INFORMATICA FORENSE: LABORATORIO PRESERVACIÓN EVIDENCIA

(FTK IMAGER Y ENCASE IMAGER)

JUAN CAMILO GARCIA CACERES

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERIA
INGENIERIA INFORMATICA
SANTIAGO DE CALI
2020
 INFORMATICA FORENSE: LABORATORIO PRESERVACIÓN EVIDENCIA
(FTK IMAGER Y ENCASE IMAGER)

JUAN CAMILO GARCIA CACERES

LABORATORIO PRESERVACIÓN EVIDENCIA (FTK IMAGER Y ENCASE IMAGER)

DOCENTE: JOSE MIGUEL NAVAS

UNIVERSIDAD AUTONOMA DE OCCIDENTE

FACULTAD DE INGENIERIA
INGENIERIA INFORMATICA
SANTIAGO DE CALI
2020
 TABLA DE CONTENIDO

1. INTRODUCCIÓN ...............................................................................................................................4
2. OBJETIVO GENERAL DE LA PRÁCTICA .............................................................................................5
3. DESARROLLO DE LA PRÁCTICA ........................................................................................................6
4. ACTIVIDADES DE CONSULTA ........................................................................................................ 25
5. CONCLUSIONES............................................................................................................................. 27

3
 1. INTRODUCCIÓN

La evidencia digital por su misma naturaleza es frágil, por lo tanto, puede llegar a
alterarse, dañarse, o destruirse a causa de un manejo incorrecto de los
procedimientos o por desconocimiento de los mismos. Por esta razón es de mucha
importancia tomar las precauciones necesarias que garanticen la conservación de
la evidencia al momento de realizar una extracción de imagen a un dispositivo que
sea objeto de análisis. Es importante anotar que no se debe trabajar sobre los discos
o dispositivos originales que contienen la evidencia a analizar, es necesario realizar
copias, imágenes de estos dispositivos, para trabajar sobre estas copias, que deben
entre otras, garantizar que son idénticas al original.

Para esta tarea de extracción de imágenes, existen diferentes tipos de herramientas

de software, de tipo comercial como libre, así mismo se puede contar en el mercado
con una muy buena gama de dispositivos de hardware que ayudan a realizar este
trabajo.

Entre el software que nos permite la extracción de imágenes de medios de

almacenamiento tenemos el comando dd.exe el cual es bastante confiable y
recomendable su uso, existe para Linux y para Windows, el problema que presenta
es el tiempo que requiere para realizar la copia, pues se toma mucho tiempo para
realizar las imágenes; considerando que es frecuente analizar discos de gran
tamaño, el comando pierde funcionalidad, por lo que se recomienda a cambio el uso
de otras herramientas.

Por ejemplo, podemos considerar herramientas como:

Helix que está diseñada para ambientes Linux y Windows y permite trabajar en
entorno gráfico.

FTK IMAGER, es una herramienta de ACCES DATA, de distribución libre, aunque

FTK tiene una amplia gama de herramientas propietarias de distribución comercial.
Esta herramienta es ampliamente utilizada por informáticos forenses, por su gran
confiabilidad y velocidad en la realización de imágenes.

ENCASE, es otra herramienta de bastante aceptación y uso por informáticos

forenses, de GUIDANCE SOFTWARE, incluye dentro de sus paquetes un módulo
para creación de imágenes que resultan de muy alta aceptación.

Por otro lado, a nivel de hardware también se cuenta con muchas herramientas que
permiten realizar estas imágenes forenses, por ejemplo:

4
• Tableau TD1, TD2
• LOGICUBE QUEST
• ULTRABLOCK

Estos son dispositivos diseñados para la extracción de imágenes y duplicación de

discos.

La diferencia entre usar herramientas de software o herramientas de hardware,

fundamentalmente está en la velocidad empleada y por lo tanto el tiempo que tarda
uno u otro en realizar la imagen, por ejemplo, mientras que las herramientas de
software trabajan a tasas entre 200 a 300 MB por minuto, las herramientas de
hardware lo hacen entre 5,5 a 6 MB por minuto, esto quiere decir, por ejemplo que
para un disco duro de unos 500 GB, con herramientas de software podríamos tardar
entre unas 8 a 10 horas, mientras que con herramientas de hardware para este
mismo disco duro se podría tardar un poco menos de 2 horas. Por esta razón se
emplean las herramientas de hardware cuando se requiere realizar análisis in situ
por la urgencia del análisis y no esperar el tiempo que se toma en el laboratorio
forense. Sin embargo, ambos resultados son buenos.

