Preparación de reportes de Informe de laboratorios

LABORATORIO 1 INFORMATICA FORENSE

Diaz Padilla José De Los Reyes
Universidad nacional Abierta y a Distancia - UNAD
jddiazpa@unadvirtual.edu.co

RESUMEN: En el presente trabajo se realizará paso a

paso la creación de una imagen segura de un dispositivo
de almacenamiento, también una herramienta se
realizará imagen de la memoria volátil de un dispositivo.
Mediante la utilización de herramienta como Clonezilla y
FTK imager, respectivamente.

PALABRAS CLAVE: clonación, clonezilla, FTK

imagen, forense

ASTRACT:In the present work, the creation of a secure

image of a storage device will be carried out step by
step, also a tool will be imaged of the volatile memory of
a device. Through the use of tools such as Clonezilla
Ilustración 2 Creación de carpetas
and FTK imager, respectively.
Se inserta el cd de con el programa clonezilla y se inicia
Desarrollo de la actividad la maquina virtual en el cual se va a realizar la practica
de Laboratorio. Se inicia la instalacion de la herramienta
clonezilla y se elige la opcion por defecto: VGA 800
Para iniciar con el proceso, se crea una X600
partición de 200Mb, y se renombra con el
nombre del estudiante.

Ilustración 1 Creación de la partición de 200Mb r

Ilustración 3 inicio de instalación de Clonezilla

Se seleciona el idioma

Se crea una carpeta dentro de la particion simulando la

estructura de la empresa

Ilustración 4 se elige el idioma

1
Preparación de reportes de Informe de laboratorios
.

Se selecciona la distribución del techado Se selecciona la opción: local_dev y pulsamos “OK”

Ilustración 5 distribución del teclado

Ilustración 8. Selección directorio de la Imagen

Se selecciona: iniciar clonezilla

Se selecciona el dispositivo donde se va a guardar la
imagen

Ilustración 6 Iniciar instalación de clonezilla

Ilustración 9. Selección dispositivo

Se elige la opción: device_image Disco/Partición

a/desde Imagen Se elige la opción: Modo experto

Ilustración 10. Selección del modo expert

Ilustración 7 selección device_image

2
Preparación de reportes de Informe de laboratorios
.

Se elige la opción: saveparts Se elige la partición a la cual se le va a realizar la

Imagen, para este caso: sda3 “joseDiaz”
correspondiente a la partición creada previamente de
200Mb

Ilustración 11. Selección del modo saveparts Ilustración 14. Selección del directorio de la imagen a crear

Se selecciona la opción: -q2

Se edita el nombre de la imagen

Ilustración 15. Selección Parámetros

Ilustración 12. Editar nombre de la Imagen Selección de múltiples parámetros -c, -j2, -rescue

Se elige el nombre de la Imagen

Ilustración 16. Selección múltiples Parámetros

Ilustración 13. nombre de la Imagen

3
Preparación de reportes de Informe de laboratorios
.

Selección del modo de comprensión -z2 comprensión

bzip2(muy lenta pero imagen muy pequeña) Selección: comprobar la imagen grabada

Ilustración 17. Selección modo de comprensión
Selección del tamaño en Mb para partir el archivo
imagen en varios volúmenes de archivos, para este caso
elegimos 4096.
Ilustración 19. Selección comprobar la imagen guardada
Cifrado de imagen. Se puede elegir si se desea cifrar la
imagen con una contraseña. En este caso elegimos la
opción: -sen No cifrar la imagen.

Ilustración 18. Selección tamaño archivo imagen

Selección -fsck comprobar y reparar de forma

interactiva el sistema de ficheros de fuente antes de
guardar Ilustración 20. Opción cifrar la imagen

Opción que realizar cuando termine el proceso: para

este caso elegimos la opción: -p power off apagar

Ilustración 19. Selección comprobar y reparar el sistema de

ficheros

Ilustración 21. Opción cuando termine el proceso

4
Preparación de reportes de Informe de laboratorios
.

Confirmación del proceso de guardado de la imagen, Inicialamos nuevamente la máquina virtual y verificamos
confirmamos con la letra “y” en el dispositivo de almacenamiento que se haya
realizado la imagen y su contenido.

