FACULTAD DE INGENIERÍA

DEPARTAMENTO DE OPERACIONES Y SISTEMAS

PROGRAMA DE INGENIERÍA INFORMÁTICA

LABORATORIOS DE INFORMÁTICA FORENSE

EXTRACCIÓN Y PRESERVACIÓN DE LA EVIDENCIA

(FTK IMAGER y ENCASE IMAGER)

Por:

INTRODUCCIÓN

La evidencia digital por su misma naturaleza es frágil, por lo tanto puede llegar a
alterarse, dañarse, o destruirse a causa de un manejo incorrecto de los procedimientos
o por desconocimiento de los mismos. Por esta razón es de mucha importancia tomar
las precauciones necesarias que garanticen la conservación de la eviden cia al momento
de realizar una extracción de imagen a un dispositivo que sea objeto de análisis. Es
importante anotar que no se debe trabajar sobre los discos o dispositivos originales que
contienen la evidencia a analizar, es necesario realizar copias, imágenes de estos
dispositivos, para trabajar sobre estas copias, que deben entre otras, garantizar que
son idénticas al original.

Para esta tarea de extracción de imágenes, existen diferentes tipos de herramientas de

software, de tipo comercial como libre, así mismo se puede contar en el mercado con
una muy buena gama de dispositivos de hardware que ayudan a realizar este trabajo.

Entre el software que nos permite la extracción de imágenes de medios de

almacenamiento tenemos el comando dd.exe el cual es bastante confiable y
recomendable su uso, existe para Linux y para Windows, el problema que presenta es
el tiempo que requiere para realizar la copia, pues se toma mucho tiempo para realizar
las imágenes; considerando que es frecuente analizar discos de gran tamaño, el
comando pierde funcionalidad, por lo que se recomienda a cambio el uso de otras
herramientas.

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 1
Por ejemplo podemos considerar herramientas como:

Helix que está diseñada para ambientes Linux y Windows y permite trabajar en entorno
gráfico.

FTK IMAGER, es una herramienta de ACCES DATA, de distribución libre aunque FTK
tiene una amplia gama de herramientas propietarias de distribución comercial. Esta
herramienta es ampliamente utilizada por informáticos forenses, por su gran
confiabilidad y velocidad en la realización de imágenes.

ENCASE, es otra herramienta de bastante aceptación y uso por informáticos forenses,

de GUIDANCE SOFTWARE, incluye dentro de sus paquetes un módulo para creación
de imágenes que resultan de muy alta aceptación.

Por otro lado, a nivel de hardware también se cuenta con muchas herramientas que
permiten realizar estas imágenes forenses, por ejemplo:

• Tableau TD1, TD2

• LOGICUBE QUEST
• ULTRABLOCK

Estos son dispositivos diseñados para la extracción de imágenes y duplicación de

discos.

La diferencia entre usar herramientas de software o herramientas de hardware,

fundamentalmente está en la velocidad empleada y por lo tanto el tiempo que tarda uno
u otro en realizar la imagen, por ejemplo, mientras que las herramientas de software
trabajan a tasas entre 200 a 300 MB por minuto, las herramientas de hardware lo hacen
entre 5,5 a 6 MB por minuto, esto quiere decir, por ejemplo que para un disco duro de
unos 500 GB, con herramientas de software podríamos tardar entre unas 8 a 10 horas,
mientras que con herramientas de hardware para este mismo disco duro se podría tardar
un poco menos de 2 horas. Por esta razón se emplean las herramientas de hardware
cuando se requiere realizar análisis in situ por la urgencia del análisis y no esperar el
tiempo que se toma en el laboratorio forense. Sin embargo, ambos resultados son
buenos.

OBJETIVO GENERAL DE LA PRÁCTICA

Aplicar técnicas de informática forense para la recolección de evidencia digital (creación

de imagen) mediante el uso de herramientas de software libre como FTK IMAGER y
ENCASE IMAGER, manteniendo los principios de integridad de los datos.

