Bienvenida y presentación general.

1

Análisis Forense en Sistemas Windows, Unix y Mac

2

Etapas del Proceso de Cómputo Forense

3

Identificación y Preservación en Computo Forense

4

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

5

Elementos Esenciales para la Investigación Forense Digital

6

Procedimiento de Cadena de Custodia en Investigaciones Forenses

7

Primer Respondiente en Informática Forense: Roles y Capacitación

8

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

9

Dispositivos de Bloqueo Contra Escritura: Uso y Función

10

Adquisición de Evidencia con FTK Imager en Informática Forense

11

Creación de Imágenes Forenses: Proceso y Verificación

12

Adquisición de Imágenes Forenses con Gaitán Software

13

Adquisición en Vivo de Memoria RAM para Análisis Forense

14

Creación de Imágenes Forenses en Linux con Paladín

15

Creación de Imágenes Forenses con DD y DC3DD en Linux

16

Adquisición de Imágenes Forenses en Linux con FTK Imager

17

Creación de Imágenes Forenses con Paladín en Dispositivos Apple

18

Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

19

Algoritmos de Funciones Hash y su Uso en Computación Forense

20

Adquisición de Imágenes Forenses: Herramientas y Técnicas

21

Verificación de Imágenes Forenses con Algoritmos Hash

Etapa III: Análisis de Evidencia Pt. 1

22

"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"

23

Sistemas de Archivos en Linux y Mac: Funcionamiento y Características

24

Análisis y Exportación de Imágenes Forenses con FTK Imager

25

Creación y Gestión de Imágenes Forenses Personalizadas

26

Análisis Forense de Archivos de Registro en Windows

27

Análisis Forense de Imágenes de Sistema Operativo Linux

28

Elaboración de Informes Preliminares en Incidentes Informáticos

29

Creación de Imágenes Forenses Personalizadas

30

Elaboración de Informes Preliminares de Investigación

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Archivos SAM con Regripper en Windows

32

Análisis de Archivos de Registro en Windows con Regripper

33

Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

34

Análisis Forense del Registro de Windows: Archivos NTUSER.DAT y ShellBags

35

Ubicaciones clave en el Registro de Windows para la investigación forense

36

Análisis de Archivos Prefetch en Windows para Investigación Forense

37

Funcionamiento y Recuperación de Archivos en la Papelera de Reciclaje Windows

38

Ampliación de Informes de Análisis Forense Digital

Etapa III: Análisis de Evidencia Pt. 3

39

Diferencias de Configuración y Uso entre Linux y Windows

40

Proceso de Inicio de Linux: BIOS, GRUB, Kernel e Init

41

Configuración de Usuarios y Archivos Clave en Linux

42

Análisis de Archivos de Registro en Sistemas Operativos Linux

43

Uso de Autopsy para Análisis Forense Automatizado

44

Ordenar información para informes efectivos

Etapa IV: Presentación.

45

Estructuración de Informes Ejecutivos en Investigaciones Forenses

46

Elaboración de Informes Técnicos en Computación Forense

47

Consejos para Presentar Informes en Procesos Legales

48

Cómo redactar informes efectivos y profesionales

Conclusiones Finales

49

Libros y Recursos Clave para la Investigación Digital

Adquisición de Imágenes Forenses: Herramientas y Técnicas

20/49

Lectura

A lo largo de este módulo aprendiste a usar una gran variedad de herramientas, recursos y técnicas para crear imágenes forenses de diferentes tipos y formatos, y en general para preservar la evidencia que vas a usar en tu investigación. Ahora es momento de aplicar este conocimiento en la práctica.

...

Regístrate o inicia sesión para leer el resto del contenido.

Aportes 33

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Respecto a las preguntas que se hacen en este apartado:

1. ¿Cuál método es más eficiente?
Considero que son muy eficientes aquellos métodos que permiten la compresión, la generación de bloques (fragmentos), aquellos que son compatibles con varias herramientas, los que generan los HASH y que efectúan verificación , en este sentido creo que puedo mencionar al formato de EnCase (E01), cuyas imágenes se pueden generar con las herramientas EWFAcquire (PALADIN-ToolBox) y FTK-Imager.