Ilustración 25. Contenido de la imagen creada

Ilustración 22. Confirmación para continuar con el proceso

Culminación del proceso de clonación de la partición

Realizar con el FTK imager la creación de la
imagen de la memoria volátil, es decir la memoria
ram, del mismo dispositivo en donde se encuentra
el disco duro que se creó anteriormente.

Una vez instalada nuestra herramienta FTK imager en

nuestra máquina, vamos a realizar una simulación de
borrado de archivos, hacer una visualización en bits de
la información y realizar una copia de los archivos que
fueron borrados.

Realizamos el borrado de un archivo de la carpeta

Inventarios.

Ilustración 23. Estado del proceso de Clonado

Elección de modo al finalizar el proceso: para este caso

seleccionamos la opción: poweroff apagar. El programa
solicitara retirar el CD y confirmar el apagado del equipo(
máquina virtual).

Ilustración 26. Borrado de archivos

Ilustración 24. Estado del proceso de Clonado

Una vez realizamo el proceso de la copiado mde la
memoria Ram

5
Preparación de reportes de Informe de laboratorios
.

Ilustración 27. Selección captura de memoria Ilustración 30. proceso de creación de la Imagen completado

Seleccionamos la ruta donde se va a guardar la imagen y Seleccionamos la opcion “add evidence item” y luego
le damos el respectivo nombre. “JoseDiazMV” “Image file” damos la ubicación del archivo de la
imagen y “Finalizar”

Ilustración 28. Selección de la ruta y nombre de la imagen

Ilustración 31. Agregar el archivo de imagen

Se inicia el proceso de creacion de la Imagen

Se visualiza la estructura del contenido de la imagen de

la memoria Ram, de manera hexagecimal . El cual puede
ser analizado de mañera efeciente con la ayuda de otras
herramientas forenses.

Ilustración 29. proceso de creación de la Imagen

Ilustración 31. Visualización de la estructura de la

Una vez completado el proceso, seleccionamos la información
opcion: close

6
Preparación de reportes de Informe de laboratorios
.

De esta manera si aplicamos este procedimiento a la

empresa”Ferreteria Casa Moderna”, se podria optener la
informacion necesaria para verificar si hubo alteracion
de la informacion(Borrado, copiado, modificado)
contenida en los computadores de la empresa.

Conclusiones

Mediante el trabajo realizado se pudo identificar utilidad

de la herramienta Clonezilla para el clonado de
dispositos o particiones de disco, a si como tambien el
uso de la herramienta FTK imager para la creacion de
imagen de la memoria ram de los computadores, que a
las vez no permiten realizar una toma de evidenicia
forense, sin afectar la informacion original.
Es importante aclarar que para este tipo de
procedimiento se debe contar con los conocientos
necesarion y no se vea afectada la imformacion por un
mal procedimiento acarreando consecuancias graves
para la investigaciojn y repercusiones para la empresa o
entidad afectada por el delito informatico.

1 REFERENCIAS

[1]Cómo crear una imagen de un disco duro con Clonezilla de

forma gratuita free Proyecto AjpdSoft. (n.d.). Retrieved
November 17, 2018, from
http://www.ajpdsoft.com/modules.php?name=News&file=arti
cle&sid=524,

[2] Product Downloads. (n.d.). Retrieved November 17, 2018,

from https://accessdata.com/product-download/ftk-imager-
version-3.4.2
[3] ANALISIS FORENSE DE CONTENIDOS CON FTK
IMAGER - YouTube. (n.d.). Retrieved November 17,
2018, from
https://www.youtube.com/watch?v=m8CZs6ramOc&t=16
0s
[4] Cabrera, H. (2013). Introducción a la Informática Forense.
Recuperado
dehttps://drive.google.com/a/unad.edu.co/file/d/0Bzz5sZf
vr5uedE1HcC1NcmRXWFk/view?usp=sharing