DESARROLLO DE LA PRÁCTICA

Bloqueadores de Escritura.
Otros dispositivos de hardware que son importantes considerar, son los bloqueadores
de escritura, ver figura #1, estos dispositivos permiten mantener la integridad de la
evidencia en momentos que el investigador informático forense deba realizar el

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 2
Análisis de un disco al que no se le ha sacado una imagen, esto puede ocurrir en el
lugar de los hechos o en la escena del delito.

Los bloqueadores de escritura son conectados entre el disco duro a examinar y el equipo
forense y evitan contaminar la evidencia el dispositivo no permite que se copie nada al
disco, manteniendo así la integridad de la evidencia.

Figura 1. Bloqueadores de Escritura

Fuente: Bloqueadores de escritura TABLEAU, tomado de Internet

Sin embargo si no se tiene el bloqueador de escritura a nivel de hardware, se puede

usar una herramienta que provee el sistema operativo.

PARTE 1: Bloqueador de Escritura desde el Sistema Operativo Windows

En caso de no contar con el equipo requerido para bloquear la escritura en dispositivos

de almacenamiento, podemos hacer uso de las herramientas que provee el sistema
operativo:

1. Bloqueo de puertos USB:

HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Control
→ StorageDevicePolicies → writeProtect
(Cambie el valor de “writeProtect”)

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 3
Al realizar esto, se puede colocar el disco evidencia en un “enclosure”, ver figura #2,
(caja/rack), esto nos deja el disco duro con conexión por USB para usarlo como disco
externo.
Figura 2. Disco duro externo con conexión por USB

Fuente: Imagen tomada de Internet

Nota:
Generalmente el valor de StorageDevicePolicies no existe.
Debe crearlo manualmente al igual que el valor de writeProtect.
¿Cómo se hace en Windows 10?

1) Use el método abreviado de teclado + R de Windows para abrir el comando ejecutar.

Ver Figura 3.

Figura 3. Comando ejecutar en Windows 10

Fuente: . Autor del documento

2) Escriba regedit y haga clic en Aceptar. Ver Figura 4.

Figura 4. Ejecución regedit en Windows 10

Fuente: Autor del documento

Preservaciónde Evidencia(FTK y ENCASE)

Página 4
3) Vaya a la siguiente ruta HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \
Control. Ver Figura 5.

Figura 5. Ruta HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control

Fuente: Autor del documento

4) Haga clic con el botón derecho en la tecla Control (carpeta), seleccione Nuevo y haga
clic en Clave. Ver Figura 6.

Figura 6. Nueva Clave

Fuente: L. Autor del documento

5) Asigne un nombre a la nueva clave StorageDevicePolicies y presione Entrar. Ver Figura

7.
Figura 7. StorageDevicePolicies

Fuente: . Autor del documento

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 5
6) Seleccione esta nueva clave, haga clic derecho en el lado derecho, seleccione Nuevo y
haga clic en el valor DWORD (32 bits). Ver Figura 8.

Figura 8. Valor DWORD (32 bits).

Fuente: Autor del documento

7) Asigne un nombre como WriteProtect y presione Entrar. Ver Figura 9.

Figura 9. WriteProtect

Fuente: . Autor del documento

8) Haga doble clic en el DWORD recién creado y cambie su valor de 0 a 1. Ver Figura 10.

Figura 10. Cambio de Valor WriteProtect

Fuente: . Autor del documento

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 6
 9) Haga clic en Aceptar y cierre el registro.

2. Intente grabar alguna información en el dispositivo.

Si los pasos anteriores quedaron bien hechos, se debe mostrar un mensaje como el de
la Figura 11, al intentar guardar o escribir sobre el dispositivo, pues quedó protegido
contra escritura.

