Informática Forense

PEA

Ingresamos al programa AccessData FTK Imager 4.2.1.4

1. Damos clic en la opción FILE y luego en la opción Obtain Protected File

2. Luego nos aparece una pantalla y daremos clic en la opción Browse

3. Se despliega una ventana ingresamos en el usuario y luego en la carpeta DOCUMENTOS

4. Creamos una nueva carmeta llamada Hives

5. Luego verificamos donde va estar guardada la información y damos clic en OK

6. En este momento está buscado en los registros

7. Luego nos dirigimos a la carpeta que fue creada con el nombre HIVES y encontramos las
imágenes
8. Luego ejecutamos el Programa Registry Viewer como administrador

9. Se ejecuta el programa Registry Viewer

10. Luego cargamos el primer archivo HIVE

11. Se despliega una carpeta donde vamos a buscar los HIVE donde guardamos (SAM)

12. Verificamos que cargo el HIVE

13. Nos informa los nombres de los usuarios que se encuentran creados en el computador
14. Nombre del equipo en el que está trabajando.

15. Zona Horaria en la que se encuentra configurado nuestro equipo

16. Identificar los dispositivos que han sido montado en nuestro computador

17. Identificar cuando fue la ultimas vez que se conectado un dispositivo usb

18. Procedemos abrir la carpeta HIVE (NTUSER.DAT) y verificaremos las URL a las que han
ingresado a través del navegador de internet Explorer
19. Nos abrirá el historia del navegador de internet Explorer
Conclusión:
• En la tarea realizada es de suma importancia el conocer y como podemos
obtener los registros de windows utilizando la aplicación Registry Viewer
donde tendremos acceso a un sin número de información que en caso de ser
realizado con fines investigativos nos servirán como evidencias ante un caso.

Bibliografía:

https://www.youtube.com/watch?v=MC5vrwf7OlU