Adquisición de Imágenes Forenses: Herramientas y Técnicas

Respecto a las preguntas que se hacen en este apartado:

1. ¿Cuál método es más eficiente?
Considero que son muy eficientes aquellos métodos que permiten la compresión, la generación de bloques (fragmentos), aquellos que son compatibles con varias herramientas, los que generan los HASH y que efectúan verificación , en este sentido creo que puedo mencionar al formato de EnCase (E01), cuyas imágenes se pueden generar con las herramientas EWFAcquire (PALADIN-ToolBox) y FTK-Imager.

2.¿Con cuál te sientes mejor?
En cuanto a las herramientas Paladin ToolBox es excelente opción, pero como el profesor lo ha comentado si en algún momento no disponemos de una interfaz gráfica y tenemos que usar la línea de comandos, optaría por usar FTK-Imager y dc3dd.

Jose Aaron Chavez Soto

Para la QUINTA imagen usé la herramienta FTK-Imager para Mac, para generar una imagen a un dispositivo externo USB de 3.75 GB, cuyo punto de montaje fue: /dev/disk02 (usando el parámetro --list-drives se sabe y además usando la herramienta **Utilidad de discos en Mac ** también se puede determinar eso). A continuación los screenshots:

FTK-Imager ejecutándose en la terminal en Mac:

Herramienta Utilidad de discos de Mac para comprobar los dispositivos de almacenamiento conectados:

FTK-Imager creando la imagen forense en Mac:

En este screenshot se puede ver como iba el progreso de la creación, observar la columna de tamaño como iba incrementandose:

Jose Aaron Chavez Soto

La primera imagen que adquirí fue usando la herramienta dd, la obtuve de un dispositivo externo USB, con una capacidad de 3.75GB, con punto de montaje: /dev/sdb y la envié a un archivo llamado Evidencia.00 en un disco duro con una partición NTFS.

Screenshot de la adquisición:

Screenshot del resultado (Imagen Forense con dd):
Como se puede apreciar, la imagen forense quedó de 4GB

Finalmente, calculé el HASH MD5 para esta imagen con md5sum:

Christian Pazos

Hice mi test con FTK imager. Porque solo tengo Windows disponible por el momento.
Utilicé el USB Write locker y realicé una imagen fisica forense de mi disco externo.

Lorgio Lazarte Zurita

Se realizo la generecion de 4 imagenes forenses. \*Imagen con dd, para probar el tiempo que toma el mismo \*Imagen con dc3dd, la misma me brindo mayor informacion resumen de la imagen obtenida \*FTK Imager, Manera agil de obtener la imagen \*Paladin, Manera visual de obtener imagenes brindando distintas formas de poder realizar el mismo. Buenas practicas para refrescar los conocimientos.

Irvin Eliud García Pérez

Ya he trabajado previamente con FTK Imager pero solo con imágenes tipo raw y sin compresión. Esta vez utilicé las herramientas de FTK Imager expuestas en el curso creando los distintos tipos de formato solo por curiosidad y funcionalidad de segmentar la imagen ha sido bastante útil, la desconocía por completo. También utilicé el bloqueo contra escritura de WinAudit, algo que ignoraba completamente que existía.

Jose Aaron Chavez Soto

Para mi TERCERA imagen forense usé la herramienta FTK-Imager para Linux, le hice una imagen forense a una partición NTFS de tamaño de 100 MB, cuyo punto de montaje fue: /dev/sda1 y la envié a archivos con fragmentos (bloques) de tamaño de 50 MB en formato EnCase (E01), usando un nivel de compresión de 6 y agregando los datos de número de caso, número de evidencia, descripción, nombre del examinador (del informático forense), notas y además indiqué el parámetro para hacer la verificación de la misma. Como se ilustran en los siguientes screenshots:

Detalles de los dispositivos:

Adquisición de la imagen:

Proceso de la creación:

Finalización y cálculo de los hashes MD5 y SHA1:

Bloques generados en formato EnCase:

Finalmente el archivo log generado:

Gerardo Daniel Chán Márquez

Yo como solo tengo Windows use FKT imager y lo realice con una memoria de 16gb

José Luis Ruiz Moreno

Probé FtkImager en MacOs Catalina con una Macbook Air 2014 desde terminal.