Figura 11. Mensaje de Windows, disco protegido contra escritura

Fuente: . Autor del documento

3. Verifique que, si puede leer información del dispositivo, recuerde que solo
está bloqueado para escritura.

Para esto, simplemente se abre algún archivo que se encuentre en el dispositivo evidencia. Ver
Figura 12.
Figura 12. Apertura de archivo dentro del dispositivo

Fuente: . Autor del documento

4. Retire el dispositivo

Ya realizada la práctica, vuelva a dejar el writeProtect en su valor original, para que el

Sistema de Registro de Windows quede funcionando normalmente.

PARTE 2: Extracción de imágenes Forenses con FTK IMAGER1

En esta parte de debe realizar la extracción de imágenes forenses, no sobra repetir que
se debe hacer preservando la evidencia, es decir conservar la integridad de la evidencia.
Para esto utilizaremos la herramienta FTK IMAGER.

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 7
Ver imagen del pantallazo (ventana inicial) en la Figura 13, en su versión 3.1 de la
empresa Access Data.

Figura 13. Pantalla de inicio de FTK IMAGER

Fuente: Autor del documento

Primero debe conectar a su equipo los dispositivos, con las precauciones del caso:

Disco Evidencia (dispositivo objeto de estudio) y

Disco Forense (dispositivo de almacenamiento, copia de la evidencia).

Luego ejecute FTK IMAGER.

1
http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.1.0

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Elaborado por: Página 8
En la Figura 13, se muestra el icono del ejecutable de FTK IMAGE y la ventana de inicio.
Pulse Click en la pestaña File, opción Create Disk Image… La Figura 14 muestra cinco
(5) opciones para escoger la opción deseada, de acuerdo con los requerimientos que
tengamos.

Figura 14. Opciones para la creación de un disco de Imagen

Fuente: . Autor del documento

La opción 1: Physical Drive

Permite extraer imágenes de todos los discos (dispositivos) que están conectados
físicamente (o directamente conectados al equipo, discos internos, externos, USB…)

Observe los dispositivos conectados físicamente.

¿Cuántos muestra?
Figura 15. Opción 1: Physical Drive

Fuente: . Autor del documento

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 9
R/. Muestra el disco duro del equipo y las dos memorias USB que se encuentran conectadas.

¿Qué capacidad de almacenamiento tiene cada uno?

R/. El disco del equipo tiene una capacidad de 256GB, la primera memoria USB tiene una
capacidad de 8GB y la segunda tiene una capacidad de 512MB.

¿Cómo representa Windows los dispositivos de almacenamiento conectados?

R/. Windows representa los dispositivos de almacenamiento como unidades físicas conectadas.

La opción 2: Logical Drive

Permite ver y así mismo poder seleccionar la partición del disco duro que queramos
trabajar.

Observe las particiones del disco duro conectado.

Figura 16. Opción 2: Logical Drive

Fuente: . Autor del documento

¿Cuántas y cuáles son las particiones que tiene el disco?

R/. En este caso ninguno de los dispositivos de almacenamiento tiene particiones de disco.

La opción 3: Image File

Permite extraer la imagen forense de un solo archivo que se encuentre en el dispositivo
evidencia. Para esto puede indicar la ruta donde se encuentra el archivo, o escoger el
archivo buscándolo por el explorador, basta con dar Click en la opción Browse… y
seleccionar el archivo requerido.

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 10
 Figura 17. Opción 3: Image File

Fuente: Autor del documento

La opción 4: Contents of a Folder

Esta opción permitirá extraer todo el contenido de una carpeta. Sin embargo, advierte
que no recuperará los archivos que encuentre dañados o eliminados dentro de la
carpeta.
Figura 18. Opción 4: Contents of a Folder

Fuente: . Autor del documento

La opción 5: Fernico Device

Esta opción permitirá extraer todo el contenido de unidades de almacenamiento óptico
CD/DVD.

1. Creación de una imagen de un dispositivo evidencia (USB)

Realizar la extracción de una imagen forense (Creación de un Disco Imagen) a un

dispositivo USB, que será entregado por su profesor. Considere que este dispositivo es
evidencia de una escena del delito, por lo tanto deberá seguir los pasos estudiados para
conservar la misma.

