Cargando



Analizar imagen de disco con FTK Imager

FTK Imager es un software de análisis forense, se utiliza para escanear y realizar análisis de un dispositivo de almacenamiento y crear o analizar una imagen del mismo.


may 09 2016 21:58
Avanzado
may 10 2016 21:56

FTK Imager, es un software que se utiliza para crear archivos de imagen de disco o montar imágenes de disco o dispositivos de almacenamientos y luego podemos realizar análisis de la estructura del disco, recuperar datos, etc. Este software permite localizar archivos perdidos o buscar datos escaneando la imagen de disco mediante palabras claves.

 

Mediante el software se obtiene o se crea una imagen de un disco duro en un archivo de formato:

  • dd
  • img
  • ed01
  • raw

 

Podemos crear una imagen con partes del disco o con toda la partición que pueden ser posteriormente reconstruida.

 

 

panta01.jpg

 

 

Una de las ventajas es que al finalizar la captura de la imagen, el software calcula y genera una clave hash MD5 que sera utilizada para confirmar la integridad de los datos y que la imagen que hemos creado no ha sido alterada, ya que cualquier mínimo cambios en el archivo de imagen alterara el código de seguridad y no coincidirá con el original.

 

FTK Imager es muy utilizado por peritos informáticos forenses ya que permite capturar datos de un dispositivos, crear una imagen con los datos y luego evaluar la evidencias digital para determinar si se justifica un análisis más detallado.

 

FTK Imager permite hacer diversas tareas algunas de ellas son las siguientes:

  • Crear imágenes forenses de discos duros locales, discos lógicos, dispositivos de almacenamiento remotos, dispositivos móviles, memorias flash, discos Zip, CD y DVD, carpetas completas o archivos individuales de diversos lugares.
  • Ademas podremos previsualizar y extraer el contenido de las imágenes forenses almacenados en un ordenador local o en una unidad de red.
  • FTK Imager nos permite ademas realizar la exportación de archivos y carpetas para tratarlos en forma individual, visualizar y recuperar archivos que han sido borrados del disco o de una papelera de reciclaje, pero que aún no han sido sobrescritos en la unidad.
  • Crear hashes MD5 y SHA-1 para asegurar y preservar la integridad de archivos y de la imagen que generamos. Creamos una imagen como vimos en el tutorial Análisis forense de discos duros y particiones con Autopsy. También podemos utilizar el mismo FTK Imager para crear una imagen de un dispositivo de almacenamiento.

 

Una imagen es una copia de todo o parte del dispositivo de almacenamiento para prevenir la que se modifique accidental o intencional los datos que existen en el dispositivo de almacenamiento, FTK Imager realizar una imagen copiando bit a bit, la imagen resultante en un archivo, es idéntica a la estructura original del dispositivo, incluyendo espacio, configuración la unidad y cualquier archivo que contenga la unidad incluso si fuera temporal. Esto permite almacenar estos datos en un lugar seguro para luego realizar una investigación utilizando la imagen del dispositivo.

 

Después de realizar la descarga del instalador desde el sitio web oficial de AccessData y proceder con la instalación del programa que funciona solo sobre Windows.

 

 

Crear imagen de un dispositivo


Podemos crear la imagen con el mismo software desde la opción Crear Imagen de Disco.

 

 

panta02.jpg

 

 

Desde Linux podemos utilizar el comando dd para crear una imagen de una unidad de disco o una carpeta en particular, de la siguiente manera:

sudo dd if=/dev/particion of=/home/miusuario/archivo copia.dd
Cuando tenemos la imagen creada desde FTK Imager debemos añadir el archivo evidencia, desde el menú Archivo, Añadir Evidencia.

 

Para este tutorial tendremos una imagen perteneciente a una memoria flash.

 

 

panta03.jpg

 

 

A continuación deberemos indicar a que tipo de unidad pertenece la imagen, si es de una unidad física, unidad lógica o archivo de imagen, en este caso seleccionamos archivo de imagen y hacemos clic en Siguiente.

 

Luego veremos la imagen y podremos navegar sus directorios y archivos, conocer sus características, que sistema operativo tenia instalado.

 

 

panta04.jpg

 

 

A continuación estamos en condiciones de analizar el disco virtual como disco físico, de esta manera todo lo que contenida incluso archivos borrados pueden verse o recuperarse.

 

En el ejemplo podemos ver como podemos recuperar unos archivos de planillas de calculo. Inclusive podemos montar la unidad desde la opción Archivo > Montar Imagen, una veza montada la imagen sera como una unidad más de disco.

 

panta05.jpg

 

Aquí podemos observar que al montar la unidad aparece en la unidad F:, ahora lo tenemos disponible como una unidad de disco virtual y podemos utilizar un software como PhotoRec (Lo tienes en la posición 7 de este artículo), que podemos descargar desde su web oficial para recuperar archivos borrados.

 

 

PhotoREc es muy simple de utilizar no necesita instalación, solo debemos indicar que unidad o partición queremos recuperar.

 

panta06.jpg

 

Aquí podemos ver que aparece nuestra unidad virtual F: con el contenido de la imagen de disco. Seleccionamos la unidad y luego debajo indicamos en que directorio se copiarán los archivos recuperados por defecto será recup_dir.

 

panta07.jpg

 

Podemos ver las extensiones de los archivos recuperados de la unidad virtual que creamos, este directorio recuperado es físico, no es virtual o lógico, así que tendremos los archivos a nuestra disposición en forma permanente. Este software también ha recuperado archivos exe, por lo que podríamos analizarlos para ver si alguno es un virus o un software peligroso para el sistema, por ello es mejor ejecutar este tipo de análisis en una maquina virtual como VirtualBox.


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X