En este artículo, aprenderemos cómo capturar la imagen forense de los discos duros y sistemas de la víctima para obtener ayuda en la investigación. Hay varias formas de hacer ese trabajo y estas herramientas nos ayudarán mucho en el proceso de una investigación, así que continúa leyendo.
En la era digital actual, la indulgencia de los dispositivos está aumentando cada vez más y el cibercrimen también está en aumento. Cuando se produce un delito de este tipo, el disco duro se convierte en una parte importante, ya que es una evidencia crucial. Por lo tanto, durante la investigación no se pueden realizar directamente varias tareas en el disco duro, ya que se considera templado. Además, uno puede perder datos por error mientras realiza tareas en él. De ahí la necesidad de imagen de disco. Ahora que hemos entendido la importancia y el uso de la imagen de disco, comprendamos qué es exactamente una imagen forense.
1. ¿Qué es una imagen forense?
Una imagen forense es una copia exacta del disco duro. Esta imagen se crea utilizando varias herramientas de terceros que pueden capturar fácilmente la imagen de un disco duro poco a poco sin cambiar ni una pizca de datos. El software forense copia datos creando un flujo de bits que es un duplicado exacto.
Lo mejor de crear una imagen forense es que también copia los datos eliminados, incluidos los archivos que quedan en espacios de intercambio y libres. Ahora que hemos entendido todo acerca de las imágenes forenses, centrémonos ahora en el lado práctico. Aprenderemos y entenderemos cómo crear dicha imagen usando tres herramientas diferentes que son:
- FTK Imager
- Belkasoft Acquisition
- Forensics Imager
2. FTK Imager
FTK Imager puede crear una imagen y un archivo de paginación para Windows; junto con la captura de memoria volátil para fines de análisis.
Después de instalar el FTK Imager, podemos comenzar creando una imagen y para hacerlo, tenemos que ir al botón de File y, en el menú desplegable, seleccionar la opción Create Disk Image.
Después de seleccionar la imagen de creación de disco, te preguntará el tipo de evidencia, es decir, unidad física, unidad lógica, etc. y una vez que hayas seleccionado el tipo de evidencia, presiona el botón Siguiente para avanzar en el proceso.
Ahora te pedirá la unidad para la que deseas crear la imagen. Selecciona esa unidad y haz clic en el botón Finish.
Ahora, necesitamos proporcionar el destino de la imagen, es decir, dónde queremos que se guarde nuestra imagen. Y para indicar la ruta del destino, haz clic en el botón Add.
Luego selecciona el tipo que deseas que sea tu imagen, es decir, sin formato o E01, etc. Luego haz clic en el botón Siguiente.
Además, te pedirá que proporcione detalles para la imagen, como el número de caso, el número de evidencia, la descripción única, el examinador, las notas sobre la evidencia o la investigación. Haz clic en el botón Siguiente después de proporcionar todos los detalles.
Después de esto, te pedirá la carpeta de destino, es decir, dónde deseas guardar tu imagen junto con su nombre y tamaño de fragmento. Una vez que completes todos los detalles, haz clic en el botón Finish.
Y ahora comenzará el proceso para crear la imagen y te informará simultáneamente sobre el tiempo transcurrido, el tiempo estimado restante, la fuente de la imagen, el destino y el estado.
Nota! Una vez que se completa la barra de progreso y el estado muestra Imagen creada con éxito, significa que nuestra imagen forense se creó con éxito.
Y así, después de la creación de la imagen, puedes ir a la carpeta de destino y verificar la imagen.
3. Belkasoft Acquisition Tool
A Belkasoft Acquisition Tool se le conoce formalmente como BAT. Esta herramienta puede crear imágenes de discos duros, unidades extraíbles, dispositivos móviles, memoria RAM de la computadora, datos en la nube. La imagen adquirida se puede analizar con cualquier herramienta de terceros. (Actualización: Ahora es Belkasoft X Forensic)
Una vez que se abre el cuadro de diálogo, haz clic en la opción Drive.
Ahora, te mostrará todas las unidades disponibles. De estas opciones, selecciona la unidad cuya imagen deseas crear y luego haz clic en el botón Next.
Después de seleccionar la unidad, debemos proporcionar la ruta de destino junto con el formato de imagen y el algoritmo hash para la suma de comprobación. También podemos elegir si dividir la imagen o no. Y luego haga clic en el botón Next.
El proceso de creación de la imagen comenzará. Una vez que se completa el proceso y se crea la imagen, haz clic en el botón Exit. Para verificar la imagen, dirígete a la carpeta de destino y acceda e ella.
4. Forensics Imager (FEX Imager)
Otra forma de capturar una imagen es mediante el uso de Forensics Imager.
Para comenzar el proceso, haga clic en el botón Acquire como se muestra en la imagen.
A continuación, te pedirá la fuente para adquirir la imagen.
Como has proporcionado la fuente de la imagen, te preguntará los detalles del destino, es decir, la ruta, el formato, la suma de verificación y otros detalles relacionados con la evidencia. Una vez que completes todo esto, haz clic en el botón Start.
Después de hacer clic en Start, puedes observar que el proceso ha comenzado. Después de completar el proceso, te mostrará un mensaje emergente que dice que se completó la adquisición. Significa que se crea nuestra imagen forense. Para verificar necesitamos ir a la ruta de destino y ver nuestra imagen forense.
- CyberScan: Kit de herramientas forenses para Redes
- Imago Forensics: Extraer datos GPS de JPEG
- +100 Sitios web que te enseñan cómo hackear legalmente
Entonces, estas fueron las 3 formas de capturar una imagen forense de un disco duro. Uno debe siempre conocer diversas maneras de crear una imagen ya que varias veces se requiere diversas medidas. ¿Conoces alguna otra herramienta que puedas compartir en los comentarios?…
¿Te ha gustado este artículo? Sigue este blog en su fanpage de Facebook, Twitter, Instagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!