¿Cuál opción de Creación de Imagen de Disco debe usar?

R/. Se debe usar la opción de Physical Drive ya que esta permite extraer imágenes de todos
los discos (dispositivos) que están conectados físicamente (o directamente conectados al
Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)
Forense Página 11
equipo, discos internos, externos, USB...)
Figura 19. Opción Physical Drive

Fuente: Autor del documento

¿Qué información relevante visualiza en el archivo? txt? (El generado en la práctica)

Se puede observar en el archivo .txt la información del caso, como el número del caso, numero
de evidencia, descripción, nombre del examinador y notas. Se puede también ver la información
del disco físico, como su modelo, numero serial, el tamaño de la información y los diferentes
segmentos en que se dividió la información. Igualmente se puede ver los hashes.

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 12
 Figura 20. Información del caso

Fuente: . Autor del documento

¿Qué herramientas utilizan las extensiones SMART y AFF?

FTK Imager
Coste: Es un producto gratuito
Permite montar: Prácticamente todo tipo de formatos de imagen forenses habituales, como
Encase, SnapBack, Safeback, Expert Witness, Linux DD, ICS, Ghost, SMART, AccessData
Logical Image y Advanced Forensics Format (AFF), con un soporte muy extenso para sistemas
de ficheros de unidades ópticas, discos duros cifrados y sistemas de fichero de disco

P2 eXplorer Pro
Coste: Existe una versión de pago (99 USD) y una versión gratuita
Permite montar: Paraben's Forensic Replicator, Paraben's Forensic storage containers, Encase
4-5-6, Safeback, RAW, DD, FTK Encase, FTK DD y FTK SMART

Mount Image Pro

Coste: 299.95 USD, versión de prueba disponible
Permite montar: EnCase .E01, .L01, AccessData FTK .E01, .AD1, Unix/Linux DD, RAW,
Forensic File Format .AFF, SMART, ISO, VMWare, ProDiscover, Microsoft VHD, Apple DMG

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 13
 Figura 21. Selección del tipo de Imagen Raw (dd)

Fuente: LFBT. Autor del documento

2. Vista de los contenidos de la imagen

Para visualizar el contenido de la imagen, que en este caso será parcialmente, pues la
herramienta FTK IMAGER, no incluye el módulo de análisis de evidencia.

Se procede desde File → Add Evidence Item… Ver Figura 22.

Figura 22. Selección de tipo de origen de evidencia

Fuente: Autor del documento

Se debe seleccionar Image File, pues contamos con archivo origen de imagen, el que
se acaba de crear, y requerimos que sea visualizado.

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 14
Debe visualizar algo como se muestra en la siguiente figura.

Figura 23. Contenido de la imagen de la evidencia

Fuente: Autor del documento

PARTE 3: Extracción de imágenes Forenses con ENCASE IMAGER 2

En esta parte de debe realizar la extracción de imágenes forenses, no sobra repetir que
se debe hacer preservando la evidencia, es decir conservar la integridad de la evidencia.
Para esto utilizaremos la herramienta ENCASE IMAGER.

Una característica de este software es que no requiere ser instalada, puede ejecutarse
directamente desde la unidad forense externa. Puede descargarse en versión para 64 o
32 bits.

La forma de trabajo de ENCASE IMAGER, es diferente a como se trabaja con FTK

IMAGER.

Con ENCASE IMAGER es necesario cargar la imagen a la aplicación, recuerde que con
FTK IMAGER la imagen se realiza desde los dispositivos conectados al equipo.
2
https://www.guidancesoftware.com/encase-forensic-imager

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 15
 ¿Qué opciones vienen señaladas por defecto, consulte para qué sirven estas
opciones?

Las opciones que vienen señaladas por defecto son:

• Detect Tableau Hardware
• Only Show Write-blocked
• Enable Physical Memory

Figura 24. Opción Add Local Device

Fuente: Autor del documento

¿Qué unidades puede visualizar en su caso?

