógicamente.
Montar una imagen
Para montar una imagen
1. Si ya tiene la imagen deseada agregada como evidencia en la Lista de evidencia del generador de imágenes, seleccione ese elemento y luego
realice el Paso 2 para completar automáticamente el cuadro Fuente con el archivo de imagen que se va a montar, como se muestra en el Paso 3.
Si aún no ha agregado la imagen deseada como evidencia, comience con el Paso 2.

Haga clic en Archivo >Montaje de imagen.
Haga clic en Montaje de imagen botón en la barra de herramientas.
3. Escriba la ruta y el nombre del archivo, o haga clic en Examinar para completar el cuadro Fuente con la ruta y el nombre del archivo.
la imagen a montar.
Después de seleccionar una imagen, el tipo de montaje será el predeterminado para la asignación admitida según el tipo de imagen
seleccionado. Haga clic en el menú desplegable para mostrar otros tipos de montaje disponibles.
Montar imagen en la unidad
4. Seleccione el tipo de montaje que se utilizará para el montaje.
Montar imagen en la unidad: seleccione el tipo de montaje
Los tipos de montaje disponibles son físico y lógico, solo físico y solo lógico.
Si el tipo de montaje seleccionado incluye Lógico, puede seleccionar la letra de unidad para asignarla como punto de montaje.
5. Haga clic en el menú desplegable Letra de unidad para ver todas las letras de unidad que están disponibles para asignarse al dispositivo montado.
imagen

Montar imagen en la unidad: seleccione la letra de la unidad
6. Seleccione la letra de unidad que se utilizará para este montaje.
7. Haga clic en el menú desplegable Método de montaje para seleccionar entre los métodos de montaje disponibles.
Montar imagen en la unidad: seleccione el método de montaje
Los métodos de montaje disponibles se muestran y describen en la siguiente tabla:
Montar imagen: métodos de montaje
Método de montaje Descripción

Dispositivo de bloqueo/Solo lectura Lee el dispositivo como un dispositivo de bloque, lo que significa que el dispositivo montado debe verse utilizando cualquier
aplicación de Windows que realice consultas de nombres físicos. Le permite escribir en la evidencia, tomar notas, etc.
Dispositivo de bloqueo/escribible los cambios y anotaciones se guardan en un archivo de caché, pero no se realizan cambios en el original. Si se
selecciona, proporcione información de ruta para el archivo de caché en el campo Carpeta de caché de escritura.
Sistema de archivos/Solo lectura Lee el dispositivo como un dispositivo de solo lectura que puede ver mediante el Explorador de Windows.
8. Seleccione el método de montaje que se utilizará para este montaje.
9. Cuando todas las opciones de montaje estén seleccionadas, haga clic en Montar.
Toda la información de montaje relacionada se mostrará en la Lista de imágenes asignadas.

Montar imagen en unidad: lista de imágenes asignadas
Para montar otra imagen, repita el proceso. Puede continuar montando imágenes según sea necesario, hasta que se le acaben las
pruebas para agregar o los puntos de montaje para usar. Las imágenes montadas permanecen disponibles hasta que se desmontan o
hasta que se cierra Imager.
10. Haga clic en Cerrar para regresar a FTK Imager.
Desmontar una imagen
Para desmontar una imagen montada

1. Haga clic en Archivo > Montaje de imagen.
2. En el cuadro de diálogo Montar imagen en la unidad , resalte la imagen que desea desmontar.
3. Haga clic en Desmontar.
4. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y regresar a FTK Imager.
Para desmontar múltiples asignaciones

1. Elija uno de los siguientes:
Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de asignaciones contiguas.
Haga clic en una asignación de la lista y luego presione Ctrl y haga clic en asignaciones individuales para seleccionar varias asignaciones no contiguas.
mapeos.
Haga clic y arrastre para seleccionar varias imágenes montadas.
2. Haga clic en Listo para cerrar el cuadro de diálogo Montar imagen en la unidad y regresar a FTK Imager.

Eliminación de pruebas
Cuando sea necesario, los elementos de evidencia se pueden eliminar individualmente o en conjunto. Ambos métodos se analizan en esta sección.
Eliminación de un solo elemento de evidencia
Puede eliminar elementos de evidencia individualmente o comenzar de nuevo eliminando todas las pruebas a la vez.
Para eliminar un elemento de evidencia
1. En el Árbol de evidencia, seleccione el elemento de evidencia que desea eliminar.
Nota: Debe seleccionar todo el elemento de evidencia para eliminarlo; no se puede eliminar sólo una parte de un elemento.
Haga clic en Archivo > Eliminar elemento de evidencia
Haga clic en el botón Eliminar elemento de evidencia en la barra de herramientas.
El elemento de evidencia se elimina del Árbol de evidencia.
Eliminación de todos los elementos de evidencia
Para eliminar todas las pruebas a la vez
Realice una de las siguientes acciones:
Haga clic en Archivo > Eliminar todos los elementos de evidencia.
Haga clic en el botón Eliminar todos los elementos de evidencia en la barra de herramientas.
Todos los elementos de evidencia se eliminan del Árbol de evidencia.
Capítulo 4 Trabajar con evidencia Eliminación de pruebas | 30

Obtención de archivos de registro protegidos
El sistema operativo Windows no le permite copiar ni guardar archivos de Registro activos. Sin FTK Imager, los usuarios tenían que crear una imagen de su disco duro
y luego extraer los archivos del Registro, o iniciar su computadora desde un disco de arranque y copiar los archivos del Registro del sistema operativo inactivo en
la unidad. FTK Imager proporciona una solución mucho más sencilla. Evita el sistema operativo Windows y sus bloqueos de archivos, lo que le permite copiar los
archivos del Registro en vivo.
Adquirir archivos de registro protegidos en una máquina local
Puede adquirir los archivos de registro protegidos utilizando FTK Imager ejecutándose en la máquina cuyos archivos de registro necesita.
Para adquirir archivos de registro protegidos en una máquina local

1. Inicie FTK Imager.
Haga clic en Archivo > Obtener archivos protegidos.
Haga clic en Obtener archivos protegidos. botón en la barra de herramientas.
3. Especifique un directorio de destino.
4. Selecciona la opción que se adapte a tus necesidades:
Archivos mínimos para la recuperación de inicio de sesión: recupera archivos de usuarios, sistema y SAM desde los que puede
recuperar la información de la cuenta de un usuario.
Recuperación de contraseña y todos los archivos de registro: recupera usuarios, sistema, SAM, NTUSER.DAT, predeterminado,
Archivos de seguridad, software y Userdiff desde los cuales puede recuperar información de la cuenta y posibles contraseñas de otros archivos.
Esta lista también se puede importar a las herramientas de recuperación de contraseñas de AccessData, como PRTK y DNA.
5. Haga clic en Aceptar.
FTK Imager exporta los archivos seleccionados a la ubicación designada.
6. Agregue los archivos al caso.
7. Para abrir los archivos del Registro, realice una de las siguientes acciones:
Haga clic en Archivo > Visor de registro.
Haga clic con el botón derecho en un archivo de Registro en la lista de archivos y luego seleccione Visor de Registro.
Nota: Estos pasos no adquirirán archivos protegidos de una imagen de unidad; sólo desde el sistema en vivo que ejecuta Imager. Consulte las
instrucciones a continuación para adquirir archivos protegidos desde una imagen de unidad.
Acceder a archivos de Registro desde una imagen de unidad
Para acceder a los archivos de Registro protegidos desde una imagen de unidad usando FTK Imager
En XP
1. Navegue a [Unidad]:\Documentos y configuraciones\[nombre de usuario]\.
2. Exportar
ntuser.dat
Capítulo 4 Trabajar con evidencia Obtención de archivos de registro protegidos | 31

