Integrantes:

Oscar David Valdés Barragán - 1022401805

Universidad Central
Facultad de Ingeniería y Ciencias Básicas
Programa de Ingeniería de Sistemas
Computo Forense
Bogotá D.C.
2021 - 2
1. Instalación FtkImager
 Al tener FtkImager descargado, se procede a descomprimir este archivo y moverlo a la carpeta
usr/local/bin/ftkimager

Luego de ello
ejecutamos el comando (ftkimager) y nos muestra la información acerca del software y los parametros
para montar una imagen o ver la lista de discon que se encuentran en el sistema:

Para ver la lista de discos fisicos que se encuentran en el sistema se ejecuta el comando (ftkimager –
list-driver).
En la lista anterior buscamos el dispositivo con el cual queremos trabajar y luego de ellos localizamos
la dirección en la que se encuentra, para nuestro caso el dispositivo se encuentra en /dev/sdb

2. Disco Usb:

 A continuación se muestra la carpeta en la que se encuentra la evidencia del caso, aquí tenemos
2 archivos (.jpg),

3. Bloqueo de escritura para el disco que tenemos de evidencia:

 Para activar el bloqueo de escritura ya que se esta trabajando en distribuciones linux para este
caso Ubuntu, suele venir instalado una utilidad de linea de comandos llamada (Hdparm), para
ver y ajustar los parámetros de los discos que se encuentren en el sistema.

3.1 Configuración del Disco:

Para ver la configuración del disco basta con ejecutar el comando (sudo hdparm /dev/sdb):
Comprobar tiempos de lectura del disco (sudo hdparm -t /dev/sdb)

2. Una vez conocida la herramienta hdparm, podemos usar la opción -r con la que podemos consultar el
estado de este bit con un simple comando. Para ello, tan solo debemos conocer el nombre físico de
nuestro dispositivo de almacenamiento. Por ejemplo, si se llamase /dev/sdb, en ese caso podríamos
usar:

Se puede apreciar en la imagen anterior que el método de protección no esta activo, para activarlo se
ejecuta el siguiente comando (sudo hdparm -r1 /dev/sdd) y queda listo nuestro bloqueo de escritura.
3. Creación de la imagen:

Para realizar la creación de la imagen se debe ejecutar el siguiente comando:

ftkimager /dev/sdb /home/oscarv/Escritorio/Computo\ Forense/image --e01 --frag 1500MB --compress

6 --case-number case_number --evidence-number 1 --description Evidencia Forence --examiner
davidsval --notes Evidencia Forence usb, imagenes

Explicación de los parámetros enviados para la creación de la imagen:

1. /dev/sdb: Es la fuente, el disco para adquirir la imagen.

2. /home/oscarv/Escritorio/Computo\ Forense/image: Es el destino de los archivos de imágenes
forenses, la carpeta es donde se almacenarán los archivos, la imagen es el nombre del archivo.
3. --e01: Es el formato de la imagen, este tipo es para el formato de archivo de imagen Encase.
4. --frag 1500MB: Cada archivo tendrá un máximo de 1500 Megabytes, ftkimager dividirá la imagen
completa en los archivos necesarios con este tamaño.
5. --compress 6: Nivel de compresión de la imagen del disco, para este caso el nivel de dificultad esta
por ensima de medio.
6.--case-number: Es el número del caso.
7.--evidence-number: Es el número de evidencia.
8. -descripción: Es la descripcion del caso o cualquier comentario para el caso.
9. - examiner: Su nombre completo o el acrónimo de su nombre.
10. -notes: Cualquier comentario adicional que desee.
4. Recuperación de archivos:

Se utilizo la herramienta DiskDigger, para ver que archivos se habían eliminado de nuestro disco usb
evidencia, en esta herramienta cargamos la imagen que generamos anteriormente por FtkImager:

A continuación nos arroja 2 opciones para recuperar los archivos borrados del disco:
Al darle siguiente el ya nos dice que el escaneo fue completado con éxito y muestra los archivos que
actualmente tiene el dispositivo y los archivo o imagenes que fueron eliminadas del disco
anteriormente:

Para verlo mas detallado se le da sobrevista en miniatura y se puede ver las imagenes que fueron
eliminadas y también se pueden seleccionar todos los archivos y descargarlos
Muestra de los archivos, elementos y/o imágenes que se recuperaron: