Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Laboratorio Preservación de La Evidencia (FTK y Encase Imager) - Juan Camilo Garcia Caceres PDF
Laboratorio Preservación de La Evidencia (FTK y Encase Imager) - Juan Camilo Garcia Caceres PDF
1. INTRODUCCIÓN ...............................................................................................................................4
2. OBJETIVO GENERAL DE LA PRÁCTICA .............................................................................................5
3. DESARROLLO DE LA PRÁCTICA ........................................................................................................6
4. ACTIVIDADES DE CONSULTA ........................................................................................................ 25
5. CONCLUSIONES............................................................................................................................. 27
3
1. INTRODUCCIÓN
La evidencia digital por su misma naturaleza es frágil, por lo tanto, puede llegar a
alterarse, dañarse, o destruirse a causa de un manejo incorrecto de los
procedimientos o por desconocimiento de los mismos. Por esta razón es de mucha
importancia tomar las precauciones necesarias que garanticen la conservación de
la evidencia al momento de realizar una extracción de imagen a un dispositivo que
sea objeto de análisis. Es importante anotar que no se debe trabajar sobre los discos
o dispositivos originales que contienen la evidencia a analizar, es necesario realizar
copias, imágenes de estos dispositivos, para trabajar sobre estas copias, que deben
entre otras, garantizar que son idénticas al original.
Helix que está diseñada para ambientes Linux y Windows y permite trabajar en
entorno gráfico.
Por otro lado, a nivel de hardware también se cuenta con muchas herramientas que
permiten realizar estas imágenes forenses, por ejemplo:
4
• Tableau TD1, TD2
• LOGICUBE QUEST
• ULTRABLOCK
5
3. DESARROLLO DE LA PRÁCTICA
6
3. Verifique que, si puede leer información del dispositivo, recuerde que solo está
bloqueado para escritura. Para esto, simplemente abra algún archivo que se
encuentre en el dispositivo evidencia.
7
4. Retire el dispositivo Ya realizada la práctica, vuelva a dejar el writeProtect en su
valor original, para que el Sistema de Registro de Windows quede funcionando
normalmente.
8
Primero debe conectar a su equipo los dispositivos, con las precauciones del caso:
Disco Evidencia (dispositivo objeto de estudio) y Disco Forense (dispositivo de
almacenamiento, copia de la evidencia). Luego ejecute FTK IMAGER.
Pulse Click en la pestaña File, opción Create Disk Image…
9
La opción 1: Physical Drive Permite extraer imágenes de todos los discos
(dispositivos) que están conectados físicamente (o directamente conectados al
equipo, discos internos, externos, USB…) Observe los dispositivos conectados
físicamente.
10
La opción 2: Logical Drive Permite ver y así mismo poder seleccionar la partición
del disco duro que queramos trabajar. Observe las particiones del disco duro
conectado.
¿Cuántas y cuáles son las particiones que tiene el disco? Cuenta con 2
particiones, (C:) y (D:) y también nos muestra la unidad E que viene siendo la
memoria USB
La opción 3: Image File Permite extraer la imagen forense de un solo archivo que
se encuentre en el dispositivo evidencia. Para esto puede indicar la ruta donde se
encuentra el archivo, o escoger el archivo buscándolo por el explorador, basta con
dar Click en la opción Browse… y seleccionar el archivo requerido
11
La opción 4: Contents of a Folder Esta opción permitirá extraer todo el contenido
de una carpeta. Sin embargo, advierte que no recuperará los archivos que
encuentre dañados o eliminados dentro de la carpeta
12
1. Creación de una imagen de un dispositivo evidencia (USB)
Realizar la extracción de una imagen forense (Creación de un Disco Imagen) a un
dispositivo USB, que será entregado por su profesor. Considere que este dispositivo
es evidencia de una escena del delito, por lo tanto deberá seguir los pasos
estudiados para conservar la misma.
¿Cuál opción de Creación de Imagen de Disco debe usar?
Physical Drive
13
Posterior a esto se debe llenar la información correspondiente a la evidencia, para
esto se presenta una ventana con las siguientes opciones:
Número de Caso (Consecutivo a los casos registrados);
Número de Evidencia (Consecutivo al número de evidencias del mismo caso);
Descripción del caso (Breve y clara descripción de la Evidencia);
Examinador (Nombre de quien toma la evidencia);
Notas (Anotaciones adicionales que se consideren importantes).
14
Esta información se verá reflejada en un informe final que la herramienta genera,
por lo que es importante que se llene completamente.
Posteriormente debe indicar donde se guardará la imagen de la evidencia, puede
seleccionar el disco duro o cualquier otro dispositivo forense que se encuentre
conectado, así mismo le debe indicar el nombre de la imagen, la herramienta le
pondrá la extensión de acuerdo a la seleccionada.
15
extensión .001 que es la forma visible de un archivo raw. Y otro archivo .txt con la
información del proceso de generación de la imagen. Ver caso en figura #7.
16
2. Vista de los contenidos de la imagen
Para visualizar el contenido de la imagen, que en este caso será parcialmente, pues
la herramienta FTK IMAGER, no incluye el módulo de análisis de evidencia.
Se procede desde File -> Add Evidence Item…
17
Se debe seleccionar Image File, pues contamos con archivo origen de imagen, el
que se acaba de crear, y requerimos que sea visualizado.