3. Navegue a [Unidad]:\Windows\System32\Config\.
4. Exporte los siguientes archivos:
SAM
Sistema
software _
Seguridad
En vista
1. Navegue a [Unidad]:\Usuarios\[nombre de usuario]\

2. Exportar
ntuser.dat
3. Navegue a [Unidad]:\Windows\System32\Config\ 4. Exporte los
siguientes archivos:
SAM
Sistema
Software
Seguridad
Independientemente del sistema operativo, exporte los archivos a una ubicación accesible (donde tenga derechos
y permisos), luego agréguelos o ábralos uno por uno en el Visor de registro.
Capítulo 4 Trabajar con evidencia Obtención de archivos de registro protegidos | 32

Usar imágenes cifradas

FTK Imager puede trabajar con imágenes cifradas con EFS o AD Encryption.
El uso de imágenes cifradas se analiza a continuación.
Detección de cifrado EFS

Puede verificar si hay datos cifrados en una unidad física o una imagen con FTK Imager. La siguiente figura representa una vista de los
archivos cifrados con EFS detectados:
Archivos cifrados EFS detectados
Para detectar archivos cifrados

Haga clic en Archivo > Detectar cifrado.
Haga clic en el botón Detectar cifrado . El en la barra de herramientas.
programa escanea la evidencia y le notifica si se encuentran archivos cifrados. Como se ilustra en el
En la figura anterior, los archivos cifrados con EFS se indican con un icono de llave, , en el árbol de evidencia.
Capítulo 4 Trabajar con evidencia Uso de imágenes cifradas | 33

Nota: Esta función no funciona con archivos .L01 .
Cifrado de anuncios
FTK Imager 3.0 y posteriores tienen la capacidad de cifrar datos durante la exportación a una imagen. Esta característica se conoce como cifrado
AD.
Los tipos de imágenes admitidos son:
AD1 (Imagen lógica de contenido personalizado de AD)
E01 (Compatible con EnCase)
S01 (inteligente)
AFF (formato forense avanzado)
001 (CRUDO/DD)
AD Encryption también admite lo siguiente:
Algoritmo hash SHA512
Algoritmos criptográficos AES 128, 192 y 256
Materiales clave (para cifrar la clave AES): frases de contraseña, archivos de claves sin formato y certificados
Nota: Un archivo de clave sin formato es cualquier archivo arbitrario cuyos datos sin procesar se tratarán como material de clave.
Opciones de credenciales de cifrado de AD
Los certificados utilizan claves públicas para el cifrado y las correspondientes claves privadas para el descifrado.
Para cifrar con una contraseña, marque Contraseña, luego escriba y vuelva a escribir la contraseña que desea utilizar.
Para cifrar con un certificado, marque Certificado y luego busque el certificado que desea utilizar.
Cifrado AFF
El nuevo comienzo en FTK Imager 3.0 es la capacidad de crear imágenes utilizando el cifrado AFF. Cuando crea una imagen cifrada AFF, se requiere
una contraseña. Si desea abrir esa imagen cifrada más tarde, deberá proporcionar la contraseña que utilizó cuando se creó.

El cuadro de diálogo de cifrado AFF

Capítulo 5 Archivos de salida de FTK Imager
FTK Imager le permite crear varios tipos diferentes de imágenes forenses. Además, se pueden exportar el contenido de la unidad y las listas hash. En
este capítulo se analizan las opciones disponibles.
Creando imágenes forenses

FTK Imager le permite escribir un archivo de imagen en un solo destino o escribir simultáneamente varios archivos de imagen en múltiples destinos
utilizando los mismos datos de origen o unidad.
Imágenes de unidades o particiones completas

Importante: Se debe revisar y comprender la siguiente información importante antes de completar la toma de imágenes.
unidades o particiones completas en unidades:
Cuando utilice FTK Imager para crear una imagen forense de un disco duro, asegúrese de utilizar un hardware
dispositivo de bloqueo de escritura basado en Esto garantiza que su sistema operativo no altere el disco duro cuando lo conecte a su computadora
de imágenes.
Al exportar datos a una imagen desde una unidad cifrada, cree la imagen físicamente, no lógicamente. A menudo se requiere una imagen física
para descifrar el cifrado completo del disco.
Para crear una imagen forense

Haga clic en Archivo > Crear imagen de disco.
Haga clic en el botón Crear imagen de disco en la barra de herramientas.
Seleccionar fuente
2. En el cuadro de diálogo Seleccionar fuente, seleccione la fuente de la que desea crear una imagen.
Capítulo 5 Archivos de salida de FTK Imager Creación de imágenes forenses | 36

4. Si selecciona Unidad lógica y necesita seleccionar un disquete o CD como fuente, puede marcar la casilla Automatizar múltiples medios extraíbles para crear
grupos de imágenes. Imager incrementará automáticamente los números de caso con cada imagen y, si algo interrumpe el proceso, podrá asignar el
número de caso manualmente.
5. Seleccione la unidad o busque la fuente de la imagen que desea y luego haga clic en Finalizar.
6. En el cuadro de diálogo Crear imagen , haga clic en Agregar.
Crear imagen
Compare los hashes almacenados del contenido de su imagen marcando la casilla Verificar imágenes después de crearlas . Si un archivo no tiene
hash, esta opción generará uno.
Enumere todo el contenido de sus imágenes con la ruta, las fechas de creación, si se eliminaron los archivos y otros metadatos. La lista se guarda
en formato de valores separados por tabulaciones (.TSV) .
7. Seleccione el tipo de imagen que desea crear.
Nota: Si está creando una imagen de un CD o DVD, este paso se omite porque todas las imágenes de CD/DVD se crean en el formato IsoBuster CUE.
Los hashes no se generan para imágenes de CD y DVD, por lo que tampoco se verificarán.
Seleccionar tipo de imagen

Importante: el tipo de imagen sin formato no está comprimido. Si selecciona el tipo Raw (dd), asegúrese de tener suficiente
espacio disponible en el disco para la imagen resultante.
7a. Si está creando un tipo de imagen AFF , elija AFF.
El cuadro de diálogo Carpeta de destino de imagen que verá será diferente al que se ve al seleccionar cualquier otro tipo de imagen.
Seleccione el tipo de imagen con AFF seleccionado.
7b. Haga clic en Siguiente.
8. Especifique la información del elemento de prueba. Toda la información del elemento de evidencia es opcional, pero es útil tener la información
fácilmente accesible en caso de que se cuestione en cualquier momento después de su creación.
Información del elemento de evidencia
9. Complete los campos en el cuadro de diálogo Información del elemento de evidencia.

