Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

20/49

Lectura

A lo largo de este módulo aprendiste a usar una gran variedad de herramientas, recursos y técnicas para crear imágenes forenses de diferentes tipos y formatos, y en general para preservar la evidencia que vas a usar en tu investigación. Ahora es momento de aplicar este conocimiento en la práctica.

...

Regístrate o inicia sesión para leer el resto del contenido.

Aportes 31

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Respecto a las preguntas que se hacen en este apartado:

1. ¿Cuál método es más eficiente?
Considero que son muy eficientes aquellos métodos que permiten la compresión, la generación de bloques (fragmentos), aquellos que son compatibles con varias herramientas, los que generan los HASH y que efectúan verificación , en este sentido creo que puedo mencionar al formato de EnCase (E01), cuyas imágenes se pueden generar con las herramientas EWFAcquire (PALADIN-ToolBox) y FTK-Imager.

2.¿Con cuál te sientes mejor?
En cuanto a las herramientas Paladin ToolBox es excelente opción, pero como el profesor lo ha comentado si en algún momento no disponemos de una interfaz gráfica y tenemos que usar la línea de comandos, optaría por usar FTK-Imager y dc3dd.

Para la QUINTA imagen usé la herramienta FTK-Imager para Mac, para generar una imagen a un dispositivo externo USB de 3.75 GB, cuyo punto de montaje fue: /dev/disk02 (usando el parámetro --list-drives se sabe y además usando la herramienta **Utilidad de discos en Mac ** también se puede determinar eso). A continuación los screenshots:

FTK-Imager ejecutándose en la terminal en Mac:

Herramienta Utilidad de discos de Mac para comprobar los dispositivos de almacenamiento conectados:

FTK-Imager creando la imagen forense en Mac:

En este screenshot se puede ver como iba el progreso de la creación, observar la columna de tamaño como iba incrementandose:

Hice mi test con FTK imager. Porque solo tengo Windows disponible por el momento.
Utilicé el USB Write locker y realicé una imagen fisica forense de mi disco externo.

La primera imagen que adquirí fue usando la herramienta dd, la obtuve de un dispositivo externo USB, con una capacidad de 3.75GB, con punto de montaje: /dev/sdb y la envié a un archivo llamado Evidencia.00 en un disco duro con una partición NTFS.

Screenshot de la adquisición:

Screenshot del resultado (Imagen Forense con dd):
Como se puede apreciar, la imagen forense quedó de 4GB

Finalmente, calculé el HASH MD5 para esta imagen con md5sum:

LA SEGUNDA imagen que adquirí fue usando la herramienta dc3dd, empleando el mismo dispositivo externo USB de 3.75 GB, con el punto de montaje: /dev/sdb y la envié a un disco duro interno (NTFS) montado con acceso de lectura/escritura y generando diversos bloques de archivos de 500MB comenzando con Evidencia02.000 y finalizando en Evidencia02.008, calculé sus hashes MD5 y SHA1, usé el modo verbose para mostrar un progreso del proceso y finalmente generando su respectivo archivo log, como se ilustra en las siguientes screenshots:

Adquisición con dc3dd:

Proceso con verbose activado:

Una vez que terminó el proceso, me generó 8 bloques:

El log generado, los **bloques y sus tamaños **son:

El contenido del log es el siguiente:

Ya he trabajado previamente con FTK Imager pero solo con imágenes tipo raw y sin compresión. Esta vez utilicé las herramientas de FTK Imager expuestas en el curso creando los distintos tipos de formato solo por curiosidad y funcionalidad de segmentar la imagen ha sido bastante útil, la desconocía por completo. También utilicé el bloqueo contra escritura de WinAudit, algo que ignoraba completamente que existía.

Para mi TERCERA imagen forense usé la herramienta FTK-Imager para Linux, le hice una imagen forense a una partición NTFS de tamaño de 100 MB, cuyo punto de montaje fue: /dev/sda1 y la envié a archivos con fragmentos (bloques) de tamaño de 50 MB en formato EnCase (E01), usando un nivel de compresión de 6 y agregando los datos de número de caso, número de evidencia, descripción, nombre del examinador (del informático forense), notas y además indiqué el parámetro para hacer la verificación de la misma. Como se ilustran en los siguientes screenshots:

Detalles de los dispositivos:

Adquisición de la imagen:

Proceso de la creación:

Finalización y cálculo de los hashes MD5 y SHA1:

Bloques generados en formato EnCase:

Finalmente el archivo log generado:

Yo como solo tengo Windows use FKT imager y lo realice con una memoria de 16gb

Probé FtkImager en MacOs Catalina con una Macbook Air 2014 desde terminal.

