Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Forensia en Windows

    Cargado por

    gustavomartin59
    60 vistas21 páginas
    Este documento describe los pasos para realizar prácticas forenses en sistemas Windows, incluyendo cómo generar imágenes de discos usando AccessData FTK Imager, agregar elementos a evidencia, recuperar datos eliminados usando PC Inspector File Recovery, y realizar un formateo en binario usando Remo Drive Wipe. Explica los programas y herramientas necesarias y guía el usuario a través de los pasos para completar cada una de estas tareas forenses.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe los pasos para realizar prácticas forenses en sistemas Windows, incluyendo cómo generar imágenes de discos usando AccessData FTK Imager, agregar elementos a evidencia, recuperar datos eliminados usando PC Inspector File Recovery, y realizar un formateo en binario usando Remo Drive Wipe. Explica los programas y herramientas necesarias y guía el usuario a través de los pasos para completar cada una de estas tareas forenses.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    60 vistas21 páginas

    Forensia en Windows

    Cargado por

    gustavomartin59
    Este documento describe los pasos para realizar prácticas forenses en sistemas Windows, incluyendo cómo generar imágenes de discos usando AccessData FTK Imager, agregar elementos a evidencia, recuperar datos eliminados usando PC Inspector File Recovery, y realizar un formateo en binario usando Remo Drive Wipe. Explica los programas y herramientas necesarias y guía el usuario a través de los pasos para completar cada una de estas tareas forenses.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 21

    FORENSIA EN SISTEMAS OPERATIVOS

    Practica De Forensia en Sistemas Windows

    Qu necesitaremos?

    Sistema Operativo Windows (Xp, Vista, 7 u 8). Pendrive o disco de cualquier tamao (Dependiendo del tamao durar ms tiempo el trabajo de las imgenes). Programa AccessData FTK Imager (Para creacin de imgenes de discos, montado de las mismas y revisin de data tanto visual como hexadecimal). Programa PC Inspector File Recovery (Para recuperacin de datos borrados dentro del disco). Programa Remo Drive Wipe (Para realizar wipe de un disco).

    Cmo generar una imagen de un dispositivo?

    Utilizando la herramienta AccessData FTK Imager se generan imgenes de dispositivos que se encuentran conectados en el equipo.

    Pasos para utilizar AccessData FTK Imager


    Para realizar una Imagen se debe seleccionar las siguientes opciones 1)

    Pasos para utilizar AccessData FTK Imager


    Una vez seleccionada esta opcin se desplegara la siguiente ventana en nuestro caso seleccionaremos la opcin Physical Drive ya que tenemos un pendrive conectado al CPU clickeamos la opcin next.

    2)

    Pasos para utilizar AccessData FTK Imager


    Seleccionamos el dispositivo que queremos hacerle la imagen en mi caso es el SanDisk Cruiser Edge USB de 4 gb y presionamos la tecla finish.

    3)

    Pasos para utilizar AccessData FTK Imager


    Aparecer una ventana como la que se muestra a continuacin en esta pantalla hay que verificar que este seleccionada la opcin de verificar las imgenes y seleccionamos la opcin add

    4)

    Pasos para utilizar AccessData FTK Imager


    Se abre una ventana nueva con 4 opciones se selecciona la primera que es la predeterminada. 5)

    Pasos para utilizar AccessData FTK Imager


    Se coloca la informacin de identificacin de la evidencia y damos click en next. 5)

    Pasos para utilizar AccessData FTK Imager


    Seleccionamos la carpeta de destino de la imagen que vamos a crear y colocamos el nombre de la imagen igualmente en la seccin image fragment size le colocamos el tamao del disco que estamos crendole la imagen y por ultimo damos click a finish y luego a start. 6)

    Pasos para utilizar AccessData FTK Imager


    Se crea la imagen dentro de la carpeta especificada y el nombre que indicamos una vez finalizada la barra de progreso se podr ver la imagen en la ruta. 7)

    Cmo Agregar elementos a evidencia?

    Otra de las ventajas de la herramienta AccessData FTK Imager es poder montar las imgenes que se generan y poder revisar que tipo de data existe o existi en el dispositivo.

    Pasos para utilizar AccessData FTK Imager


    Para agregar un elemento a un caso se utiliza la opcin Add Evidence Item

    Pasos para utilizar AccessData FTK Imager


    Como ya hemos creado la imagen lo que debemos hacer es seleccionar Image File y luego seleccionaremos la ruta donde la habamos guardado.

    Pasos para utilizar AccessData FTK Imager


    Una vez abierta la imagen se muestran una serie de carpetas se tiene que ingresar en la llamada root quien contiene los datos que se tienen y tenan en la unidad. Los iconos que tienen una X roja significan que fueron eliminados por lo que si quieren recuperarlos se debe utilizar un programa de recuperacin.

    Cmo recuperar datos de un dispositivo despus de haber sido eliminado?

    Utilizando la herramienta PC Inspector File Recovery se pueden recuperar datos eliminados de una imagen o un dispositivo montado en el CPU.

    Pasos para utilizar PC Inspector File Recovery


    Se selecciona la opcin abrir unidad la cual mostrara el dispositivo o imagen que se monto en la pc se presiona el check de color verde.

    Pasos para utilizar PC Inspector File Recovery


    Aparecera una lista de 4 elementos esto quiere decir que se ha seleccionado la unidad ahora hay que seleccionar el icono de la carpeta con una cruz roja el cual aparecer el cuadro de dialogoal que habr de darle al visto bueno de color verde.

    Pasos para utilizar PC Inspector File Recovery


    Empezara el proceso de bsqueda dentro del dispositivo una vez culminada la barra de progreso se dirige a la carpeta eliminado y se mostraran los archivos que se pueden recuperar completamente mientras que en la carpeta perdido aparecern archivos que se recuperaron parcialmente. En este caso se puede recuperar una foto que haba eliminado seleccionndola con el click derecho y guardndola en el escritorio.

    Cmo realizar un wipe o formateo en binario?

    Utilizando la herramienta Remo Drive Wipe se puede realizar un formateo en binario el cual si se intentan realizar recuperaciones no se podr extraer ningn contenido

    Pasos para utilizar Remo Drive Wipe


    Esta aplicacin es bastante intuitiva simplemente habr que seleccionar el disco o unidad que desees formatear y seleccionar el botn siguiente en donde aparecern 3 opciones (Version gratuita) en la cual seleccionamos la primera Fast Zero Write y seleccionamos el botn Proceed. Nota: al finalizar el proceso el disco quedara en vacio habr que darle el formato deseado a travs de Windows.

    También podría gustarte