Seleccionar destino de imagen
11. En el campo Carpeta de destino de la imagen, realice una de las siguientes acciones:
Escriba la ruta de ubicación donde desea guardar el archivo de imagen.
Haga clic en Explorar para buscar y seleccionar la ubicación deseada.
Nota: Si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar el archivo de imagen
completo, FTK Imager solicitará una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación.
Sin embargo, todos los archivos de imágenes relacionados deben guardarse juntos en la misma carpeta antes de agregarlos a un caso.
12. En el campo Nombre de archivo de imagen, especifique un nombre para el archivo de imagen pero no especifique una extensión de archivo.
13. Especifique el tamaño del fragmento de imagen:
Tamaño de fragmento de imagen predeterminado = 1500 MB
Para guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB.
Para guardar segmentos de imágenes que se puedan grabar en un DVD, especifique 4000 MB.
El formato .S01 está limitado por diseño a tamaños entre 1 MB y 2047 MB (2 GB). Los punteros de bloque comprimido son números de 31 bits
(el bit alto es una bandera comprimida), lo que limita el tamaño de cualquier segmento a dos gigabytes. 13a. Seleccione el nivel de
compresión a utilizar.
0=Sin compresión
1=Más rápido, menor compresión (más rápido y también ligeramente más pequeño que un archivo con 0 compresión)
9=Más lento, mayor compresión (archivo más pequeño, más lento de crear).
Los números entre 1 y 9 producen una imagen con distintos niveles de compresión para acelerar
relación.
14. Para cifrar la imagen, elija la casilla de cifrado correcta como se explica a continuación:
14a. Para cifrar la nueva imagen con cifrado AD, marque la casilla Usar cifrado AD .
14b. Para cifrar la nueva imagen con cifrado AFF, marque la casilla Usar cifrado AFF .

15. Haga clic en Finalizar.
Para obtener más información, consulte Detección de cifrado EFS (página 33).
16. Cuando se selecciona Cifrado AD, puede elegir entre cifrar con una contraseña o cifrar
con un certificado.
Credenciales de cifrado AD
Si utiliza una contraseña, debe escribirla y luego volver a escribirla para confirmarla. Haga clic en Mostrar
contraseña para mostrar la contraseña en texto sin formato a medida que la escribe por primera vez, para verificar que la esté escribiendo correctamente.
Desmarque Mostrar contraseña para reemplazar los caracteres con asteriscos.
16a. Cuando se selecciona Cifrado AFF, escriba la contraseña y vuelva a escribirla para confirmarla.
Cifrado AFF
16b. Haga clic en Mostrar contraseña para comprobar que la ha escrito correctamente la primera vez.
17. Cuando se realicen las selecciones de cifrado, haga clic en Aceptar para guardar las selecciones y volver a Crear imagen.
diálogo.

18. Para agregar otro destino de imagen (es decir, una ubicación guardada diferente o un tipo de archivo de imagen), haga clic en Agregar y
repita los pasos 414.
Para cambiar el destino de una imagen, seleccione el destino que desea cambiar y haga clic en Editar. Para eliminar un
destino de imagen, seleccione el destino y haga clic en Eliminar.
19. Haga clic en Iniciar para comenzar el proceso de creación de imágenes.
20. Una vez creadas correctamente las imágenes, el cuadro Resultados de verificación de imagen/unidad muestra una imagen detallada.
información, incluidas sumas de verificación MD5 y SHA1, y sectores defectuosos.
Resultados de verificación de unidad/imagen
Nota: Los datos que se muestran en el cuadro de resultados varían según el tipo de imagen creada.
21. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:

Creando imagen: Imagen
La fuente de la que se está generando la
imagen La ubicación donde se guarda la imagen El estado
del proceso de creación de imágenes Una barra
de progreso gráfica La cantidad de
datos en MB que se han copiado y la cantidad total que se copiará El tiempo transcurrido desde el proceso de
obtención de imágenes comenzó Tiempo restante estimado hasta
que se complete el proceso Botón Resumen de imagen. Haga clic en él para
abrir la ventana Resumen de imagen como se muestra a continuación:
Resumen de imagen
El Resumen de imagen también incluye los datos que ingresó en el cuadro de diálogo Información del elemento de evidencia.
22. Haga clic en Aceptar para cerrar el Resumen de imagen.
23. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen .
24. Haga clic en Cerrar para volver a Imager.

Crear imágenes de contenido personalizado
FTK Imager le permite personalizar su imagen para disminuir el tiempo y la memoria necesarios para almacenar información y pruebas importantes. Con la función
Imagen de contenido personalizado, puede seleccionar archivos específicos de un sistema de archivos en vivo o una imagen existente para crear una imagen más
pequeña y específica. También puede buscar una imagen existente usando un carácter comodín para crear una imagen personalizada que tenga solo aquellos
archivos que se ajusten a sus criterios exactos.
Las imágenes personalizadas sirven a los investigadores que deben adquirir pruebas rápidamente o que solo necesitan elementos concretos de información para
crear pruebas. Las imágenes también se pueden personalizar para que quepan en una memoria USB u otro medio portátil.
Nota: Al exportar el contenido de una carpeta a una imagen de contenido personalizado (AD1) o una imagen lógica (AD1), si un archivo en la carpeta que se está
exportando está bloqueado (en uso por otro proceso o programa), aparece un mensaje de error. mostrando el problema y el nombre del archivo que está en
uso.
Para crear una imagen de contenido personalizado
1. Agregue una unidad o carpeta a Imager como elemento de evidencia y revise el contenido para obtener la información que necesita.
desea agregar a una imagen personalizada.
Haga clic en Archivo > Agregar a imagen de contenido personalizado.
Haga clic derecho en cada elemento para abrir el menú Exportar. Seleccione Agregar a imagen de contenido personalizado (AD1).
El elemento aparece en el panel Fuentes de contenido personalizado.
Fuentes de contenido personalizado
Nota: El panel Fuentes de contenido personalizado se puede acoplar; es decir, puede moverlo a cualquier esquina de la ventana de Imager, o incluso
puede desacoplarlo por completo de la ventana de Imager y arrastrarlo a una segunda pantalla de monitor.
3. Continúe agregando contenido repitiendo este paso hasta que haya especificado o seleccionado todas las pruebas que desea agregar a esta imagen de
contenido personalizado.
Puede cambiar los elementos en su lista de imágenes personalizadas. Utilice los botones Nuevo y Eliminar para incluir o excluir elementos, y el botón
Editar para abrir el cuadro de diálogo Opciones comodín .

