Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ETAPA II PRESERVACIÓN
Por hardware:
Para hacer el bloqueo por hardware se utiliza un dispositivo que permite conectar un HDD
por SATA o IDE u otra conexión, a una computadora por medio de un cable USB. El
dispositivo sirve de intermediario para proteger contra escritura y dar así el bloqueo. Y
También existe hardware para proteger contra escritura a tarjetas de tipo SD.
Por software:
Se puede utilizar una herramienta llamada “USB Write Blocker” (en Windows) que lo que
hace es modificar una llave del registro que permite activar/desactivar el bloqueo contra
escritura por software. Este bloque siempre se debe activar antes de conectar el dispositivo.
Se prefiere protección por hardware ya que es más seguro cometer errores al conectar los
dispositivos.
FTK imagen es una herramienta desarrollada por “Acces Data” que sirva para adquirir
información, cargando la evidencia que previamente ya se tiene bloqueada contra escritura,
para así visualizar su contenido.
FTK imager permite obtener información a partir de una unidad física, lógica, imagen de
archivo, contenido de una carpeta o unidad fernica.
Una imagen forense puede crearse en 4 tipos de formato: raw (dd), SMART, E01
y AFF.
Es bueno hacer un proceso de verificación después de la creación de la imagen forense
para asegurarse de que la imagen no tiene errores u obtuvo fallos durante su proceso de
creación.
Al terminar de crear la imagen forense, FTK imager permite que se pueda crear un archivo
.txt., en dónde se muestra un resumen de todo el proceso de creación.
Se crea también un valor alfanumérico HASH para el archivo original y la copia que sirve
para luego verificar si son iguales.
● Estáticas: Que corresponde a equipos que están apagados o pueden ser apagados
normalmente sin que se afecte demasiado la información.
Para hacer una imagen es recomendable usar una versión portable de la herramienta en
una USB, como FTK imager Lite, para así evitar alterar el estado original de la computadora
o sistema.
Se crea una imágen lógica ya que si se crea imagen física (a bajo nivel) y el disco está
cifrado, la imágen lo estará también. Sin embargo, cuando se crea imagen lógica solo se
está copiando el contenido del sistema de archivos. Y al crear la imagen lógica se copian
solo las particiones.
6. Paladin Forensics
Está aplicación, a diferencia de otras, se inicia en modo forense, lo que significa que todos
los discos duro y demás dispositivos conectados a la computadora se quedan sin montar.
Esto es un modo más seguro ya que como todo se carga en modo forense, es decir en
modo solo lectura, se puede estar seguro que los dispositivos conectados no se van a
modificar.
Este comando DD (Data Domp) de linux se utiliza normalmente para crear respaldos o
backups pero, también puede ser útil para crear imágenes forenses.
Los comandos para poder crear una imágen forense con DD y generar su valor Hash son
los siguientes:
DC3DD es una herramienta más completa que permite partir la creación de la imagen
forense en partes y crear de una vez su valor Hash. Los comandos son los siguientes:
Archivos o ficheros:
Contienen datos que tienen características comunes y están delimitados.
Carpetas o directorios:
Archivos que contienen información de otros archivos en una estructura jerárquica
Archivos especiales:
Pueden ser archivos que dirijan hacia otro archivo, o que permitan la comunicación con
algún dispositivo.
Antes de exportar algún archivo es recomendable explorar las características de ese archivo
así como también lo demás archivos contenidos en la carpeta en donde se encuentra.
Cuando se va a exportar un archivo es bueno exportar sus archivos Hash para asegurar de
que si otra persona trabaja con ese archivo, al sernos devuelto se pueda verificar que que el
archivo no ha sido editado o sufrido modificaciones.
Registro de Windows:
Es una base de datos estructurada que contiene la información y configuración del sistema
Windows.
Estructura del registro de Windows:
En FTK Imager se carga una imagen, y con ello ya se puede ver todas las particiones y el
contenido de la imagen forense.
Al revisar el archivo Software con FRED, una llave útil a revisar de todas las que contiene el
archivo es la llave: Microsoft - Windows NT - Current version.