Que es y como se crea una Imagen Forense

¿Que es y para que sirve una imagen forense?

Una imagen forense es un «clon» (copia bit a bit) de algún dispositivo como por ejemplo un disco duro, memoria USB, DVD, etc. el cual también contiene una huella digital única que se utiliza para certificar su autenticidad como evidencia ante un litigio legal. Este tipo de imágenes tienen un aspecto fundamental en la preservación de datos y el análisis forense digital.

FTK Imager es una software propiedad de Access Data el cual forma parte de un kit completo de Análisis Forense. FTK Imager es una herramienta de obtención de imágenes y vista previa de datos que se utiliza para adquirir datos (evidencia) de forma forense y sólida al crear copias de los datos sin realizar cambios en las pruebas originales. Es de descarga gratuita, la ultima versión a la fecha de este post es la número 4.2.1 disponible para descarga en FTK Imager 4.2.1

En este post realizaremos paso a paso la creación de una imagen con FTK Imager. Necesitamos:

• FTK Imager
• Sistema Operativo Windows
• Un dispositivo USB

Dispositivo a copiar

Tenga listo el dispositivo del que desea crear una una imagen. Para este ejemplo es una memoria USB de 4GB, conectamos el USB a nuestra PC.

Creación de la imagen

Con Access Data FTK Imager abierto, nos dirigimos al menú File (Archivo) -> Create disk image… (Crear imagen de disco)

En la ventana «Select source» (Seleccionar unidad), dejamos marcada la opción «Physical Drive» (Unidad Fisica) y presionamos el botón [Siguiente]

A continuación seleccionamos la unidad del cual realizaremos la copia, para nuestro ejemplo, una memoria USB de marca HP de 4GB.

Para terminar presionamos el botón [Finish]  (finalizar)

Las siguientes ventanas nos permitirán indicar el tipo de imagen, destino del archivo entre otros detalles.

Create Image. Presionamos el botón [add]  (Agregar)

Select Image Type. Seleccionamos la opción «Raw (dd)» (cruda o sin formato).

Evidence Item Information (Información del elemento de evidencia). Esta ventana  nos permite mantener un registro de las evidencias que creamos con FTK Imager, ingresamos nuestros datos como ser el «numero de caso», «numero de evidencia», «nombre de la evidencia», «nombre del investigador» y unas notas para describir la evidencia.

Select Image Destination. Esta ventana cuenta con 3 partes importantes, a saber:

1. La ubicación del archivo de la imagen a crear. Para este ejemplo lo guardamos en nuestro escritorio en una carpeta con el nombre de «USBImage«
2. Un nombre para el archivo, «USB de JPerez» por ejemplo.
3. Image Fragment. Esta opción nos permite indicar el tamaño en MB en el cual sera divida la imagen, por defecto esta con el valor de 1500. Para nuestro ejemplo el USB es de ta solo 4GB así que esta bien generar un solo archivo de imagen por lo que colocamos cero «0»

Para cerrar la ventana presionamos [Finish]

Ya solo nos queda iniciar la creación de la imagen, de vuelta en nuestra ventana de «Create Image», para iniciar el proceso presionamos el botón [start]

Ante observemos que tenemos la opción seleccionada «Verify Image after they are created», esto hará que una vez terminada la creación de la imagen se inicie la verificación del mismo, importante para verificar que no tenemos algún sector dañado.

Ya solo nos queda esperar a que los procesos concluyan.

Al concluir los procesos nuestra imagen queda grabada en disco al igual que un archivo de texto donde reside información del proceso realizado.

enjoy!!!