Opciones de comodín
El cuadro de diálogo Opciones de comodín le permite crear filtros para buscar archivos específicos. En el campo de descripción de la ruta, puede escribir:
Un signo de interrogación (?) para reemplazar cualquier carácter en el nombre y la extensión del archivo
Un asterisco (*) para reemplazar cualquier serie de caracteres en un nombre de archivo y extensión
El carácter de barra vertical ( | ) para separar directorios y archivos
La siguiente tabla muestra ejemplos de filtrado de comodines:
Ejemplos de nombres comodines
Meta Descripción del comodín

Recopile todos los archivos que terminan en .doc que residen Mis documentos|*.doc
en cualquier carpeta denominada Mis documentos.
Recopile todas las cookies de Internet en un sistema con Cookies|index.dat para varios usuarios.
Recopile los archivos de correo electrónico de Outlook en Datos de aplicación|Microsoft|Outlook|*.pst

un sistema Windows XP de múltiples usuarios . Datos de aplicación|Microsoft|Outlook|*.ost
Las opciones de las casillas de verificación se pueden usar individualmente o en combinación para filtrar archivos no deseados:
Ignorar mayúsculas y minúsculas permite todos los directorios en la evidencia agregada independientemente de las mayúsculas.
Incluir subdirectorios incluye todos los archivos y subdirectorios en la evidencia agregada debajo del
carpeta especificada.
Coincidir todas las ocurrencias ubica todos los directorios en la evidencia agregada que coinciden con la información dada.
expresión. Elimina la necesidad de hacer clic derecho en cada nodo en el árbol de evidencia y seleccionar Agregar a imagen de contenido
personalizado (AD1) uno por uno.
Por ejemplo, si desea recopilar todos los archivos que terminan en .doc que residen en todas las carpetas denominadas Mis documentos, FTK
Imager buscará toda la evidencia agregada para cada aparición de Mis documentos y luego recopilará todos los archivos .doc en ese directorio.
Al desmarcar Incluir subdirectorios , Imager encuentra solo los archivos en la raíz de la carpeta Mis documentos.
4. Cuando se hayan identificado y agregado todas las fuentes de contenido personalizado , haga clic en Crear imagen.

Crear imagen
5. En el cuadro de diálogo Crear imagen , especifique las opciones para esta imagen AD1.
6. Haga clic en Agregar para agregar un destino para la nueva imagen.
7. Especifique la información del elemento de prueba.

Toda la información del elemento de evidencia es opcional, pero es útil tener la información fácilmente accesible en caso de que se cuestione en cualquier momento
después de su creación.
El cuadro de diálogo Información del elemento de evidencia

El cuadro de diálogo Seleccionar destino de imagen
9. Complete el cuadro de diálogo Seleccionar destino de imagen de la siguiente manera:
9a. Especifique o busque la carpeta de destino.
9b. Escriba el nombre de archivo de la nueva imagen, sin extensión; La extensión está determinada por el
tipo de imagen seleccionado y se agrega automáticamente.
9c. Especifique el tamaño del fragmento de imagen:

Para guardar segmentos de imágenes que se puedan grabar en un CD, especifique 650 MB.
0 crea una imagen de un solo archivo (no fragmentada). Utilízalo si nunca necesitarás usar más pequeños.
Medios para el almacenamiento o transporte de los datos de la imagen.
9d. Seleccione el nivel de compresión a utilizar.

0=Sin compresión
Los números entre 1 y 9 producen una imagen con distintos niveles de compresión para acelerar
relación.
9e. Elija si desea utilizar cifrado AD. Para obtener más información, consulte el Paso 9 en “Creación de imágenes forenses” que comienza
en la página 36.
9f. Elija si desea filtrar por propietario del archivo. Para obtener más información, consulte Exportación por SID (página 48).
10. Haga clic en Finalizar en el cuadro de diálogo Seleccionar destino de imagen para guardar esta configuración y volver a la ventana Crear.
Diálogo de imagen.
11. Para agregar otro destino de imagen (es decir, una ubicación guardada adicional diferente), haga clic en Agregar y repita
pasos 5 al 8.
12. Para cambiar el destino de una imagen, seleccione el destino a cambiar y haga clic en Editar.
13. Para eliminar un destino de imagen, seleccione el destino y haga clic en Eliminar.
14. Marque las opciones adicionales que desee:
Marque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos originales
ha cambiado desde que se copiaron en la imagen.
Marque Crear listados de directorios de todos los archivos de la imagen para registrar los nombres de los archivos y las rutas del contenido de la
imagen. Este registro se guardará en formato Microsoft Excel y, a menudo, funciona como prueba.
Verifique Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento se necesitará para crear
la imagen personalizada antes de comenzar y a medida que avanza la generación de imágenes.

15. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:
El archivo de imagen de origen que se está exportando
La ubicación donde se guarda la nueva imagen.
El estado del proceso de exportación.
Una barra de progreso gráfica
La cantidad de datos en MB que se han copiado y la cantidad total a copiar Tiempo transcurrido desde que comenzó
el proceso de exportación
Tiempo estimado restante hasta que se complete el proceso
Creando imagen (ventana de progreso)
16. De forma predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra el
archivos y los hashes (MD5 y SHA1) de su imagen personalizada.
16a. Haga clic en Cerrar cuando haya terminado de ver la información hash.
16b. Haga clic en Cerrar nuevamente para regresar al cuadro de diálogo Crear imagen. En este punto, la ventana de Estado dirá Imagen creada
con éxito.
17. Haga clic en Resumen de imagen para abrir la ventana Resumen de imagen que muestra el Registro de creación de imágenes.
Información del elemento de evidencia que ingresó al principio.
18. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen.

Exportación desde FTK Imager

Hay varias formas de exportar datos desde FTK Imager. Cada uno se analiza a continuación.
Exportación de imágenes forenses
Convierta un archivo de imagen existente a un formato diferente exportándolo y eligiendo un formato de imagen diferente al original. Exporte archivos de imagen completos
para convertirlos de un tipo de formato a otro. Exporte el contenido seleccionado de una unidad o imagen para crear una imagen de contenido personalizado (AD1).
Exportar archivos
Exportar o copiar archivos de un elemento de evidencia le permite imprimir, enviar por correo electrónico, recuperar archivos u organizar archivos según sea necesario,
sin alterar la evidencia original.
Nota: Esta función resulta útil si su sistema operativo falla, pero la unidad aún está operativa. Imagen de tu disco y exporta
tus datos, fotografías, etc. de la imagen.
Para exportar o copiar archivos desde un elemento de evidencia
1. En el Árbol de evidencia, seleccione la carpeta que contiene los archivos que desea exportar. El contenido de la carpeta se muestra en la Lista de archivos.
2. En la Lista de archivos, seleccione los archivos que desea exportar.
Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos.
Haga clic en un archivo, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos.
Haga clic en Archivo > Exportar archivos.
Haga clic en el botón Exportar archivos en la barra de herramientas.
4. En el cuadro de diálogo Buscar carpeta , busque la ubicación donde desea guardar los archivos exportados.
5. Haga clic en Aceptar. Los archivos se copian en la ubicación especificada.
Exportar por SID
Windows asigna identificadores únicos a cada proceso, usuario, máquina, etc. dentro de su sistema. Un identificador de sistema (SID) es exclusivo del sistema y, con
mayor frecuencia, se aplica a los usuarios.
Las funciones Exportar a imagen lógica (AD1) y Agregar a imagen de contenido personalizado (AD1) ahora permiten al usuario seleccionar y exportar archivos
propiedad de SID particulares, o agregarlos a la imagen.
Capítulo 5 Archivos de salida de FTK Imager Exportación desde FTK Imager | 48