R/. Se puede visualizar 3 unidades.

Figura 24. Visualización de unidades.

Fuente: Autor del documento

Laboratorios de Informática Preservaciónde Evidencia(FTK y ENCASE)

Forense Página 16
Señale la unidad a la que le quiere sacar la imagen (Dispositivo Evidencia) de Clic en
Finalizar. Esta operación lo dejará en la siguiente ventana, mostrando el nombre de la
unidad seleccionada, ver la Figura 25. Con doble Clic en esta unidad se despliega el
contenido de esta, ver Figura 26.

Figura 25. Unidad del Dispositivo Evidencia

Fuente: Autor del documento

Figura 26. Contenido de la Unidad Dispositivo

Fuente: Autor del documento

Laboratorios de Informática Forense Preservaciónde Evidencia(FTK y ENCASE)

Página 13
Pulsando Click derecho en el nombre de la Unidad, en este caso E, se llega a la
opción de adquirir la imagen forense, ver la Figura 27.

Figura 27. Adquirir la Imagen Forense.

Fuente: Autor del documento

Ahora la herramienta muestra un cuadro de dialogo, donde solicita los datos

correspondientes a la localización de la imagen, su formato y opciones avanzadas.

Llene los tres cuadros solicitados así:

Location: Ver Figura 28.

Nombre: (Dar un nombre a la Evidencia…)
Número de Caso: (Consecutivo a los casos registrados);
Número de Evidencia: (Consecutivo al número de evidencias del mismo caso);
Nombre del Examinador: (Nombre de quien toma la evidencia);
Notas: (Anotaciones adicionales que se consideren importantes).

Restat Acquisition: Se usa si se quiere continuar con una imagen previa, en este
caso no se señala pues la evidencia es nueva.

Output Path: Ruta donde quiera que se almacenen los archivos generados.

El Path Alternativo, solamente es requerido cuando tenga un dispositivo evidencia muy

grande y se considere que la evidencia no cabe en el disco forense, entonces debe
direccionar a otra unidad; la herramienta automáticamente detecta cuando su primera
unidad se llena y continúa en la segunda opción registrada.

Laboratorios de Informática Forense Preservaciónde Evidencia(FTK y ENCASE)

Página 14
 Figura 28. Datos de la imagen pestaña Location.

Fuente: . Autor del documento

Format: Ver Figura 29.
Formato del Archivo Evidencia: (Ex01 es otro formato que permite encriptamiento y
es el que la herramienta pone por defecto. Para este caso seleccione E01, permite poner
password)
Verificación Hash: Seleccione las dos opciones MD5 y SHA1, para mayor
seguridad. Password: Opcional
Compresión: Habilitado para que la imagen se guarde con menos tamaño que la
original y ganemos capacidad de almacenamiento.
Tamaño: Allí se puede seleccionar el tamaño de los segmentos que se deseen sean
almacenados. ENCASE no permite generar una imagen en un solo segmento con la
totalidad del archivo, como si lo puede hacer FTK. Por esto es necesario indicar el
tamaño como se quiere que se segmente la imagen del disco evidencia.

Figura 29. Datos de la imagen pestaña Format.

Fuente: . Autor del documento

Advanced: Ver Figura 30.

En esta pestaña no cambiamos nada, la idea es que se generen bloques de 64 sectores
Laboratorios de Informática Forense Preservaciónde Evidencia(FTK y ENCASE)
Página 15
como viene por defecto y aunque se puede indicar que se haga una imagen de una
parte de la evidencia indicando el sector inicial y el sector final, no es muy recomendable,
lo ideal es tener la imagen total.

Figura 30. Datos de la imagen pestaña Advanced.

Fuente: Autor del documento

Con esta configuración terminada, se da Click en Aceptar y podemos observar en la

parte inferiorderecha que el proceso de adquisición de la imagen ha iniciado, se muestra
una barra de estado en progresos. Este proceso puede demorar un determinado tiempo
que depende del tamaño de la evidencia.

