Sin demasiadas vueltas les voy a contar que FTK Imager es una herramienta forense digital creada en principio por AccessData que a su vez fue comprada por Exterro. La herramienta es gratuita solo que para bajarla te pide algunos datos. Si te intereza aprender más sobre Informática Forense es un buen paso para leer y practicar https://www.exterro.com/digital-forensics-software/ftk-imager
La herramienta esta hecha para windows con lo cual una vez descargado, procederemos al siguiente siguiente siguiente como se puede apreciar en la siguientes capturas de pantalla de una instalación recien hecha sobre windows 10.
Luego de dar clic sobre Finish veremos como se inicia FTK IMAGER
FTK Imager es una herramienta forense digital que permite realizar varias tareas, entre las que están:
- Creación de imágenes forenses: fkt imager puede crear una copia exacta de un dispositivo de almacenamiento, como un disco duro o una memoria USB, incluyendo todos los datos, archivos y metadatos almacenados en el dispositivo. Esta imagen forense se puede utilizar para analizar el contenido del dispositivo en un entorno seguro y controlado, sin correr el riesgo de modificar o alterar los datos originales.
- Verificación de la integridad de la imagen: de igual modo, puede verificar la integridad de una imagen forense, para asegurar que la imagen sea una copia exacta del dispositivo original y que no se haya alterado.
- Búsqueda de palabras clave: esta herramienta también puede buscar palabras clave específicas dentro de una imagen forense, lo que puede ser útil para identificar información relevante o archivos específicos.
- Extracción de archivos específicos: asimismo, existe la posibilidad de extraer archivos específicos de una imagen forense, lo que puede ser útil para recuperar información específica de interés.
Ahora que ya sabemos descargar, instalar y abrir FTK IMAGER vamos a proceder a crear una copia exacta de un disco. Para esto instale la herramienta sobre windows 10 en un virtualbox que a su vez le agregue un disco de 5gb para Guardar la Copia y un disco de 1gb para hacerle la copia, ya que lo importante es el Metodo y no lo grande que vayamos a capturar:
Como podemos ver en la imagen anterior ya tengo el disco del «cliente» conectado y es al cual le voy a hacer una copia exacta con ftk imager.
Voy a ir a FILE -> Create DISK Image y veremos:
Como podemos apreciar hay distintas forms de crear imagen pero lo que queremos hacer es sobre un disco fisico asi que elegiremos la opción 1 Physical Drive.
Luego de las opciones que no da elegirmos donde vamos a poner esa imagen:
Vamos a poner donde queremos alojar nuestra imagen y si bien hay muchos formatos disponibles usar DD nos dará compatibilidad con otro monton de herramientas forenses sobre todo opensource:
A continuación es muy importante que tengas los datos del caso ya que son impresindibles para una buena cadena de custodia:
Y veremos como se va a crear la imagen:
Se empieza a crear la imagen luego del start y dependiendo el espacio de disco tardará más o menos tiempo:
Al terminar veremos que nos da información que deberia ir directamente a la planilla de cadena de custodia. Si bien md5 ya no se usa la idea de la combinación es dos hash es correcta.
Si vamos al disco de 5gb en donde se aloja la imagen creada con ftk imager veremos:
y charannnnnnn ya esta creada la imagen de la maquina en cuestion. Podemos hacer el caso inverso para montar una imagen, o sea, primero deberiamos hacer una cadena de custodia, y pasar la imagen obtenida al perito que la requiera obiviamente cumpliendo todas las normas, y usar ftk imager para montar la imagen creada. Para esto:
Seleccionamos y listo!
Tenia ganas de mostrarles un poco de Informática Forense, ya vamos a utilizar otros software opensource que le van a gustar como autopsy entre otros que son excelentes!
