Академический Документы
Профессиональный Документы
Культура Документы
Por:
INTRODUCCIÓN
La evidencia digital por su misma naturaleza es frágil, por lo tanto puede llegar a
alterarse, dañarse, o destruirse a causa de un manejo incorrecto de los procedimientos
o por desconocimiento de los mismos. Por esta razón es de mucha importancia tomar
las precauciones necesarias que garanticen la conservación de la eviden cia al momento
de realizar una extracción de imagen a un dispositivo que sea objeto de análisis. Es
importante anotar que no se debe trabajar sobre los discos o dispositivos originales que
contienen la evidencia a analizar, es necesario realizar copias, imágenes de estos
dispositivos, para trabajar sobre estas copias, que deben entre otras, garantizar que
son idénticas al original.
Helix que está diseñada para ambientes Linux y Windows y permite trabajar en entorno
gráfico.
FTK IMAGER, es una herramienta de ACCES DATA, de distribución libre aunque FTK
tiene una amplia gama de herramientas propietarias de distribución comercial. Esta
herramienta es ampliamente utilizada por informáticos forenses, por su gran
confiabilidad y velocidad en la realización de imágenes.
Por otro lado, a nivel de hardware también se cuenta con muchas herramientas que
permiten realizar estas imágenes forenses, por ejemplo:
DESARROLLO DE LA PRÁCTICA
Bloqueadores de Escritura.
Otros dispositivos de hardware que son importantes considerar, son los bloqueadores
de escritura, ver figura #1, estos dispositivos permiten mantener la integridad de la
evidencia en momentos que el investigador informático forense deba realizar el
Los bloqueadores de escritura son conectados entre el disco duro a examinar y el equipo
forense y evitan contaminar la evidencia el dispositivo no permite que se copie nada al
disco, manteniendo así la integridad de la evidencia.
Nota:
Generalmente el valor de StorageDevicePolicies no existe.
Debe crearlo manualmente al igual que el valor de writeProtect.
¿Cómo se hace en Windows 10?
4) Haga clic con el botón derecho en la tecla Control (carpeta), seleccione Nuevo y haga
clic en Clave. Ver Figura 6.
Figura 9. WriteProtect
8) Haga doble clic en el DWORD recién creado y cambie su valor de 0 a 1. Ver Figura 10.
Si los pasos anteriores quedaron bien hechos, se debe mostrar un mensaje como el de
la Figura 11, al intentar guardar o escribir sobre el dispositivo, pues quedó protegido
contra escritura.
3. Verifique que, si puede leer información del dispositivo, recuerde que solo
está bloqueado para escritura.
Para esto, simplemente se abre algún archivo que se encuentre en el dispositivo evidencia. Ver
Figura 12.
Figura 12. Apertura de archivo dentro del dispositivo
4. Retire el dispositivo
En esta parte de debe realizar la extracción de imágenes forenses, no sobra repetir que
se debe hacer preservando la evidencia, es decir conservar la integridad de la evidencia.
Para esto utilizaremos la herramienta FTK IMAGER.
Primero debe conectar a su equipo los dispositivos, con las precauciones del caso:
1
http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.1.0
¿Cuántos muestra?
Figura 15. Opción 1: Physical Drive
R/. Se debe usar la opción de Physical Drive ya que esta permite extraer imágenes de todos
los discos (dispositivos) que están conectados físicamente (o directamente conectados al
Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)
Forense Página 11
equipo, discos internos, externos, USB...)
Figura 19. Opción Physical Drive
Se puede observar en el archivo .txt la información del caso, como el número del caso, numero
de evidencia, descripción, nombre del examinador y notas. Se puede también ver la información
del disco físico, como su modelo, numero serial, el tamaño de la información y los diferentes
segmentos en que se dividió la información. Igualmente se puede ver los hashes.
FTK Imager
Coste: Es un producto gratuito
Permite montar: Prácticamente todo tipo de formatos de imagen forenses habituales, como
Encase, SnapBack, Safeback, Expert Witness, Linux DD, ICS, Ghost, SMART, AccessData
Logical Image y Advanced Forensics Format (AFF), con un soporte muy extenso para sistemas
de ficheros de unidades ópticas, discos duros cifrados y sistemas de fichero de disco
P2 eXplorer Pro
Coste: Existe una versión de pago (99 USD) y una versión gratuita
Permite montar: Paraben's Forensic Replicator, Paraben's Forensic storage containers, Encase
4-5-6, Safeback, RAW, DD, FTK Encase, FTK DD y FTK SMART
Para visualizar el contenido de la imagen, que en este caso será parcialmente, pues la
herramienta FTK IMAGER, no incluye el módulo de análisis de evidencia.
Se debe seleccionar Image File, pues contamos con archivo origen de imagen, el que
se acaba de crear, y requerimos que sea visualizado.
En esta parte de debe realizar la extracción de imágenes forenses, no sobra repetir que
se debe hacer preservando la evidencia, es decir conservar la integridad de la evidencia.