  1. Identifique el pendrive y los discos con:
diskutil list
  1. Al ejecutar para crear la imagen desde el pendrive al disco me daba un error de Recurso Ocupado:
sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

/dev/disk3: Resource busy (16)
  1. Luego tuve que desmontar el pendrive con el siguiente comando:
sh-3.2# diskutil unmountdisk /dev/disk3
Unmount of all volumes on disk3 was successful
  1. Recién ahí me funcionó la creación de la imagen forense y en un pendrive de 16GB me demoró aproximadamente 40 minutos:
sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

Creating image...
3074.91 / 15287.97 MB (5.70 MB/sec) - 0:35:40 left   
  1. Al finalizar me creo los archivos con cortes en 1,5GB
gracias
FTK Imager para mi fue fácil de utilizar y también permite la posibilidad de comprimir archivos de salida sin reducir la velocidad de copia.
A pesar de haber copiado el link de mis evidencias relacionadas con las imágenes forenses obtenidas, éstas no aparecen.
![](https://docs.google.com/document/d/1kpK0Fy-YFnCamyiCu43-5Ff5CizIa2b-/edit?usp=drive_link\&ouid=105500232598879937838\&rtpof=true\&sd=true)
Buenas tardes para tod@s, Debido a que en el transcurso de estas ![](https://docs.google.com/document/d/1kpK0Fy-YFnCamyiCu43-5Ff5CizIa2b-/edit?usp=drive_link\&ouid=105500232598879937838\&rtpof=true\&sd=true)actividades sólo cuento con la opción de Windows, utilicé FTK Imager 4.7.1.2 Realicé adquisiones de los siguientes tipos de evidencia de origen: Pen drive de 8 GB (Física). Una partición del disco duro (Lógica). Memoria RAM de mi PC. Mi experiencia me ha generado confianza en la generación de imágene![](https://drive.google.com/file/d/1AQsHucLu-qCWdfZXXzJ7Pb2hacp0S7pP/view?usp=drive_link)s forenses. Definitivamente la imagen físcia es la que me genera mayor tranquilidad al momento de soportar los resultados ante un estrado jucial.```js ```
Se realizo la generecion de 4 imagenes forenses. \*Imagen con dd, para probar el tiempo que toma el mismo \*Imagen con dc3dd, la misma me brindo mayor informacion resumen de la imagen obtenida \*FTK Imager, Manera agil de obtener la imagen \*Paladin, Manera visual de obtener imagenes brindando distintas formas de poder realizar el mismo. Buenas practicas para refrescar los conocimientos.

Hice uso de FTK imager para tomar evidencia de un escenario de informática de Linux. Aunque dada la naturaleza de la fuente de información podría mencionar que para mi el ftk imager fue el más eficiente dado que solo era cargar la imagen, también se puede explorar montando la imagen en una VM de linux y haciendo uso de dc3dd.

FTK imager 4.7.1.2 del disco duro y todo muy bien

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.

Otra herramienta utilizada para generar imágenes forenses y que viene instalada por defecto en kali linux es GuyMager 😉

en mi caso habia olvidado de crear una imagen (FTK imagen para linux ) , luego he analizado otro USB de 16 GB y todo me ha ido bien

Bien

¿Cómo es que hay que sacar una imagen de disco cuando trabajamos sobre un servidor RAID-0 o RAID-1?

Qué herramientas recomiendan para hacer adqusición en dispositivos móviles y dispositivos de Internet de las cosas (IoT)?

hice una imagen de una USB que tengo, pero el proceso tardaba mucho, al pararlo logro generar tres archivos de la imagen

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.
Se inicio el proceso y se quedo cargando, después de un largo tiempo decidí para la adquisición y no desmonte el disco externo. Para mi sorpresa se daño el sistema de archivos del disco externo. Con las demás herramientas se realizaron las imágenes forenses de forma satisfactoria.

Realice mi test en FTK Imager en mi primera USB que tengo. Muy practico, Hash verificados, Caso 001 y realice bloqueo contra escritura con la herramienta WinAudit. Vamos Bien es este Curso!

Use ftk imager, paladin y ftk imager en linea de comandos en lo personal me resulto comodo el hacer la creación de imagen con la linea de comandos hice la imagen de una USB de 8GB.

Hice un usb booteable con Paladin.
Quise generar una imagen de un usb a otro(ya son 3 usb conectados).
Tuve varios problemas con Paladin y su montaje de discos. Primero no me montaba RW, luego de un reinicio me daba errores raros. Creí que era problema mío al instalar algo. Claro como soy novato pues eso.
A la tercera hice una y luego otra imagen. Las dos fallidas. Más errores.
¿Estaba haciendo algo mal? Pues no.
La última, después de otro reinicio me fue bien y ya tengo mi imagen forense. No tengo idea de por qué me ha costado tanto pero me quedo tranquilo de que lo estaba haciendo bien.

Para mi CUARTA imagen forense, usé la herramienta EWFAcquire (PALADIN) para generar una imagen en formato EnCase (E01) a un dispositivo externo USB (imágen física) de tamaño de 3.75 GB, en esta ocasión usé la interfaz gráfica PALADIN ToolBox lo que facilitó la tarea para especificar los detalles de la imagen como el número de caso, número de evidencia, examinador, descripción, nivel de compresión y las notas adicionales. Como se ilustra con los siguientes screenshots:

Detalles de los dispositivos conectados:

Especificación del formato de la imagen (E01) y sus detalles:

Proceso de la creación de la imagen:

Fin de la creación de la imagen forense:

Verificación de la imagen y los cálculos de sus HASHES:

USB Write Blocker + FTK Imager for Windows y todo muaaaa…

Muy Interesante, pero tengo un problema que no se si solo a mi me pasa, tengo una laptop con wiindows 10 y con dos discos, un disco es un SSD de 500 Gb y el otro un HDD de 1 TB, resulta que al montar la imagen un paladin, encase o cualquier distro linux, no puedo visualizar el disco SSD de 500GB, y es justo donde se encuentra la Unidad C:/ del windows. He intentado de todo en foros y demás sin resultados. ¿Alguna solución?