Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

Respecto a las preguntas que se hacen en este apartado:

1. ¿Cuál método es más eficiente?
Considero que son muy eficientes aquellos métodos que permiten la compresión, la generación de bloques (fragmentos), aquellos que son compatibles con varias herramientas, los que generan los HASH y que efectúan verificación , en este sentido creo que puedo mencionar al formato de EnCase (E01), cuyas imágenes se pueden generar con las herramientas EWFAcquire (PALADIN-ToolBox) y FTK-Imager.

2.¿Con cuál te sientes mejor?
En cuanto a las herramientas Paladin ToolBox es excelente opción, pero como el profesor lo ha comentado si en algún momento no disponemos de una interfaz gráfica y tenemos que usar la línea de comandos, optaría por usar FTK-Imager y dc3dd.

Para la QUINTA imagen usé la herramienta FTK-Imager para Mac, para generar una imagen a un dispositivo externo USB de 3.75 GB, cuyo punto de montaje fue: /dev/disk02 (usando el parámetro --list-drives se sabe y además usando la herramienta **Utilidad de discos en Mac ** también se puede determinar eso). A continuación los screenshots:

FTK-Imager ejecutándose en la terminal en Mac:

Herramienta Utilidad de discos de Mac para comprobar los dispositivos de almacenamiento conectados:

FTK-Imager creando la imagen forense en Mac:

En este screenshot se puede ver como iba el progreso de la creación, observar la columna de tamaño como iba incrementandose:

La primera imagen que adquirí fue usando la herramienta dd, la obtuve de un dispositivo externo USB, con una capacidad de 3.75GB, con punto de montaje: /dev/sdb y la envié a un archivo llamado Evidencia.00 en un disco duro con una partición NTFS.

Screenshot de la adquisición:

Screenshot del resultado (Imagen Forense con dd):
Como se puede apreciar, la imagen forense quedó de 4GB

Finalmente, calculé el HASH MD5 para esta imagen con md5sum:

LA SEGUNDA imagen que adquirí fue usando la herramienta dc3dd, empleando el mismo dispositivo externo USB de 3.75 GB, con el punto de montaje: /dev/sdb y la envié a un disco duro interno (NTFS) montado con acceso de lectura/escritura y generando diversos bloques de archivos de 500MB comenzando con Evidencia02.000 y finalizando en Evidencia02.008, calculé sus hashes MD5 y SHA1, usé el modo verbose para mostrar un progreso del proceso y finalmente generando su respectivo archivo log, como se ilustra en las siguientes screenshots:

Adquisición con dc3dd:

Proceso con verbose activado:

Una vez que terminó el proceso, me generó 8 bloques:

El log generado, los **bloques y sus tamaños **son:

El contenido del log es el siguiente:

Hice mi test con FTK imager. Porque solo tengo Windows disponible por el momento.
Utilicé el USB Write locker y realicé una imagen fisica forense de mi disco externo.

Ya he trabajado previamente con FTK Imager pero solo con imágenes tipo raw y sin compresión. Esta vez utilicé las herramientas de FTK Imager expuestas en el curso creando los distintos tipos de formato solo por curiosidad y funcionalidad de segmentar la imagen ha sido bastante útil, la desconocía por completo. También utilicé el bloqueo contra escritura de WinAudit, algo que ignoraba completamente que existía.

Para mi TERCERA imagen forense usé la herramienta FTK-Imager para Linux, le hice una imagen forense a una partición NTFS de tamaño de 100 MB, cuyo punto de montaje fue: /dev/sda1 y la envié a archivos con fragmentos (bloques) de tamaño de 50 MB en formato EnCase (E01), usando un nivel de compresión de 6 y agregando los datos de número de caso, número de evidencia, descripción, nombre del examinador (del informático forense), notas y además indiqué el parámetro para hacer la verificación de la misma. Como se ilustran en los siguientes screenshots:

Detalles de los dispositivos:

Adquisición de la imagen:

Proceso de la creación:

Finalización y cálculo de los hashes MD5 y SHA1:

Bloques generados en formato EnCase:

Finalmente el archivo log generado:

Yo como solo tengo Windows use FKT imager y lo realice con una memoria de 16gb

Probé FtkImager en MacOs Catalina con una Macbook Air 2014 desde terminal.