Para esto utilizaremos la herramienta ENCASE IMAGER.
Una característica de este software es que no requiere ser instalada, puede ejecutarse
directamente desde la unidad forense externa. Puede descargarse en versión para 64 o
32 bits.
Con ENCASE IMAGER es necesario cargar la imagen a la aplicación, recuerde que con
FTK IMAGER la imagen se realiza desde los dispositivos conectados al equipo.
2
https://www.guidancesoftware.com/encase-forensic-imager
Restat Acquisition: Se usa si se quiere continuar con una imagen previa, en este
caso no se señala pues la evidencia es nueva.
Output Path: Ruta donde quiera que se almacenen los archivos generados.
Al terminar el proceso, puede verificar en el directorio que seleccionó, que haya quedado
la imagen correspondiente.
ACTIVIDADES DE CONSULTA
A. Podemos trabajar en entornos Mac OS X, Windows and Linux con un único interfaz.
C. Contiene diversas aplicaciones de código abierto que nos permiten analizar datos,
incluyendo los contenidos en teléfonos móviles.
Sleuthkit LibPff
LinEn Volatility plus many plugins
Libewf + mount_ewf moto4lin
Carvfs gmobilemedia
cryptsetup gammu
Truecrypt gnokii
lvm2 frag_find
Scalpel pythonraw
Foremost ptfinder
Una herramienta utilizada por los militares, las policías y las entidades cuando llega el momento
de realizar operaciones forenses. Este paquete es probablemente uno de los más robustos
disponibles a través de código abierto, combina las funcionalidades de muchos otros paquetes
más pequeños que están más enfocados en su enfoque en una aplicación ordenada con una
interfaz de usuario basada en el navegador web. Se usa para investigar imágenes de disco.
Cuando hace clic en Autopsy, inicia el servicio y se puede acceder a su interfaz de usuario en
el navegador web en http://localhost:9999/autopsy. Brinda al usuario una gama completa de
opciones necesarias para crear un nuevo archivo de caso: Nombre del caso, Descripción,
Nombre del investigador, Nombre de host, Huso horario del host, etc.
Su robustez es lo que lo convierte en una gran herramienta, ya sea gestión de casos, análisis
o informes, esta herramienta lo tiene cubierto.
FTK Imager es una herramienta de análisis forense disponible en la Web de AccessData, esun
paquete gratuito, que pueden descargar los usuarios de FTK AccessData. El atributo más
importante de FTK Imager es que permite varios formatos para la creación de imágenes. En su
lugar, FTK Imager nos permite crear una imagen de un disco como EnCase, SMART o DD
(pura). Además, FTK Imager es el único producto que puede convertir tipos de imágenes, lo
que significa que podemos tomar una imagen de EnCase y producir una imagen pura o SMART
a partir de ella.
Sintaxis Básica:
La sintaxis más básica para el uso del comando dd, seria esta:
sudo dd if=origen of=destino
Donde if significa “input file=archivo de entrada “, es decir, lo que se quiere copiar y of significa
“output file=archivo de salida “, o sea, el archivo destino (don de se van a copiar los datos);
origen y destino pueden ser dispositivos (lectora de CD o DVD, disco duro, diskettera, pendrive,
partición, etc.), archivo de copia de seguridad o imagen de disco, etc, pero no carpetas o
subcarpetas.
Para el uso sin problemas de este comando, lo primero siempre es tener claro cómo se llaman
las particiones/discos duros en Linux (/dev/sda1 por ejemplo; /dev deriva de device= dispositivo,
en inglés).
Se debe utilizar este comando con precaución, y comprobando siempre el orden y nombre de
los discos/particiones, porque lo mismo que se clona un disco, lo borra en un visto y no visto.
Sintaxis con el comando pv: Usar el comando dd con la sintaxis anterior tiene un pequeño
inconveniente, ya que es un comando muy reservado – no da información – , pues al ejecutarlo,
el prompt de la terminal queda inmóvil, por lo que no sabemos que es lo que está pasando y
cuánto tiempo falta para que termine de ejecutarse. Este pequeño inconveniente se puede
solucionar añadiendo el comando pv, ( *) – el cual actúa como una tubería de terminal que mide
los datos que pasan a través de ella- a la sintaxis del comando dd , de forma que ahora la
sintaxis seria:
1. SIERRA, José María, HERNÁNDEZ, Julio Cesary RIBAGORDA, Arturo. Retos de la informáticaforense. Agora Sic.
Volumen 33. Agosto 2003. Herramientas y manuales para Informática Forense. Disponibles en:
http://www.jbex.net/seguridad-informatica/manuales
2. Cano Martines Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y Análisis. Agosto de
2003.
http://www.alfa-redi.org/rdi-articulo.shtml?x=1304
3. IOCE, Guidelines for the best practices in the forensic examination of digital technology, 2002. Disponible:
http://www.ioce.org/2002/ioce_bp_exam_digit_tech.html