Para exportar una lista de archivos según el SID del propietario del archivo
1. Comience seleccionando un elemento del Árbol de evidencia.
2. Haga clic derecho en el elemento de evidencia seleccionado.
3. Elija uno de los siguientes:

Exportar imagen lógica (AD1)
Agregar a imagen de contenido personalizado (AD1)
Cuando se agrega a una imagen de contenido personalizado, verá el elemento en el cuadro Fuentes de contenido personalizado.
4. Cuando se agreguen todos los elementos deseados a la imagen de contenido personalizado, haga clic en Crear imagen.
Esto lo llevará a la misma pantalla que vería si hubiera seleccionado directamente Exportar imagen lógica.
5. En el cuadro de diálogo Crear imagen , haga clic en Agregar para especificar un destino de imagen.
Crear imagen.
6. Especifique la información del elemento de evidencia.
Toda la información del elemento de evidencia es opcional, pero es útil tener la información fácilmente accesible en caso de que se cuestione
en cualquier momento después de su creación.

Información del elemento de prueba.
8. Especifique la carpeta de destino de la imagen y el nombre del archivo de la imagen (sin extensión)
9. Elija un tamaño de fragmento para la imagen.

10. Elija un nivel de compresión según la siguiente información:
0=Sin compresión
Los números entre 1 y 9 producen una imagen con distintos niveles de compresión y relación de velocidad.
11. Acepte el Tamaño de fragmento de imagen predeterminado o especifique el Tamaño de fragmento de imagen que se utilizará.
Para guardar segmentos de imágenes que se pueden grabar en un CD, especifique 650 MB.
0 crea una imagen de un solo archivo (no fragmentada). Utilícelo si nunca necesitará utilizar medios más pequeños para almacenar o transportar los
datos de la imagen.
12. Marque Usar cifrado AD si desea aplicar cifrado con contraseña o utilizar un certificado para el cifrado del archivo de imagen AD1 resultante.
13. Marque Filtrar por propietario del archivo para que aparezca una lista de usuarios que se encuentran en la evidencia entre los que puede seleccionar
exportador.
14. Haga clic en Finalizar.
Elija propietarios de archivos

15. En el cuadro de diálogo Elegir propietarios de archivos , marque los nombres de los usuarios y sus SID cuyos archivos
desea exportar.
15a. Si el SID deseado no aparece en la lista, haga clic en Agregar para ingresar uno manualmente.
Copie y pegue el SID desde otra ubicación o escríbalo manualmente. Esto permite al usuario crear una imagen que contiene archivos propiedad del
SID de una cuenta de dominio.
Nota: Los SID/nombres ingresados por el usuario persisten solo mientras esta instancia de Imager esté abierta.
16. Haga clic en Aceptar.
El archivo exportado se creará en el destino que especificó en el Paso 2.
Exportación de listas hash de archivos
Hashing es el proceso de generar un valor único basado en el contenido de un archivo. Este valor se puede utilizar para demostrar que una copia de un archivo no ha sido
alterada de ninguna manera con respecto al archivo original. Es computacionalmente inviable que un archivo alterado genere el mismo número hash que la versión original
de ese archivo. La función Exportar lista hash de archivos en FTK Imager utiliza los algoritmos hash MD5 y SHA1 para generar números hash para archivos.
Para generar y exportar valores hash a una lista

1. En el Árbol de evidencia, seleccione la carpeta que contiene los objetos que desea aplicar hash. El contenido del objeto se muestra en la Lista de archivos.
2. En la Lista de archivos, seleccione las carpetas o archivos que desea aplicar hash. Si selecciona una carpeta, todos los archivos contenidos en ella
la carpeta y sus subcarpetas tienen hash.
Nota: Haga clic en el primero, luego presione Mayús y haga clic en el último para seleccionar un bloque de archivos contiguos.
Haga clic en uno, luego presione Ctrl y haga clic en archivos individuales para seleccionar varios archivos no contiguos.
Haga clic en Archivo > Exportar lista de hash de archivos
Haga clic en el botón Exportar lista hash de archivos en la barra de herramientas.
4. En el cuadro de diálogo Guardar como , escriba un nombre para la lista hash de archivos en el campo Nombre de archivo .
5. Haga clic en Guardar.
La lista hash se guarda como un archivo de valores separados por comas (*.CSV). Puede ver este archivo en una aplicación de hoja de cálculo,
como Microsoft Excel, o importarlo a FTK como una base de datos KFF.
Al crear o exportar una imagen forense, puede ingresar información y notas sobre la evidencia contenida en la imagen que está creando. Esta información se guarda en la
misma ubicación que el archivo de imagen, con el mismo nombre, pero con extensión .TXT . Por ejemplo, si su imagen se llamara AD1test.ad1, su elemento de evidencia
La información se guardará en la misma carpeta que AD1Test.ad1.TXT.

Nota: Si también elige exportar la información del listado de directorios a un archivo .CSV , para la misma imagen, el nombre del archivo
sería AD1Test.ad1.CSV.
Puede ingresar la siguiente información:
El número del caso con el que está asociado el elemento de prueba.
El número asignado al elemento de evidencia.
Una descripción única del elemento de evidencia, por ejemplo, "Disco duro del sistema recuperado de la casa del sospechoso".
computadora personal en casa”.
El nombre del examinador que está creando la imagen.
Notas sobre el elemento de evidencia que pueden ser útiles para la investigación.
Para exportar una imagen lógica AD1

1. En el Árbol de evidencia, seleccione el contenido que desea exportar como una imagen lógica.
Haga clic en Archivo > Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado (AD1)
Haga clic derecho en la carpeta y seleccione Exportar imagen lógica AD1 o Agregar a imagen de contenido personalizado (AD1) en el menú
rápido.
3. En el cuadro de diálogo Crear imagen , haga clic en Agregar.
4. Ingrese la información del elemento de evidencia como se explicó anteriormente.
6. En el campo Carpeta de destino de la imagen, realice una de las siguientes acciones:
Escriba la ruta del nuevo archivo de imagen.
Haga clic en Explorar para seleccionar la ubicación deseada.
Importante: Si la carpeta de destino que selecciona está en una unidad que no tiene suficiente espacio libre para almacenar el archivo de imagen completo,
FTK Imager solicitará una nueva carpeta de destino cuando se haya utilizado todo el espacio disponible en la primera ubicación. Esto funciona, sin
embargo, todos los archivos de imágenes relacionados deben guardarse juntos en la misma carpeta antes de agregarlos a un caso.
7. En el campo Nombre de archivo de imagen , especifique un nombre para el nuevo archivo de imagen, pero no especifique una extensión.
8. En el campo Tamaño del fragmento de imagen , especifique el tamaño máximo en MB para cada fragmento del nuevo archivo de imagen. El tamaño del
fragmento de imagen no tiene límite de tamaño máximo, excepto el espacio disponible en el disco.