2.¿Con cuál te sientes mejor?
En cuanto a las herramientas Paladin ToolBox es excelente opción, pero como el profesor lo ha comentado si en algún momento no disponemos de una interfaz gráfica y tenemos que usar la línea de comandos, optaría por usar FTK-Imager y dc3dd.

Para la QUINTA imagen usé la herramienta FTK-Imager para Mac, para generar una imagen a un dispositivo externo USB de 3.75 GB, cuyo punto de montaje fue: /dev/disk02 (usando el parámetro --list-drives se sabe y además usando la herramienta **Utilidad de discos en Mac ** también se puede determinar eso). A continuación los screenshots:

FTK-Imager ejecutándose en la terminal en Mac:

Herramienta Utilidad de discos de Mac para comprobar los dispositivos de almacenamiento conectados:

FTK-Imager creando la imagen forense en Mac:

En este screenshot se puede ver como iba el progreso de la creación, observar la columna de tamaño como iba incrementandose:

La primera imagen que adquirí fue usando la herramienta dd, la obtuve de un dispositivo externo USB, con una capacidad de 3.75GB, con punto de montaje: /dev/sdb y la envié a un archivo llamado Evidencia.00 en un disco duro con una partición NTFS.

Screenshot de la adquisición:

Screenshot del resultado (Imagen Forense con dd):
Como se puede apreciar, la imagen forense quedó de 4GB

Finalmente, calculé el HASH MD5 para esta imagen con md5sum:

Hice mi test con FTK imager. Porque solo tengo Windows disponible por el momento.
Utilicé el USB Write locker y realicé una imagen fisica forense de mi disco externo.

Se realizo la generecion de 4 imagenes forenses. \*Imagen con dd, para probar el tiempo que toma el mismo \*Imagen con dc3dd, la misma me brindo mayor informacion resumen de la imagen obtenida \*FTK Imager, Manera agil de obtener la imagen \*Paladin, Manera visual de obtener imagenes brindando distintas formas de poder realizar el mismo. Buenas practicas para refrescar los conocimientos.

Ya he trabajado previamente con FTK Imager pero solo con imágenes tipo raw y sin compresión. Esta vez utilicé las herramientas de FTK Imager expuestas en el curso creando los distintos tipos de formato solo por curiosidad y funcionalidad de segmentar la imagen ha sido bastante útil, la desconocía por completo. También utilicé el bloqueo contra escritura de WinAudit, algo que ignoraba completamente que existía.

Para mi TERCERA imagen forense usé la herramienta FTK-Imager para Linux, le hice una imagen forense a una partición NTFS de tamaño de 100 MB, cuyo punto de montaje fue: /dev/sda1 y la envié a archivos con fragmentos (bloques) de tamaño de 50 MB en formato EnCase (E01), usando un nivel de compresión de 6 y agregando los datos de número de caso, número de evidencia, descripción, nombre del examinador (del informático forense), notas y además indiqué el parámetro para hacer la verificación de la misma. Como se ilustran en los siguientes screenshots:

Detalles de los dispositivos:

Adquisición de la imagen:

Proceso de la creación:

Finalización y cálculo de los hashes MD5 y SHA1:

Bloques generados en formato EnCase:

Finalmente el archivo log generado:

Yo como solo tengo Windows use FKT imager y lo realice con una memoria de 16gb

Probé FtkImager en MacOs Catalina con una Macbook Air 2014 desde terminal.

  1. Identifique el pendrive y los discos con:
diskutil list
  1. Al ejecutar para crear la imagen desde el pendrive al disco me daba un error de Recurso Ocupado:
sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

/dev/disk3: Resource busy (16)
  1. Luego tuve que desmontar el pendrive con el siguiente comando:
sh-3.2# diskutil unmountdisk /dev/disk3
Unmount of all volumes on disk3 was successful
  1. Recién ahí me funcionó la creación de la imagen forense y en un pendrive de 16GB me demoró aproximadamente 40 minutos:
sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

Creating image...
3074.91 / 15287.97 MB (5.70 MB/sec) - 0:35:40 left   
  1. Al finalizar me creo los archivos con cortes en 1,5GB
![](https://static.platzi.com/media/user_upload/pasted%20image%204-27977923-ffda-46b3-bc25-70507f510e36.jpg)
![](https://static.platzi.com/media/user_upload/pasted%20image%201-e40a3d36-d8a3-490a-94a1-7cb8b8637a88.jpg)
# Imagen Forense de una MicroSD con FTK Imager
![](https://static.platzi.com/media/user_upload/pasted%20image%200-89529866-4199-49d1-876b-c1157f1fad25.jpg)
gracias
FTK Imager para mi fue fácil de utilizar y también permite la posibilidad de comprimir archivos de salida sin reducir la velocidad de copia.
A pesar de haber copiado el link de mis evidencias relacionadas con las imágenes forenses obtenidas, éstas no aparecen.
![](https://docs.google.com/document/d/1kpK0Fy-YFnCamyiCu43-5Ff5CizIa2b-/edit?usp=drive_link\&ouid=105500232598879937838\&rtpof=true\&sd=true)

Hice uso de FTK imager para tomar evidencia de un escenario de informática de Linux. Aunque dada la naturaleza de la fuente de información podría mencionar que para mi el ftk imager fue el más eficiente dado que solo era cargar la imagen, también se puede explorar montando la imagen en una VM de linux y haciendo uso de dc3dd.

FTK imager 4.7.1.2 del disco duro y todo muy bien

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.

Otra herramienta utilizada para generar imágenes forenses y que viene instalada por defecto en kali linux es GuyMager 😉

en mi caso habia olvidado de crear una imagen (FTK imagen para linux ) , luego he analizado otro USB de 16 GB y todo me ha ido bien

Bien

¿Cómo es que hay que sacar una imagen de disco cuando trabajamos sobre un servidor RAID-0 o RAID-1?

Qué herramientas recomiendan para hacer adqusición en dispositivos móviles y dispositivos de Internet de las cosas (IoT)?

hice una imagen de una USB que tengo, pero el proceso tardaba mucho, al pararlo logro generar tres archivos de la imagen

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.
Se inicio el proceso y se quedo cargando, después de un largo tiempo decidí para la adquisición y no desmonte el disco externo. Para mi sorpresa se daño el sistema de archivos del disco externo. Con las demás herramientas se realizaron las imágenes forenses de forma satisfactoria.

Realice mi test en FTK Imager en mi primera USB que tengo. Muy practico, Hash verificados, Caso 001 y realice bloqueo contra escritura con la herramienta WinAudit. Vamos Bien es este Curso!

Use ftk imager, paladin y ftk imager en linea de comandos en lo personal me resulto comodo el hacer la creación de imagen con la linea de comandos hice la imagen de una USB de 8GB.

Hice un usb booteable con Paladin.
Quise generar una imagen de un usb a otro(ya son 3 usb conectados).
Tuve varios problemas con Paladin y su montaje de discos. Primero no me montaba RW, luego de un reinicio me daba errores raros. Creí que era problema mío al instalar algo. Claro como soy novato pues eso.
A la tercera hice una y luego otra imagen. Las dos fallidas. Más errores.
¿Estaba haciendo algo mal? Pues no.
La última, después de otro reinicio me fue bien y ya tengo mi imagen forense. No tengo idea de por qué me ha costado tanto pero me quedo tranquilo de que lo estaba haciendo bien.

Para mi CUARTA imagen forense, usé la herramienta EWFAcquire (PALADIN) para generar una imagen en formato EnCase (E01) a un dispositivo externo USB (imágen física) de tamaño de 3.75 GB, en esta ocasión usé la interfaz gráfica PALADIN ToolBox lo que facilitó la tarea para especificar los detalles de la imagen como el número de caso, número de evidencia, examinador, descripción, nivel de compresión y las notas adicionales. Como se ilustra con los siguientes screenshots:

Detalles de los dispositivos conectados:

Especificación del formato de la imagen (E01) y sus detalles:

Proceso de la creación de la imagen:

Fin de la creación de la imagen forense:

Verificación de la imagen y los cálculos de sus HASHES:

USB Write Blocker + FTK Imager for Windows y todo muaaaa…

Muy Interesante, pero tengo un problema que no se si solo a mi me pasa, tengo una laptop con wiindows 10 y con dos discos, un disco es un SSD de 500 Gb y el otro un HDD de 1 TB, resulta que al montar la imagen un paladin, encase o cualquier distro linux, no puedo visualizar el disco SSD de 500GB, y es justo donde se encuentra la Unidad C:/ del windows. He intentado de todo en foros y demás sin resultados. ¿Alguna solución?