Figura 31. Proceso de adquisición de la imagen.

Fuente: Autor del documento

Al terminar el proceso, puede verificar en el directorio que seleccionó, que haya quedado
la imagen correspondiente.

Laboratorios de Informática Forense Preservaciónde Evidencia(FTK y ENCASE)

Página 16
La Figura 32, muestra el archivo denominado:
IMAGEN FORENSE (ENCASE).E01
Ubicado en el Escritorio del PC, que fue la ruta señalada para el almacenamiento.

Figura 32. Visualización de archivo de imagen generado

Fuente: . Autor del documento

ACTIVIDADES DE CONSULTA

1. Consulte sobre la herramienta Helix.

Es una distribución Linux enfocada hacía el mundo del análisis forense.

A. Podemos trabajar en entornos Mac OS X, Windows and Linux con un único interfaz.

• Hace imágenes de todos los dispositivos internos

• Hace una imagen de la memoria física
• Permite determinar si un disco está encriptado.

B. Permite tener un dispositivo bootable, para cualquier sistema de x86.

• Hace imágenes de todos los dispositivos internos

• Busca ficheros de tipos determinados (ej. Documentos .doc, .xls, .ppt, etc.)

C. Contiene diversas aplicaciones de código abierto que nos permiten analizar datos,
incluyendo los contenidos en teléfonos móviles.

Sleuthkit LibPff
LinEn Volatility plus many plugins
Libewf + mount_ewf moto4lin
Carvfs gmobilemedia
cryptsetup gammu
Truecrypt gnokii
lvm2 frag_find
Scalpel pythonraw
Foremost ptfinder

Laboratorios de Informática Forense Preservaciónde Evidencia(FTK y ENCASE)

Página 17
 2. Consulte sobre la herramienta Autopsy

Una herramienta utilizada por los militares, las policías y las entidades cuando llega el momento
de realizar operaciones forenses. Este paquete es probablemente uno de los más robustos
disponibles a través de código abierto, combina las funcionalidades de muchos otros paquetes
más pequeños que están más enfocados en su enfoque en una aplicación ordenada con una
interfaz de usuario basada en el navegador web. Se usa para investigar imágenes de disco.
Cuando hace clic en Autopsy, inicia el servicio y se puede acceder a su interfaz de usuario en
el navegador web en http://localhost:9999/autopsy. Brinda al usuario una gama completa de
opciones necesarias para crear un nuevo archivo de caso: Nombre del caso, Descripción,
Nombre del investigador, Nombre de host, Huso horario del host, etc.

Sus funcionalidades incluyen: análisis de la línea de tiempo, búsqueda de palabras clave,

artefactos web, filtrado hash, talla de datos, multimedia e indicadores de compromiso. Acepta
imágenes de disco en formato RAW o E01 y genera informes en HTML, XLS y archivo de cuerpo
dependiendo de lo que se requiere para un caso particular.

Su robustez es lo que lo convierte en una gran herramienta, ya sea gestión de casos, análisis
o informes, esta herramienta lo tiene cubierto.

3. Explore un poco más acerca de otros usos de FTK IMAGER.

FTK Imager es una herramienta de análisis forense disponible en la Web de AccessData, esun
paquete gratuito, que pueden descargar los usuarios de FTK AccessData. El atributo más
importante de FTK Imager es que permite varios formatos para la creación de imágenes. En su
lugar, FTK Imager nos permite crear una imagen de un disco como EnCase, SMART o DD
(pura). Además, FTK Imager es el único producto que puede convertir tipos de imágenes, lo
que significa que podemos tomar una imagen de EnCase y producir una imagen pura o SMART
a partir de ella.

4. ¿Cómo usaría el comando dd (duplicate disk) en Linux?