Nota: Si desea copiar los archivos de imagen en un CD, especifique un tamaño de fragmento de 650 MB.
Si una imagen grande se divide en varias unidades, se debe verificar manualmente colocando todos los segmentos de la imagen
en el mismo directorio. Para archivos de imagen que quepan en un DVD, especifique un tamaño de segmento de 4 GB.
9. Haga clic en Finalizar para guardar esta configuración y salir al cuadro de diálogo Crear imagen.
9a. Para agregar otro destino de imagen (es decir, una ubicación guardada adicional diferente), haga clic en Agregar y repita
pasos 47.
9b. Para cambiar el destino de una imagen, seleccione el destino a cambiar y haga clic en Editar. 9c. Para eliminar un
destino de imagen, seleccione el destino y haga clic en Eliminar.
10. Marque las opciones adicionales que desee:
Marque Verificar imágenes después de crearlas para verificar la firma hash de la imagen. Esto detecta si el contenido de los datos
originales ha cambiado desde que se copiaron en la imagen.
Marque Crear listados de directorios de todos los archivos de la imagen para registrar los nombres de los archivos y las rutas del contenido
de la imagen. Este registro se guardará en formato Microsoft Excel y, a menudo, funciona como prueba.
Verifique Precalcular estadísticas de progreso para ver aproximadamente cuánto tiempo y espacio de almacenamiento se necesitará para
crear la imagen personalizada antes de comenzar y a medida que avanza la generación de imágenes.
11. Haga clic en Iniciar para comenzar el proceso de exportación. Aparece un cuadro de diálogo de progreso que muestra lo siguiente:
El archivo de imagen de origen que se está exportando
La ubicación donde se guarda la nueva imagen.
El estado del proceso de exportación.
La cantidad de datos en MB que se han copiado y la cantidad total a copiar Tiempo transcurrido desde que
comenzó el proceso de exportación
Creando imagen (cuadro de diálogo de progreso)
12. De forma predeterminada, cuando se completa la creación de la imagen, se abre un cuadro de estado para mostrar una ventana que muestra el
archivos y los hashes (MD5 y SHA1) de su imagen personalizada.
13. Haga clic en Cerrar cuando haya terminado de ver la información hash.
14. Haga clic en Cerrar nuevamente para regresar al cuadro de diálogo Crear imagen. En este punto, la ventana de Estado dirá Imagen creada con
éxito.
15. Haga clic en Resumen de imagen para abrir la ventana Resumen de imagen que muestra el Registro de creación de imágenes.
mostrando la información del elemento de evidencia que ingresó al principio.
16. Haga clic en Aceptar para volver al cuadro de diálogo Crear imagen.

Exportación de listados de directorios
Puede exportar una lista de carpetas y el contenido de sus archivos en la unidad o partición seleccionada.
Para exportar una lista de directorio
1. Seleccione el directorio que desea exportar.
Haga clic en Archivo > Exportar listado de directorios.
Haga clic en el botón Exportar listado de directorio .
3. Seleccione la ubicación para el archivo guardado y escriba un nombre de archivo.

4. Haga clic en Guardar.
Descifrando imágenes AD1
Puede utilizar Imager para descifrar imágenes AD1 que tienen cifrado AccessData.
Para descifrar imágenes AD1
1. Abra AccessData FTK Imager.
2. Haga clic en Archivo > Descifrar imagen AD1.
3. En el cuadro de diálogo Elija un archivo/imagen para cifrar o descifrar , busque la ubicación del archivo cifrado AD1.
imagen, selecciónela y haga clic en Abrir.
4. En el cuadro de diálogo Guardar archivo/imagen descifrado en, busque la ubicación donde desea almacenar el archivo descifrado.
Imagen AD1 y haga clic en Guardar.
5. En el cuadro de diálogo Credenciales de cifrado de AD , ingrese la contraseña para la imagen cifrada y haga clic en Aceptar.
6. Una vez que se complete el proceso de descifrado, en el cuadro de diálogo Descifrado de cifrado de AD , haga clic en Aceptar.
Verificación de unidades e imágenes
FTK Imager le permite calcular valores hash MD5 y SHA1 para unidades e imágenes completas para verificar que las copias de los elementos de
evidencia no hayan sido alteradas de ninguna manera con respecto a los originales.
Para verificar una unidad o imagen
1. En el árbol de evidencia, seleccione la unidad o imagen que desea verificar.

Haga clic en Archivo > Verificar unidad/imagen.
Haga clic en el botón Verificar unidad/imagen. en la barra de herramientas.
Aparece un cuadro de diálogo de progreso que muestra:
El nombre de la unidad o imagen que está verificando
La cantidad de datos (en MB) que se han verificado y la cantidad total a verificar
Tiempo transcurrido desde que comenzó el proceso de verificación
3. Una vez que el proceso de verificación se haya completado con éxito, aparecerá el resumen de resultados de verificación de unidad/imagen.
Aparece una pantalla que muestra lo siguiente:
Resultados de verificación de unidad/imagen
Nombre de la unidad o imagen que se verificó
Número de sectores en la unidad o imagen
Hash MD5 calculado para la unidad o imagen
Si verificó una imagen que contiene su propio valor hash, como una imagen .S01 (SMART) o .E01 (EnCase), también se muestra el valor hash
almacenado dentro de la imagen.
Si el valor hash almacenado en la imagen coincide con el valor hash calculado por FTK Imager Hash SHA1 calculado para la unidad
o imagen
Número de sectores defectuosos encontrados
Puede copiar cualquiera de los resultados en la pantalla Verificar resultados (por ejemplo, los valores hash MD5 o SHA1).
Para copiar datos desde la pantalla Verificar resultados

1. Haga clic en el resultado para resaltarlo.
2. Haga clic derecho y seleccione Copiar en el menú rápido.
3. Pegue el resultado copiado en un editor de texto.

Importación de conjuntos de archivos
Puede guardar un conjunto de carpetas y archivos en un directorio y luego crear imágenes personalizadas de esas carpetas y archivos desde otras
unidades.
Por ejemplo, si realiza el seguimiento de una carpeta de gráficos en varias unidades, creará una imagen de contenido personalizado de esas
carpetas y archivos y la exportará a una unidad. Al crear una imagen de un nuevo dispositivo, deberá importar las carpetas y los archivos desde la unidad,
y Imager creará una imagen de contenido personalizado de esas carpetas y archivos tal como aparecen en el siguiente dispositivo del que imprima.
Para crear una carpeta y un archivo configurado como imagen
1. Enumere los archivos y carpetas que se incluirán en el cuadro de diálogo Crear imagen de contenido personalizado .
2. Haga clic en Exportar para guardar las carpetas y archivos en una unidad.
3. Inicie una imagen en un nuevo dispositivo.
4. Abra el cuadro de diálogo Crear imagen de contenido personalizado y haga clic en Importar.
5. Navegue hasta las carpetas y archivos que exportó.
6. Seleccione los archivos que desea incluir en la nueva imagen y haga clic en Agregar.
7. En el cuadro de diálogo Crear imagen de contenido personalizado , haga clic en Crear imagen.

