A que nos referimos cuando decimos, “virtualizando

evidencias?”

#
Virtualizando evidencias
Para que nos puede servir realizarlo?

En algunos casos cuando se hace la investigación de un

caso forense, es mas fácil para el investigador realizar
una vista de la evidencia que se tiene.

• Ejecutar herramientas sobre el equipo

• Ejecutar una aplicación propietaria
• Visualizar y presentar la evidencia mas “real”.

#
Las herramientas que se utilizan pueden ser:

• VMWARE
• Virtualbox
• LiveView
• FTK
• Mount Imagen pro (de pago)
• VFC Virtual Forensic Computer Toolkit
• OSFMount
• Algunos comandos

#
Primeros pasos…

Convertiremos esos archivos DD en un disco “físico” para

nuestro sistema

Para que esto funcione debemos unir los archivos de

evidencia (si es que están divididos) para que quede solo
1 archivos de evidencia.

Windows= copy /B NOMBRE.* archivo.raw

Linux= cat nombre.* > imagen.raw
#
Windows= copy /B NOMBRE.* archivo.raw
Linux= cat nombre.* > imagen.raw

#
Ahora convertir ese archivo en un archivo VDI:

RAW/DD en VDI (formato virtual) gracias a

VBOXMANAGE:

VBoxManage convertdd ARCHIVO.raw ARCHIVO.vdi --

format VDI

#
VBoxManage convertdd ARCHIVO.raw ARCHIVO.vdi --format VDI

#
Ahora vamos a montar nuestra imagen y levantar la virtual, para esto primero
debemos convertir nuestro archivo de evidencia (disco duro) en “inmutable” para que
todos los cambios se guarden de manera temporal y luego vuelva a su estado
original.

#
Creamos nuestra virtual con nuestro VDI y la encendemos y vemos que sucede.

#
Para que nos puede servir realizarlo?

En algunos casos cuando se hace la investigación de un

caso forense, es mas fácil para el investigador realizar
una vista de la evidencia que se tiene.

• Ejecutar herramientas sobre el equipo

• Ejecutar una aplicación propietaria
• Visualizar y presentar la evidencia mas “real”.

#
Consultas?