Identifique el pendrive y los discos con:

diskutil list

Al ejecutar para crear la imagen desde el pendrive al disco me daba un error de Recurso Ocupado:

sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

/dev/disk3: Resource busy (16)

Luego tuve que desmontar el pendrive con el siguiente comando:

sh-3.2# diskutil unmountdisk /dev/disk3
Unmount of all volumes on disk3 was successful

Recién ahí me funcionó la creación de la imagen forense y en un pendrive de 16GB me demoró aproximadamente 40 minutos:

sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

Creating image...
3074.91 / 15287.97 MB (5.70 MB/sec) - 0:35:40 left

Al finalizar me creo los archivos con cortes en 1,5GB

Luis Alberto Anaya lentino

![](https://static.platzi.com/media/user_upload/pasted%20image%204-27977923-ffda-46b3-bc25-70507f510e36.jpg)

Luis Alberto Anaya lentino

![](https://static.platzi.com/media/user_upload/pasted%20image%201-e40a3d36-d8a3-490a-94a1-7cb8b8637a88.jpg)

Luis Alberto Anaya lentino

# Imagen Forense de una MicroSD con FTK Imager

Luis Alberto Anaya lentino

![](https://static.platzi.com/media/user_upload/pasted%20image%200-89529866-4199-49d1-876b-c1157f1fad25.jpg)

MARIA TERESA PANIAGUA RIVERA

hace 10 meses

gracias

Joselyn Lizeth Quispe Huanca

hace un año

FTK Imager para mi fue fácil de utilizar y también permite la posibilidad de comprimir archivos de salida sin reducir la velocidad de copia.

Angel Perez

A pesar de haber copiado el link de mis evidencias relacionadas con las imágenes forenses obtenidas, éstas no aparecen.

Angel Perez

![](https://docs.google.com/document/d/1kpK0Fy-YFnCamyiCu43-5Ff5CizIa2b-/edit?usp=drive_link\&ouid=105500232598879937838\&rtpof=true\&sd=true)

Eliana Del Mar Velasquez Rodriguez

Hice uso de FTK imager para tomar evidencia de un escenario de informática de Linux. Aunque dada la naturaleza de la fuente de información podría mencionar que para mi el ftk imager fue el más eficiente dado que solo era cargar la imagen, también se puede explorar montando la imagen en una VM de linux y haciendo uso de dc3dd.

Hans Dagoberto Parra Ruiz

FTK imager 4.7.1.2 del disco duro y todo muy bien

Rodolfo Peña

hace 3 años

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.

José Ángel Navarro Almendárez

hace 3 años

Otra herramienta utilizada para generar imágenes forenses y que viene instalada por defecto en kali linux es GuyMager 😉

Vittorio L

hace 3 años

en mi caso habia olvidado de crear una imagen (FTK imagen para linux ) , luego he analizado otro USB de 16 GB y todo me ha ido bien

Oscar Jaramillo

Bien

RAIMAR ABARCA MORA

¿Cómo es que hay que sacar una imagen de disco cuando trabajamos sobre un servidor RAID-0 o RAID-1?

Luis Castañeda

Qué herramientas recomiendan para hacer adqusición en dispositivos móviles y dispositivos de Internet de las cosas (IoT)?

Rodrigo Melara

hice una imagen de una USB que tengo, pero el proceso tardaba mucho, al pararlo logro generar tres archivos de la imagen

David Orlando Toloza Gómez

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.
Se inicio el proceso y se quedo cargando, después de un largo tiempo decidí para la adquisición y no desmonte el disco externo. Para mi sorpresa se daño el sistema de archivos del disco externo. Con las demás herramientas se realizaron las imágenes forenses de forma satisfactoria.

Jairo Tinjacá

Realice mi test en FTK Imager en mi primera USB que tengo. Muy practico, Hash verificados, Caso 001 y realice bloqueo contra escritura con la herramienta WinAudit. Vamos Bien es este Curso!

LeoCode0

Use ftk imager, paladin y ftk imager en linea de comandos en lo personal me resulto comodo el hacer la creación de imagen con la linea de comandos hice la imagen de una USB de 8GB.

Fco Castro

Hice un usb booteable con Paladin.
Quise generar una imagen de un usb a otro(ya son 3 usb conectados).
Tuve varios problemas con Paladin y su montaje de discos. Primero no me montaba RW, luego de un reinicio me daba errores raros. Creí que era problema mío al instalar algo. Claro como soy novato pues eso.
A la tercera hice una y luego otra imagen. Las dos fallidas. Más errores.
¿Estaba haciendo algo mal? Pues no.
La última, después de otro reinicio me fue bien y ya tengo mi imagen forense. No tengo idea de por qué me ha costado tanto pero me quedo tranquilo de que lo estaba haciendo bien.

Jose Aaron Chavez Soto

Para mi CUARTA imagen forense, usé la herramienta EWFAcquire (PALADIN) para generar una imagen en formato EnCase (E01) a un dispositivo externo USB (imágen física) de tamaño de 3.75 GB, en esta ocasión usé la interfaz gráfica PALADIN ToolBox lo que facilitó la tarea para especificar los detalles de la imagen como el número de caso, número de evidencia, examinador, descripción, nivel de compresión y las notas adicionales. Como se ilustra con los siguientes screenshots:

Detalles de los dispositivos conectados:

Especificación del formato de la imagen (E01) y sus detalles:

Proceso de la creación de la imagen:

Fin de la creación de la imagen forense:

Verificación de la imagen y los cálculos de sus HASHES:

Eduardo Recinos

USB Write Blocker + FTK Imager for Windows y todo muaaaa…

RAIMAR ABARCA MORA