Apéndice A Sistemas de archivos e imagen de unidad

Formatos
Este apéndice enumera los sistemas de archivos y formatos de imágenes que reconoce AD Imager.
Sistemas de archivos
La siguiente tabla enumera los sistemas de archivos identificados y analizados por AccessData Imager:
Sistemas de archivos identificados y analizados

APFS HFS
CDFS HFS+
exFAT NTFS _
Ext2FS _ ReiserFS3 _
Ext3FS _ VXFS
Ext4FS _ XFS _
FAT12, FAT16, FAT32
Todo el disco cifrado
La siguiente tabla enumera los productos de descifrado Whole Disk Encryption (WDE) identificados y analizados por AccessData Imager
(todos estos requieren que el investigador ingrese la contraseña; los productos forenses de AccessData no los "descifran"):
Formatos de cifrado de disco completo reconocidos y analizados

PGP® _ Utimaco
Crediente Borde guardián

Arranque seguro EFS
JFS _ LVM
VMware _ LVM2
UFS1 _ UFS2 _
Apéndice A Sistemas de archivos y formatos de imágenes de unidades Sistemas de archivos | 57

Formatos de imagen del disco duro
La siguiente tabla enumera los formatos de imagen de disco duro identificados y analizados por AccessData Imager:
Formatos de imagen de disco duro identificados y analizados
Encase, incluido 6.12 SnapBack

Safeback 2.0 y anteriores Testigo experto
LinuxDD ICS
Fantasma (solo imágenes forenses) INTELIGENTE
Imagen lógica de AccessData (AD1) Formato forense avanzado (AFF)
Apéndice A Sistemas de archivos y formatos de imágenes de unidades Formatos de imagen de disco duro | 58
Formatos de imagen de CD y DVD
La siguiente tabla enumera los formatos de imágenes de CD y DVD analizados y identificados por AccessData Imager:
Sistemas y formatos de archivos de CD y DVD identificados y analizados
Alcohol (*.mds) IsoBuster CUE
PlexTools (*.pxi) ClonarCD (*.ccd)
Nero (*.nrg) Roxio (*.cif)

ISO _ Pináculo (*.pdi)
CD virtual (*.vc4) CDRW,

VCD _ CDROM
DVD +MRW DVD
DVDRW DVDVFR
DVD+RW de doble capa DVDVR
BDR SRMPOW BDR DL
BDR SRM ClonarCD (*.ccd)

HD DVDR HD DVDRW DL
SVCD HD DVD
HD DVDRW DVDRAM,
CDROM XA CDMRW,
DVD +VR DVD +R
DVD+R de doble capa BDRE
DVDVRW BDROM
HD DVDR DL BDR RRM
BDAV Pináculo (*.pdi)

HD DVDRAM ISO _
CDR CD virtual (*.vc4)

SACD DVD +RW
DVDROM VDR
DVDVM DVDR de doble capa

DVD +VRW BDR SRM+POW
BDR BDRE DL
Apéndice A Sistemas de archivos y formatos de imágenes de unidades Formatos de imagen de CD y DVD | 59

Apéndice B Uso de un dispositivo Logicube
Integración de un Logicube Forensic MD5

Con FTK Imager, puede conectarse y controlar un dispositivo de imágenes Logicube Forensic MD5 a través de la interfaz FTK Imager. Para obtener
información adicional sobre el uso del dispositivo Logicube Forensic MD5, incluidas explicaciones de opciones específicas, consulte la documentación de
Logicube Forensic MD5.
Para integrar Logicube Forensic MD5 con FTK Imager

1. Conecte el Logicube Forensic MD5 al puerto paralelo de su computadora y encienda el dispositivo.
2. Inicie la cámara FTK. El menú Herramientas se abre sólo si Logicube Forensic MD5 está conectado a su
computadora y enciéndalo antes de iniciar FTK Imager.
3. En el menú, seleccione Herramientas > Logicube Forensic MD5.
4. En el cuadro de diálogo Logicube MD5, puede realizar las siguientes funciones:
Crear un archivo de imagen de una unidad externa conectada a Logicube Forensic MD5 Formatear la unidad de
destino interna de Logicube Forensic MD5
Acceda a la unidad interna Logicube Forensic MD5 como una unidad USB
Acceda a la unidad flash compacta Logicube Forensic MD5 como una unidad USB
Ver información de hardware sobre Logicube Forensic MD5.
5. Para salir del cuadro de diálogo de Logicube MD5, haga clic en Aceptar.
Crear un archivo de imagen con Logicube Forensic MD5

Con FTK Imager, puede crear un archivo de imagen de una unidad externa conectada al Logicube Forensic MD5.
El archivo de imagen se guarda en la unidad interna de Forensic MD5.
Para crear un archivo de imagen de un disco externo

1. En el cuadro de diálogo de Logicube MD5, haga clic en Unidad de origen de imagen. Aparece el cuadro de diálogo Parámetros de imagen.
2. En la lista desplegable Tamaño de archivo, seleccione el tamaño máximo para cada fragmento del archivo de imagen.
3. En el campo Nombre de archivo, escriba un nombre para el archivo de imagen, pero no especifique una extensión de archivo. Los nombres de archivos deben
tener ocho caracteres o menos y únicamente caracteres alfanuméricos.
4. En la lista desplegable Modo de verificación , seleccione el tipo de verificación de datos que desea utilizar.
5. En la lista desplegable Velocidad , seleccione la velocidad de transferencia de datos.
6. Haga clic en Aceptar para comenzar el proceso de creación de imágenes. La información de progreso se muestra en los parámetros de imagen.
cuadro de diálogo e incluye lo siguiente:
La cantidad de datos en MB copiados por minuto
El número de sectores copiados.
Apéndice B Uso de un dispositivo Logicube Integración de un Logicube Forensic MD5 | 60

Formateo del disco duro interno Logicube Forensic MD5

FTK Imager le permite formatear el disco duro interno de Logicube Forensic MD5 para borrar los datos almacenados previamente y garantizar
que haya suficiente espacio para almacenar un nuevo archivo de imagen.
Para formatear la unidad interna Forensic MD5

Haga clic en Formatear unidad de destino en el cuadro de diálogo de Logicube MD5.
La unidad se formatea utilizando el sistema de archivos FAT32.
Uso de la unidad interna Logicube Forensic MD5 como unidad USB

Con FTK Imager, puede acceder a la información almacenada en la unidad interna Logicube Forensic MD5 a través de una conexión USB.
Para acceder a la unidad interna forense como una unidad USB