Debe visualizar algo como se muestra en la siguiente figura.
18
PARTE 3: Extracción de imágenes Forenses con ENCASE IMAGER
En esta parte de debe realizar la extracción de imágenes forenses, no sobra repetir
que se debe hacer preservando la evidencia, es decir conservar la integridad de la
evidencia. Para esto utilizaremos la herramienta ENCASE IMAGER.
Una característica de este software es que no requiere ser instalada, puede
ejecutarse directamente desde la unidad forense externa. Puede descargarse en
versión para 64 o 32 bits.
La forma de trabajo de ENCASE IMAGER, es diferente a como se trabaja con FTK
IMAGER.
Con ENCASE IMAGER es necesario cargar la imagen a la aplicación, recuerde que
con FTK IMAGER la imagen se realiza desde los dispositivos conectados al equipo.
La primera opción Add Local Device, en el menú inicial, permite cargar un dispositivo
conectado al equipo.
La opción Add Evidence File, permite cargar la imagen de un archivo existente,
dejando ver sus contenidos de forma similar a la herramienta FTK IMAGER.
La opción Add Raw Image, permite cargar imágenes tipo raw para observar sus
contenidos.
Inicie con la primera opción, Add Local Device, esta opción abre una nueva
ventana, ver figura #12, lo primero que debe hacer es deshabilitar todas las
opciones que por defecto vienen señaladas.
19
¿Qué opciones vienen señaladas por defecto, consulte para qué sirven estas
opciones?
Después de deshabilitar las opciones de un Click en Siguiente, esto abre una nueva
ventana que muestra todos los dispositivos de almacenamiento que están
conectados al equipo, con sus correspondientes particiones, sectores y tamaño de
cada una de ellas. Enumerados consecutivamente e iniciando en 1.
20
Señale la unidad a la que le quiere sacar la imagen (Dispositivo Evidencia) de Click
en Finalizar. Esta operación lo dejará en la siguiente ventana, mostrando el nombre
de la unidad seleccionada. Con doble Click en esta unidad se despliega el contenido
de la misma.
21
Pulsando Click derecho en el nombre de la Unidad, en este caso E, se llega a la
opción de adquirir la imagen forense.
22
Format:
Formato del Archivo Evidencia: (Ex01 es otro formato que permite encriptamiento y
es el que la herramienta pone por defecto. Para este caso seleccione E01, permite
poner password).
Verificación Hash: Seleccione las dos opciones MD5 y SHA1, para mayor
seguridad.
Password: Opcional
Compresión: Habilitado para que la imagen se guarde con menos tamaño que la
original y ganemos capacidad de almacenamiento.
Tamaño: Allí se puede seleccionar el tamaño de los segmentos que se deseen sean
almacenados. ENCASE no permite generar una imagen en un solo segmento con
la totalidad del archivo, como si lo puede hacer FTK. Por esto es necesario indicar
el tamaño como se quiere que se segmente la imagen del disco evidencia.
Advanced: En esta pestaña no cambiamos nada, la idea es que se generen
bloques de 64 sectores como viene por defecto y aunque se puede indicar que se
haga una imagen de una parte de la evidencia indicando el sector inicial y el sector
final, no es muy recomendable, lo ideal es tener la imagen total.
Con esta configuración terminada, se da Click en Aceptar y podemos observar en
la parte inferior derecha que el proceso de adquisición de la imagen ha iniciado, se
muestra una barra de estado en progresos. Este proceso puede demorar un
determinado tiempo que depende del tamaño de la evidencia.
23
Al terminar el proceso, puede verificar en el directorio que seleccionó, que hayan
quedado las imágenes correspondientes.
Estos archivos pueden ser leídos con cualquier herramienta que acepte manejo de
archivos con extensión E01. Para continuar con esta práctica abriremos la imagen
con la misma herramienta ENCASE IMAGER.
24
4. ACTIVIDADES DE CONSULTA
Debido a que este software se basa en HTML, se puede conectar con el servidor de
Autopsy de cualquier plataforma con un navegador HTML. Autopsy proporciona un
“Administrador de archivos”-como el interfaz y muestra detalles acerca de los datos
eliminados y estructuras del sistema de archivos.
25
AccessData. El atributo más importante de FTK Imager es que permite varios
formatos para la creación de imágenes. En su lugar, FTK Imager nos permite crear
una imagen de un disco como EnCase, SMART o DD (pura). Además, FTK Imager
es el único producto que puede convertir tipos de imágenes, lo que significa que
podemos tomar una imagen de EnCase y producir una imagen pura o SMART a
partir de ella. FTK Imager es de Windows y no incluye ningún tipo de disco de
arranque. En su lugar, debemos disponer de un bloqueador contra escritura, como
FastBloc de Guidance Sotfware o Lockdown de Paraben, para crear correctamente
una imagen de la unidad sin modificar la evidencia. Después de conectar el
bloquedor de escritura al sistema, se puede crear una imagen en este caso una
imagen SMART, con los siguientes pasos.
Pero al contrario que otras herramientas que desde su creación se han ido
sofisticando, ésta se ha ido simplificando, hasta el punto de poder hacer lo mismo
que buenos programas comerciales como Norton Ghost o libres como CloneZilla,
con sólo una pequeña orden en la línea de comandos.
26
5. CONCLUSIONES
27