El comando dd (Dataset Definition), es una herramienta sencilla, útil, y sorprendentemente fácil

de usar; con esta herramienta se puede hacer lo mismo, sobre dispositivos: discos y particiones,
que con programas comerciales como Norton Ghost, en Windows o libres como CloneZilla, en
Linux, con solo una pequeña línea de comandos.

Sintaxis Básica:
La sintaxis más básica para el uso del comando dd, seria esta:
sudo dd if=origen of=destino
Donde if significa “input file=archivo de entrada “, es decir, lo que se quiere copiar y of significa
“output file=archivo de salida “, o sea, el archivo destino (don de se van a copiar los datos);
origen y destino pueden ser dispositivos (lectora de CD o DVD, disco duro, diskettera, pendrive,
partición, etc.), archivo de copia de seguridad o imagen de disco, etc, pero no carpetas o
subcarpetas.

Para el uso sin problemas de este comando, lo primero siempre es tener claro cómo se llaman
las particiones/discos duros en Linux (/dev/sda1 por ejemplo; /dev deriva de device= dispositivo,
en inglés).

Laboratorios de Informática Forense Preservaciónde Evidencia(FTK y ENCASE)

Página 18
Para saber el disco/partición de origen y el de destino, algo que averiguamos fácilmente con el
comando sudo fdisk -l o con algún programa gráfico de particiones como gparted. Toda la
información sobre el comando dd, se puede consultar con el comando man dd e info dd.

Se debe utilizar este comando con precaución, y comprobando siempre el orden y nombre de
los discos/particiones, porque lo mismo que se clona un disco, lo borra en un visto y no visto.

Sintaxis con el comando pv: Usar el comando dd con la sintaxis anterior tiene un pequeño
inconveniente, ya que es un comando muy reservado – no da información – , pues al ejecutarlo,
el prompt de la terminal queda inmóvil, por lo que no sabemos que es lo que está pasando y
cuánto tiempo falta para que termine de ejecutarse. Este pequeño inconveniente se puede
solucionar añadiendo el comando pv, ( *) – el cual actúa como una tubería de terminal que mide
los datos que pasan a través de ella- a la sintaxis del comando dd , de forma que ahora la
sintaxis seria:

dd if=origen |pv|dd of=destino

Como resultado obtendríamos en el terminal una especie de barra de progreso, la información
sobre bytes transferidos, el tiempo que lleva ejecutándose y la tasa de transferencia, todo esto
en tiempo real.

5. ¿Qué diferencias encuentra entre FTK IMAGER y ENCASE IMAGER?

• FTK Imager tenía una huella más pequeña.

• EnCase Imager se extrae a la máquina local cuando se ejecuta.
• EnCase Imager no ejecutaría la versión de 32 bits en máquinas de 64 bits (dio un error)
• FTK Imager puede previsualizar archivos.
• FTK Imager puede montar imágenes.
• FTK tiene una línea de comandos de versiones reducidas (variantes de Windows, OSX
y Linux).

Laboratorios de Informática Forense E Preservaciónde Evidencia(FTK y ENCASE)

Página 19
BIBLIOGRAFÍA

1. SIERRA, José María, HERNÁNDEZ, Julio Cesary RIBAGORDA, Arturo. Retos de la informáticaforense. Agora Sic.
Volumen 33. Agosto 2003. Herramientas y manuales para Informática Forense. Disponibles en:
http://www.jbex.net/seguridad-informatica/manuales
2. Cano Martines Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y Análisis. Agosto de
2003.
http://www.alfa-redi.org/rdi-articulo.shtml?x=1304
3. IOCE, Guidelines for the best practices in the forensic examination of digital technology, 2002. Disponible:
http://www.ioce.org/2002/ioce_bp_exam_digit_tech.html

Aquí se encuentran diversas Herramientas Forenses

http://blog.elhacker.net/2014/06/distribuciones-linux-herramientas-analisis-forense-
digital-informatico.html

Laboratorios de Informática Forense Preservaciónde Evidencia(FTK y ENCASE)

Página 20