1. En el cuadro de diálogo Logicube MD5, haga clic en Unidad interna USB. El Logicube Forensic MD5 cambia a USB
modo.
2. Conecte el cable USB desde la base del Logicube Forensic MD5 a su puerto USB.
Windows asigna una letra de unidad a la unidad interna del Forensic MD5, lo que le permite acceder a ella como una unidad lógica.
3. Cuando termine, utilice la función Quitar hardware con seguridad de Windows para desconectar la unidad.
4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para sacar el Logicube Forensic MD5 del modo USB.
Acceso a la unidad flash compacta Logicube Forensic MD5 como USB

Conducir
FTK Imager también le permite acceder a la unidad flash compacta Logicube Forensic MD5 a través de una conexión USB.
Para acceder a la unidad flash compacta del Forensic MD5 como una unidad USB
1. En el cuadro de diálogo Logicube MD5, haga clic en USB Compact Flash. El Logicube Forensic MD5 cambia al modo USB.
2. Conecte el cable USB desde la base del Logicube Forensic MD5 a su puerto USB. Windows asigna una letra de unidad a la unidad flash
compacta del Forensic MD5, lo que le permite acceder a ella como una unidad lógica.
3. Cuando termine, utilice la función Quitar hardware con seguridad de Windows para desconectar la unidad.
4. En el cuadro de diálogo FTK Imager, haga clic en Aceptar para sacar el Logicube Forensic MD5 del modo USB.
Visualización de la información del hardware Logicube Forensic MD5

Para ver la información de hardware de Logicube Forensic MD5, haga clic en Información de versión de hardware en el cuadro de diálogo de Logicube
MD5.
Apéndice B Uso de un dispositivo Logicube Integración de un Logicube Forensic MD5 | 61

Apéndice C Uso de un dispositivo Fernico
Integración de un sistema Fernico FAR

El sistema Fernico FAR® realiza copias de seguridad de datos forenses desde ubicaciones de red o desde discos duros conectados localmente,
distribuyendo automáticamente el contenido en una serie de discos. Las copias de seguridad incluyen verificación MD5 integral e informes
completos de la cadena de evidencia.
Accediendo al sistema Fernico FAR desde Imager

Si tiene instalado un sistema Fernico FAR, el cuadro de diálogo de selección de fuente enumerará el dispositivo Fernico como tipo de fuente de
evidencia cuando agregue evidencia a un caso.
Seleccionar fuente
Para acceder al sistema Fernico FAR

1. Seleccione el dispositivo Fernico (múltiples CD/DVD) y luego haga clic en Siguiente. Se abre el cuadro de diálogo Dispositivo Fernico.
Apéndice C Uso de un dispositivo Fernico Integración de un sistema Fernico FAR | 62

Dispositivo Fernico
2. En el campo Número de discos , escriba el número de discos cargados en el dispositivo.
3. En el campo Número de copias , escriba el número de copias que se colocarán en los discos.
4. El dispositivo Fernico generará imágenes de todas las subcarpetas de forma predeterminada. Seleccione el botón de opción No si no desea sub
carpetas fotografiadas.
5. Escriba un destino para la imagen en el campo Ruta de la carpeta de imágenes o utilice el botón Examinar .
6. Escriba un nombre para la carpeta de imágenes en el campo Nombre de la carpeta del archivo de imagen.
7. Haga clic en Finalizar. Se abrirá una ventana de DOS que muestra el progreso de la imagen.
Para obtener más información sobre el sistema Fernico FAR, consulte la documentación de Fernico que vino con su sistema Fernico FAR.
Apéndice C Uso de un dispositivo Fernico Integración de un sistema Fernico FAR | 63

FTKImager UserGuide Español

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FTKImager UserGuide Español

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Guía del usuario

AccessData Legal y Empresa

AccesoDatos Información Legal

4145 SW Watson Ave.,

AccesoDatos® Suma AD® Examinador de teléfono móvil Plus®

Examinador certificado de AccessData® (ACE®) Discovery Cracker® MPE+ Velocitor™

AD eDiscovery® ADN® PRTK®

ADRTK™ Kit de herramientas forenses® (FTK®) Visor de registro®

FreeBSD ® Copyright 1992­2011. El proyecto FreeBSD.

Acuerdo de licencia de desarrollador de XMLmind XSL­FO Converter Professional Edition:

AccessData no asume ninguna responsabilidad por la función o el rendimiento de productos de terceros.

Información de contacto de AccessData

Dirección postal y números de teléfono generales

Puede ponerse en contacto con AccessData de las siguientes maneras:

Dirección postal, horario y números de teléfono del departamento de AccessData

Sedes corporativas: Exterro Inc.

4145 SW Watson Ave., Suite

Voz: 503­501­5100; Fax: 1­866­408­7310

Horario Corporativo General: De lunes a viernes, de 8:00 a. m. a 5:00 p. m. (MST)

Portal de soporte de AccessData

Portal de soporte de AccessData:

Soporte de correo electrónico:

NOTA: El soporte de emergencia está disponible los fines de semana:

Sábado y domingo de 8:00 a. m. a 6:00 p. m. MST a través de support@exterro.com

Información de contacto para servicios profesionales

Comuníquese con AccessData Professional Services de las siguientes maneras:

Información de contacto de servicios profesionales de AccessData

Metodo de contacto Número o dirección

Teléfono América del Norte: 503­501­5100

AccessData Información Legal y de la Empresa . . . . . . . . . . . . . . . . . . . . . . . . . .2

Acceso a Datos Información Legal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

Capítulo 1 Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Acerca del generador de imágenes FTK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Comprender la compatibilidad de la versión del archivo de imagen AD1 . . . . . . . . . . . . . . . . . 11

Acerca de los archivos de imagen V3 y V4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Capítulo 2 Instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Instalación de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Instalación local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Instalación en un dispositivo portátil. . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

Ejecutando FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

Opciones de línea de comando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

Capítulo 3 La interfaz de usuario de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . .dieciséis

La interfaz de usuario de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dieciséis

Barra de menús. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dieciséis

Barra de herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

Capítulo 4 Trabajar con evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Vista previa de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Agregar elementos de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

Agregar un elemento de evidencia único . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

Agregar todos los dispositivos conectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

Eliminación de un solo elemento de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . .30

Obtención de archivos de registro protegidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

Adquirir archivos de registro protegidos en una máquina local. . . . . . . . . . . . . . .31

Detección de cifrado EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

Capítulo 5 Archivos de salida de FTK Imager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

Creación de imágenes forenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

Imágenes de unidades o particiones completas . . . . . . . . . . . . . . . . . . . . . . . .36

Exportación de imágenes forenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

Apéndice A Sistemas de archivos y formatos de imágenes de unidades. . . . . . . . . . . . . . . . . . . . . .57

Sistemas de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

Apéndice B Uso de un dispositivo Logicube . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60

Integración de un Logicube Forensic MD5 . . . . . . . . . . . . . . . . . . . . . . . . . .60

FreeBSD ® Copyright 19922011. El proyecto FreeBSD.

Acuerdo de licencia de desarrollador de XMLmind XSLFO Converter Professional Edition:

Voz: 5035015100; Fax: 18664087310

Teléfono América del Norte: 5035015100