UNIVERSIDAD TECNOLOGICA NACIONAL EXPERTO EN INFORMÁTICA FORENSE

FACULTAD AVELLANEDA

DUPLICACIÓN DE IMAGEN UTILIZANDO CAINE Y GUYMAGER

Para obtener la imagen forense del dispositivo en cuestión se utilizará el sistema operativo CAINE el
cual es una distribución basada en Linux de código abierto bajo licencia GNU/GPL (se puede
descargar del siguiente enlace: https://www.caine-live.net). Este software posee la característica de
montar los dispositivos en modo “solo lectura” preservando así la integridad de los dispositivos a
peritar.

Una vez descargada la imagen e instalada en un dispositivo “usb booteable” (se puede utilizar para
ello el programa rufus) iniciar la pc con dicho sistema operativo.

Una vez iniciado, conectar el dispositivo de almacenamiento en donde se guardará la imagen

forense, hacer click derecho en la parte media inferior y seleccionar modo escritura

Click derecho para colocar el

sistema en modo escritura
UNIVERSIDAD TECNOLOGICA NACIONAL EXPERTO EN INFORMÁTICA FORENSE
FACULTAD AVELLANEDA

Aparecerá el siguiente cartel informando que se colocará en modo escritura, aceptar

Como se puede observar seguidamente, el símbolo aparecerá en rojo, dar click izquierdo en el
mismo

A continuación se abrirá la siguiente pestaña en donde se deberá seleccionar el disco a montar en

modo “escritura” este será el disco en donde se guardara la imagen forense. Seleccionar el
dispositivo y aceptar.
UNIVERSIDAD TECNOLOGICA NACIONAL EXPERTO EN INFORMÁTICA FORENSE
FACULTAD AVELLANEDA

Una vez realizado este proceso se debe volver a colocar en modo “solo lectura” haciendo click
derecho en el símbolo ubicado en la parte media inferior la cual debe volver a quedar en color
verde. Se puede corroborar los dispositivos montados y en qué estado se encuentran seleccionando
lo siguiente:

Corroborar
dispositivos
montados y en que
estado.

Nuevo dispositivo
montado

A continuación insertar el dispositivo del cual se generará la imagen forense y

abrir el programa “GUYMAGER” deberá abrir lo siguiente:
UNIVERSIDAD TECNOLOGICA NACIONAL EXPERTO EN INFORMÁTICA FORENSE
FACULTAD AVELLANEDA

Seleccionar con el mouse el dispositivo que se debe duplicar y oprimir el botón secundario,
seguidamente seleccionar la opción Acquire (adquirir), a continuación se deberá seleccionar el tipo
de formato; se puede seleccionar extensión .dd o extensión .Exx. en caso de seleccionar extensión
.Exx se deberá completar una serie de datos:

 Nro. de caso
 Nro. de evidencia
 Nombre del perito
 Descripción de la imagen duplicada

Finalmente se debe seleccionar la ubicación del directorio destino de la imagen forense haciendo
click en “image directory”, colocando la ruta donde se guardara la imagen, colocar el nombre de la
imagen (en este caso fue imagen1), seleccionar los casilleros para cálculo de hash y aceptar o start.
Comenzará la duplicación del dispositivo seleccionado para una vez finalizado ello obtener en el
dispositivo de almacenamiento la imagen forense con el nombre que le dimos anteriormente y un
archivo .info en el cual se encontrará la información suministrada (hora de inicio, hora de
finalización, cálculos de hash etc)
UNIVERSIDAD TECNOLOGICA NACIONAL EXPERTO EN INFORMÁTICA FORENSE
FACULTAD AVELLANEDA
UNIVERSIDAD TECNOLOGICA NACIONAL EXPERTO EN INFORMÁTICA FORENSE
FACULTAD AVELLANEDA

Verificación de la ubicación de la imagen junto con

archivo .info

Datos obrantes en archivo .info

Maximiliano Gariglio