1. Identifique el pendrive y los discos con:

diskutil list

1. Al ejecutar para crear la imagen desde el pendrive al disco me daba un error de Recurso Ocupado:

sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

/dev/disk3: Resource busy (16)

1. Luego tuve que desmontar el pendrive con el siguiente comando:

sh-3.2# diskutil unmountdisk /dev/disk3
Unmount of all volumes on disk3 was successful

1. Recién ahí me funcionó la creación de la imagen forense y en un pendrive de 16GB me demoró aproximadamente 40 minutos:

sh-3.2# ./ftkimager /dev/disk3 /Users/jlrm/Desktop/EvidenciaJLRM/ImagenForense --e01 --frag 1500MB --compress 6 --case-number PLATZI_01 --evidence-number PLATZI_01_01 --description Pendrive\ De\ JLRM\ Prueba\ de\ Evidencia. --examiner JLRM --notes Prueba\ De\ Evidencia. --verify
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

Creating image...
3074.91 / 15287.97 MB (5.70 MB/sec) - 0:35:40 left   

1. Al finalizar me creo los archivos con cortes en 1,5GB

Hice uso de FTK imager para tomar evidencia de un escenario de informática de Linux. Aunque dada la naturaleza de la fuente de información podría mencionar que para mi el ftk imager fue el más eficiente dado que solo era cargar la imagen, también se puede explorar montando la imagen en una VM de linux y haciendo uso de dc3dd.

FTK imager 4.7.1.2

se realizo la imagen forense del disco duro y todo muy bien

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.

Otra herramienta utilizada para generar imágenes forenses y que viene instalada por defecto en kali linux es GuyMager 😉

en mi caso habia olvidado de crear una imagen (FTK imagen para linux ) , luego he analizado otro USB de 16 GB y todo me ha ido bien

Bien

¿Cómo es que hay que sacar una imagen de disco cuando trabajamos sobre un servidor RAID-0 o RAID-1?

Qué herramientas recomiendan para hacer adqusición en dispositivos móviles y dispositivos de Internet de las cosas (IoT)?

hice una imagen de una USB que tengo, pero el proceso tardaba mucho, al pararlo logro generar tres archivos de la imagen

Realice la imagen forense desde paladín, de una memoria usb a un disco externo.
Se inicio el proceso y se quedo cargando, después de un largo tiempo decidí para la adquisición y no desmonte el disco externo. Para mi sorpresa se daño el sistema de archivos del disco externo. Con las demás herramientas se realizaron las imágenes forenses de forma satisfactoria.

Realice mi test en FTK Imager en mi primera USB que tengo. Muy practico, Hash verificados, Caso 001 y realice bloqueo contra escritura con la herramienta WinAudit. Vamos Bien es este Curso!

Use ftk imager, paladin y ftk imager en linea de comandos en lo personal me resulto comodo el hacer la creación de imagen con la linea de comandos hice la imagen de una USB de 8GB.

Hice un usb booteable con Paladin.
Quise generar una imagen de un usb a otro(ya son 3 usb conectados).
Tuve varios problemas con Paladin y su montaje de discos. Primero no me montaba RW, luego de un reinicio me daba errores raros. Creí que era problema mío al instalar algo. Claro como soy novato pues eso.
A la tercera hice una y luego otra imagen. Las dos fallidas. Más errores.
¿Estaba haciendo algo mal? Pues no.
La última, después de otro reinicio me fue bien y ya tengo mi imagen forense. No tengo idea de por qué me ha costado tanto pero me quedo tranquilo de que lo estaba haciendo bien.

Para mi CUARTA imagen forense, usé la herramienta EWFAcquire (PALADIN) para generar una imagen en formato EnCase (E01) a un dispositivo externo USB (imágen física) de tamaño de 3.75 GB, en esta ocasión usé la interfaz gráfica PALADIN ToolBox lo que facilitó la tarea para especificar los detalles de la imagen como el número de caso, número de evidencia, examinador, descripción, nivel de compresión y las notas adicionales. Como se ilustra con los siguientes screenshots:

Detalles de los dispositivos conectados:

Especificación del formato de la imagen (E01) y sus detalles:

Proceso de la creación de la imagen:

Fin de la creación de la imagen forense:

Verificación de la imagen y los cálculos de sus HASHES:

USB Write Blocker + FTK Imager for Windows y todo muaaaa…

Muy Interesante, pero tengo un problema que no se si solo a mi me pasa, tengo una laptop con wiindows 10 y con dos discos, un disco es un SSD de 500 Gb y el otro un HDD de 1 TB, resulta que al montar la imagen un paladin, encase o cualquier distro linux, no puedo visualizar el disco SSD de 500GB, y es justo donde se encuentra la Unidad C:/ del windows. He intentado de todo en foros y demás sin resultados. ¿Alguna solución?