Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

¿Cómo crear una imagen forense de un Mac sin usar Paladín?

Explorar herramientas y métodos alternativos para realizar imágenes forenses es crucial para cualquier profesional en forenses digitales. A veces, la herramienta que frecuentemente usas, como Paladín, puede no estar disponible, y tener un arsenal diverso puede ser una ventaja significativa. En esta guía, aprenderás a utilizar el modo de transferencia de Mac (Target Disk Mode) y FTK Imager para crear una imagen forense.

¿Qué es el modo de transferencia de disco?

El modo de transferencia de disco, o Target Disk Mode, es una función típica de los Mac que permite que un computador arranque sin iniciar su sistema operativo, presentándose como un disco externo. Esto te permite conectar el computador a otro dispositivo a través de un puerto específico (como Thunderbolt o USB) y acceder a sus datos como si fuera un disco externo.

Ventajas:

• No se activa el sistema operativo, proporcionando protección contra escritura.
• Muy útil en equipos encriptados, ya que se evita la modificación accidental de los datos.

¿Cómo conectar y preparar los dispositivos?

Primero, asegurémonos de tener todo el equipo necesario y preparado para el procedimiento:

1. Equipos necesitados:

   • Un Mac que actúe como el computador objetivo (del cual crearás la imagen).
   • Otro Mac para capturar y almacenar la imagen.
   • Un USB de almacenamiento ya configurado y con el ejecutable FTK Imager.

2. Cables y conexiones:

   • Utiliza el cable adecuado (Thunderbolt o USB) para conectar los dos Mac.

3. Procedimiento:

   • Enciende el Mac objetivo y, al escuchar el sonido de arranque, presiona la tecla T. Esto iniciará el modo de transferencia de disco y verás en pantalla un ícono del puerto utilizado.

¿Cómo iniciar el proceso de imagen forense?

Una vez configurado el modo de transferencia y conectado correctamente el dispositivo, sigue estos pasos en el Mac que capturará la imagen:

1. Acceso a la terminal:

   • Inicia sesión en tu terminal de Mac con privilegios de administrador, utilizando sudo para elevar privilegios al igual que en sistemas Unix.

2. Verifica los discos y particiones:

   • Utiliza el comando diskutil para comprobar los dispositivos y particiones conectadas:

     diskutil list
     

3. Ejecuta FTK Imager:

   • Navega a la ubicación del ejecutable FTK Imager en el USB.
   • Visualiza la ayuda del programa para entender sus parámetros:

     ./FTKImager -help
     

4. Crea la imagen forense:

   • Configura y ejecuta el comando para iniciar el proceso de imagen:

     ./FTKImager /ruta_del_disco_de_origen /ruta_de_destino/imagen.E01 -e01 -fragment 1500 -compress 6 -case nombre_caso -evidencenumber 01 -examiner "TuNombre" -verify
     

   • Aquí designas la ruta de destino, el formato, las opciones de compresión, el identificador de caso y de evidencia, entre otros.

¿Qué hacer mientras se genera la imagen?

El tiempo necesario para completar el proceso puede variar, donde la duración promedio puede rondar entre tres y cuatro horas, dependiendo del tamaño del disco y la velocidad de conexión. Durante este tiempo, es vital no interrumpir el proceso para evitar inconsistencias en los datos almacenados. Aunque el video no muestra el final del proceso, te animo a probarlo por ti mismo para ver resultados completos y verificar la imagen generada.

¿Cómo garantizar la integridad de la imagen?

Asegurar la integridad de la imagen es clave en el proceso forense. Al finalizar la creación de la imagen, FTK Imager permite realizar un proceso de verificación. Este paso utiliza algoritmos de hash para asegurar que la imagen capturada es una copia exacta del disco original, sin alteraciones.

Con esta serie de pasos, te habrás armado de una técnica útil en la creación de imágenes forenses en equipos Mac, utilizando otra herramienta valiosa además del conocido Paladín. ¡No dejes de practicar y explorar para perfeccionar tus habilidades!