Una imagen forense se necesita con mayor frecuencia para verificar la integridad de la imagen después de que se haya producido la adquisición de un disco duro. Esto generalmente lo realizan las fuerzas del orden para los tribunales porque, después de que se ha creado una imagen forense, se puede verificar su integridad para verificar que no haya sido manipulada. Las imágenes forenses se definen como los procesos y las herramientas que se utilizan para copiar un medio electrónico, como una unidad de disco duro, para realizar investigaciones y recopilar pruebas que se podrán presentar ante la ley del tribunal. Esta copia no solo incluye archivos que son visibles para el sistema operativo, sino también todos los bits de datos, todos los sectores, particiones, archivos, carpetas, registros de arranque maestros, archivos eliminados y espacios no asignados. La imagen es una copia idéntica de todas las estructuras y contenidos de la unidad.
Además, se puede hacer una copia de seguridad y/o probar una imagen forense sin dañar la copia original o la evidencia.
Además, puede crear una imagen forense a partir de una máquina en funcionamiento o muerta. Es una instantánea literal en el tiempo que tiene verificación de integridad.
Necesidad de una Imagen Forense
- En el mundo criminal actual, muchos casos se han resuelto mediante el uso de esta técnica, ya que se han encontrado pruebas además de las que están disponibles a través de un sistema operativo, ya que los datos incriminatorios podrían haberse eliminado para evitar su descubrimiento durante la investigación. A menos que esos datos se sobrescriban y eliminen de forma segura, se pueden recuperar.
- Una de las ventajas incluye la prevención de la pérdida de archivos críticos.
- Cuando sospeche que un custodio está borrando o alterando archivos. Una imagen forense completa, hasta cierto punto, le permitirá recuperar archivos eliminados. También se puede usar potencialmente para identificar archivos que se han renombrado u ocultado.
- Cuando espera que el alcance de su investigación pueda aumentar en una fecha posterior. Si no está seguro del alcance de su proyecto, SIEMPRE SOBRE RECOGER. Es mejor tener demasiados datos que no tener suficientes, y no puede obtener muchos más datos que una imagen forense.
- Cuando espera que usted o alguien en su organización necesite certificar o testificar sobre la solidez forense de la colección. En la mayoría de los casos, esta necesidad nunca surgirá, pero es casi seguro que entrará en juego en cualquier proceso penal o penal potencial.
- La generación de imágenes de la memoria de acceso aleatorio (RAM) se puede habilitar mediante el uso de imágenes en vivo. Las imágenes en vivo pueden pasar por alto la mayoría de los cifrados.
¿Qué es el generador de imágenes FTK?
FTK Imager es una herramienta para crear imágenes de disco y su uso es totalmente gratuito. Fue desarrollado por The Access Data Group. Es una herramienta que ayuda a obtener una vista previa de los datos y para obtener imágenes.
Con FTK Imager, puede:
- Cree imágenes forenses o copias perfectas de discos duros locales, disquetes y discos Zip, DVD, carpetas, archivos individuales, etc. sin realizar cambios en la evidencia original.
- Obtenga una vista previa de archivos y carpetas en discos duros locales, unidades de red, disquetes, discos Zip, CD y DVD.
- También puede obtener una vista previa del contenido de las imágenes forenses que podrían estar almacenadas en una máquina o unidad local.
- También puede montar una imagen para una vista de solo lectura que también le permitirá ver el contenido de la imagen forense exactamente como el usuario lo vio en la unidad original.
- Exporte archivos y carpetas desde imágenes forenses.
- Vea y recupere archivos que se hayan eliminado de la Papelera de reciclaje, pero que aún no se hayan sobrescrito en la unidad.
Hay muchas maneras de crear una imagen forense. Sin embargo, uno de los cuales se explica a continuación.
Acercarse:
Para crear una imagen forense con FTK imager, necesitaremos lo siguiente:
- FTK Imager from Access Data, que se puede descargar a través del siguiente enlace: FTK Imager from Access Data
- Un disco duro del que le gustaría crear una imagen.
Método :
Paso 1: Descargue e instale el generador de imágenes FTK en su máquina.
Paso 2: Haga clic y abra FTK Imager, una vez que esté instalado. Debería ser recibido con el tablero FTK Imager.
Paso 3: en la barra de navegación del menú, debe hacer clic en la pestaña Archivo que le dará un menú desplegable, como se muestra en la imagen a continuación, simplemente haga clic en el primero que dice Agregar elemento de evidencia.
Paso 4: Después de eso, aparecerá una ventana emergente que le pedirá que seleccione la fuente de la evidencia. Si conectó un disco duro físico a la computadora portátil/computadora que está utilizando para crear la imagen forense, seleccione la unidad física aquí. Haga clic en Siguiente. Ahora, seleccione la unidad física que le gustaría usar. Asegúrese de seleccionar la unidad correcta o perderá el tiempo exportando una imagen forense de su propia unidad de sistema operativo.
Paso 5: Ahora, exportaremos las imágenes forenses.
- Haga clic con el botón derecho en la unidad física que desea exportar en la ventana FTK Imager. Seleccione Exportar imagen de disco aquí.
- Haga clic en el botón Agregar para el destino de la imagen.
- Seleccione el tipo de imagen forense que desea exportar. Seleccione .E01 y haga clic en Siguiente.
- Después de eso, deberá ingresar información sobre el caso ahora. Puede dejarlos en blanco o mantenerlo en general, esta parte depende totalmente de usted.
- A continuación, deberá elegir el destino al que le gustaría exportar la imagen forense y nombrar la imagen.
Por último, deberá esperar a que se cree la imagen forense y luego se verifique. La velocidad de creación de la imagen forense variará según su hardware. Una vez que ambos han ocurrido, tiene listas sus imágenes forenses.
Ventajas del generador de imágenes FTK
- Tiene una interfaz de usuario simple y capacidades de búsqueda avanzadas.
- FTK admite el descifrado EFS.
- Produce un archivo de registro de casos.
- Tiene marcadores significativos y características destacadas de informes.
- FTK Imager es gratuito.
Contras de FTK Imager
- FTK no admite funciones de secuencias de comandos.
- No tiene capacidades multitarea.
- No hay barra de progreso para estimar el tiempo restante.
- FTK no tiene una vista de línea de tiempo.
Publicación traducida automáticamente
Artículo escrito por zhohadamani y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA