Imágenes Forenses

Enviado por dpacheco el Vie, 22/12/2017 - 01:33
Imágenes Forenses

En informática forense se utilizan muchas técnicas que permiten analizar información de tal forma que los datos sean validos en un proceso legal. Una de estas técnicas corresponde a la realización de imágenes forenses a unidades de discos, las cuales permiten realizar una copia exacta de un disco. Esta copia considera un duplicado bit a bit de la unidad utilizada como evidencia, con el fin de hacer pruebas sobre la misma, esta copia permitirá incluso recuperar archivos borrados.

Se realizara una imagen forense de un pendrive utilizando 2 formas:

Creación de imagen forense usando windows 10:

En primer lugar, se utilizará un software que permita bloquear la unidad de USB dejando esta de solo lectura, para que no se modifique ningún bit en la unidad a clonar.
Para realizar esto, se utilizó “wenovo usb disks access manager” disponible en http://www.wenovo.com/freeware/usb-disks-access-manager-freeware.php

Una vez descargado se ejecuta como administrador y aparecerá la siguiente ventana:

wenovo usb solo lectura

Luego para realizar la imagen, utilizaremos "AccessData® FTK® Imager 3.1.1.8 " disponible en https://accessdata.com/product-download

Paso 1: Crear una nueva imagen de disco.

Paso 2: Seleccionar unidad física (En este caso realizaremos la imagen de un USB)

Imagen Forense

Paso 3: Seleccionar la unidad de origen para la imagen.

Paso 4:Seleccionar "Add" para crear una nueva imagen.

Imagen forense 2

Paso5: Elegir el tipo de imagen Raw (dd), en este caso.

Paso 6: Completar datos y seleccionar siguiente.

Imagen forense 3

 Paso 7: Indicar la carpeta de destino y el nombre del archivo.

Paso 8: Iniciar el proceso.

Imagen forense 4

 Paso 9: Esperar que se complete el proceso.

Paso 10: Una vez finalizado se pueden observar los hash para la imagen y la verificación del proceso.

Imagen forense 5

Creación de imagen forense usando Linux:

Para la realización de esta imagen, se utilizará CAINE (Computer Aided INvestigative Environment), esta distribución live CD se puede descargar desde: https://www.caine-live.net

las imágenes (en este caso conectaremos el pendrive). Luego es importante montar las unidades de disco, en este paso es importante que la unidad de la cual se realizara la imagen se monte como unidad de solo lectura, para no modificar ningún bit de la evidencia, y la unidad donde se almacenara la imagen se dejara como de lectura/escritura.

La opción de lectura/escritura queda marcada de color rojo, en cambio la opción de solo lectura queda de color verde, se puede intercambiar entre una y otra haciendo clic derecho sobre el icono como se puede observar en la siguiente imagen.

Caine Lectura y Escritura

A continuación, se puede observar el montaje del pendrive como solo lectura, una vez seleccionada la unidad se debe hacer click en OK, como se puede observar en la siguiente figura:

Montaje unidad USB

A continuación, ingresamos a GUYMAGER desde el acceso directo del escritorio y aparecerá la siguiente ventana:

CAINE GUYMAGER