Adquisición en Vivo de Memoria RAM para Análisis Forense

Clase 13 de 49 • Curso de Informática Forense

Contenido del curso

Bienvenida y presentación general.

Etapa I: Identificación

Etapa II: Preservación

Etapa III: Análisis de Evidencia Pt. 1

Etapa III: Análisis de Evidencia Pt. 2

Etapa III: Análisis de Evidencia Pt. 3

Etapa IV: Presentación.

Conclusiones Finales

49
Libros y Recursos Clave para la Investigación Digital
04:56 min

Tomar examen

Resumen

En esta clase haremos la adquisición de una imagen lógica en equipos que no pueden apagarse o que si se apagan vamos a perder y/o alterar la información que necesitamos; haremos adquisiciones en vivo.

Un ejemplo de adquisición en vivo es para un servidor de correo, dicho servidor no debe apagarse y debe estar siempre encendido. En ese caso utilizaremos la adquisición en vivo para obtener toda la información. Vamos a utilizar la versión portable de FTK Imager Portable para no alterar el sistema en ningún sentido.

Comentarios

Rufo Cesar Seechi Castañeda

student•

Pasos para realizar una imagen en FTK Imager:

Create Disk Image
Logical Drive
Source Drive Selection
Add
Select Image Type (E01)
Evidence Item Information
Select Image Destination Start.

Sergio Alvarez

student•

Acostumbro convertir el disco de una maquina en vivo en linux a formato vmware por red con el convert que ofrecen libremente...es buena practica? existen mejores opciones para maquinas en vivo en estos casos?...gracias

Michael Arias Fajardo

student•

Para recuperación información borrada de un disco se debe realizar una imagen física, dado que con una imagen lógica no sería posible, puesto que se copia aquello que los datos representan para el sistema, omitiendo entre otros los espacios no asignados.
En el caso de discos cifrados, una imagen física queda cifrada pues copia el contenido a un bajo nivel, por lo que la imagen lógica será la mejor opción en caso que no tengamos acceso a la llave de descifrado.

Bryan Gutierrez Salas

student•

12 Gb de Ram casi nada!

Herbert Castaneda

student•

favo adjuntar el ftk imager lite

Carlos Cuevas Sosa

student•

¿Cuál es la diferencia entre ejecutar el programa "lite" e instalarlo en el dispositivo?

Helios Barrera Hernández

student•

Esto es lo que yo pienso Creo que cuando instalas el programa lo que haces es guardar archivos necesarios para su ejecución en el Disco Duro, y cuando ejecutas el lite no o a que te refieres bro?

Andres Camilo Brinez Nunez

student•

aún no entiendo la diferencia entre una imagen física y una lógica.

Joscelyn Nieves

student•

Imagen Física (Bitstream Image)

Qué es: Una copia exacta, bit por bit, de todo el disco duro o dispositivo, incluyendo sectores no asignados, archivos borrados y espacio libre.
Alcance: Todo el medio de almacenamiento, como una "fotografía" completa y cruda.
Tamaño: Grande (similar al tamaño total del disco).
Uso Principal: Análisis forense digital, recuperación profunda de datos, análisis de malware.

Imagen Lógica (Logical Image)

Qué es: Solo copia los archivos y directorios que están actualmente en uso o asignados en el sistema de archivos, como se vería al navegar por el explorador de archivos.
Alcance: Los datos visibles y accesibles para el usuario.
Tamaño: Más pequeño, solo el tamaño de los datos activos.
Uso Principal: Respaldo y recuperación de sistemas, copias de seguridad.

Ejemplo: Si tienes un disco de 1TB y solo 30GB están en uso, una imagen física de ese disco sería de 1TB (o casi), mientras que una imagen lógica solo contendría esos 30GB (sin comprimir).

Felipe Rojas Reyes

student•

Como puedo descargar fkt imager?

MARIO ALBERTO CORNELIO HERNANDEZ

student•

¿Que sucede si se formatea el disco duro? aún así podríamos recuperar la información antes de que haya sido formateado?

Alexander Maldonado Soto

student•

Cuando tu formateas un discoduro se borra toda la informacion que puedes ver, pero quedan pequeños fragmentos en disco duro de los daros que borraste por lo tanto se pueden recuperar aunque tambien hay cierta probabilidad de que no queden fragmentos

Emmanuel Corona

student•

no me queda claro lo de una imagen lógica y una imagen física, abra alguien que me pueda explicar y apoyar para poder entender de mejor forma por favor.

Javier Torres

student•

Si el propósito de obtener una imagen lógica es evitar manipular la evidencia, ¿ cómo se evita que sea manipulado si se debe mantener todo el tiempo en vivo ?

Jose Luis Quintero Sanchez

student•

Si estamos haciendo una Adquisición en Vivo, pregunto, ¿Genera algún impacto en performance o indisponibilidad de servicio si hacieramos una Copa de Imagen Física?

Jesus E. Rocca

student•

🔍Como obtener FTK Imager live

MARIA TERESA PANIAGUA RIVERA

student•

gracias

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Angel Perez

student•

Buenas tardes.

Tampoco se encuentra disponible FTK Imager live o lite para poder desarrollar la práctica de esta clase.

Por favor me podrían compartir un enlace confiable.

Gracias

Jorge Lima Urianzabar

student•

Hola esta la nueva versión que esta disponible

Diana Sisley Reinoso Caicedo

student•

Cordial saludo profesor Juan Pablo Caro,

Por favorme puede informar si es posible accder al link de imager lite. En la página de access data no se encuentra activo para descarga.Gracias.

Oscar Jaramillo

student•

Muy bien

César Raúl Cacho Leon

student•

En mi caso cuando quiero iniciar el FTK imager lite, me sale un anuncio de windows "esta aplicacion se ha bloqueado para protegerte" Alguien le ha pasado lo mismo :c?

JUAN ANTONIO SANTEL CHETLA

student•

desactiva el firewall

Jesus Alberto Peralta Hernandez

student•

donde se descarga la versión portable de ftk imager?

Manuel Antonio Escobar

student•

Hola La puedes descargar del siguiente enlace: https://accessdata.com/product-download/ftk-imager-lite-version-3-1-1

Adquisición en Vivo de Memoria RAM para Análisis Forense

Bienvenida y presentación general.

Análisis Forense en Sistemas Windows, Unix y Mac

Etapas del Proceso de Cómputo Forense

Identificación y Preservación en Computo Forense

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

Elementos Esenciales para la Investigación Forense Digital

Procedimiento de Cadena de Custodia en Investigaciones Forenses

Primer Respondiente en Informática Forense: Roles y Capacitación

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

Dispositivos de Bloqueo Contra Escritura: Uso y Función

Adquisición de Evidencia con FTK Imager en Informática Forense

Creación de Imágenes Forenses: Proceso y Verificación

Adquisición de Imágenes Forenses con Gaitán Software