2. OBJETIVO GENERAL DE LA PRÁCTICA

Aplicar técnicas de informática forense para la recolección de evidencia digital

(creación de imagen) mediante el uso de herramientas de software libre como FTK
IMAGER y ENCASE IMAGER, manteniendo los principios de integridad de los
datos.

5
 3. DESARROLLO DE LA PRÁCTICA

PARTE 1: Bloqueador de Escritura desde el Sistema Operativo Windows

En caso de no contar con el equipo requerido para bloquear la escritura en
dispositivos de almacenamiento, podemos hacer uso de las herramientas que
provee el sistema operativo:
1. Bloqueo de puertos USB: HKEY_LOCAL_MACHINE -> SYSTEM ->
CurrentControlSet -> Control -> StorageDevicePolicies -> writeProtect (Cambie el
valor de “writeProtect”)
¿Cómo se hace en Windows 10?
• Haga clic en Inicio y, a continuación, en Ejecutar.
• En el cuadro escriba regedit y, a continuación, haga clic en Aceptar.
• Busque la siguiente clave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
• Pulsamos clic derecho sobre control y seleccionamos la opción “Nuevo
/Clave” y escribimos: StorageDevicePolicies
• Una vez creada la clave daremos clic derecho en algún espacio en blanco
del costado derecho y seleccionamos “Nuevo / Valor de DWORD (32 bits)”.
• Allí asignaremos el nombre “WriteProtect”.
• Ahora modificaremos el valor de dicho registro pulsando doble clic sobre él o
pulsando clic derecho / Modificar
• El valor del campo Información del valor lo estableceremos en 1. Pulsamos
Aceptar para guardar los cambios.
• Salga del Editor del Registro.

2. Intente grabar alguna información en el dispositivo. Si los pasos anteriores

quedaron bien hechos, se debe mostrar un mensaje como el de la figura #3, al
intentar guardar o escribir sobre el dispositivo, pues quedó protegido contra
escritura.

6
3. Verifique que, si puede leer información del dispositivo, recuerde que solo está
bloqueado para escritura. Para esto, simplemente abra algún archivo que se
encuentre en el dispositivo evidencia.

Si permite la lectura de los archivos que contiene la USB.

7
4. Retire el dispositivo Ya realizada la práctica, vuelva a dejar el writeProtect en su
valor original, para que el Sistema de Registro de Windows quede funcionando
normalmente.

PARTE 2: Extracción de imágenes Forenses con FTK IMAGER

En esta parte de debe realizar la extracción de imágenes forenses, no sobra repetir
que se debe hacer preservando la evidencia, es decir conservar la integridad de la
evidencia. Para esto utilizaremos la herramienta FTK IMAGER.

8
Primero debe conectar a su equipo los dispositivos, con las precauciones del caso:
Disco Evidencia (dispositivo objeto de estudio) y Disco Forense (dispositivo de
almacenamiento, copia de la evidencia). Luego ejecute FTK IMAGER.
Pulse Click en la pestaña File, opción Create Disk Image…

9
La opción 1: Physical Drive Permite extraer imágenes de todos los discos
(dispositivos) que están conectados físicamente (o directamente conectados al
equipo, discos internos, externos, USB…) Observe los dispositivos conectados
físicamente.

¿Cuántos muestra? Me muestra 3 discos, el disco original con el que viene el

computador, un disco duro solido que se añadió al equipo y la unidad usb que se
inserto antes de realizar el paso.
¿Qué capacidad de almacenamiento tiene cada uno? El disco original con el que
venia el computador tiene capacidad de 1 TB, el disco solido añadido
posteriormente tiene 480GB y la memoria usb 16GB
¿Cómo representa Windows los dispositivos de almacenamiento conectados?
Los representa como unidades de Disco.

10
 La opción 2: Logical Drive Permite ver y así mismo poder seleccionar la partición
del disco duro que queramos trabajar. Observe las particiones del disco duro
conectado.

¿Cuántas y cuáles son las particiones que tiene el disco? Cuenta con 2
particiones, (C:) y (D:) y también nos muestra la unidad E que viene siendo la
memoria USB
La opción 3: Image File Permite extraer la imagen forense de un solo archivo que
se encuentre en el dispositivo evidencia. Para esto puede indicar la ruta donde se
encuentra el archivo, o escoger el archivo buscándolo por el explorador, basta con
dar Click en la opción Browse… y seleccionar el archivo requerido

11
La opción 4: Contents of a Folder Esta opción permitirá extraer todo el contenido
de una carpeta. Sin embargo, advierte que no recuperará los archivos que
encuentre dañados o eliminados dentro de la carpeta

La opción 5: Fernico Device Esta opción permitirá extraer todo el contenido de

unidades de almacenamiento óptico CD/DVD.

12
1. Creación de una imagen de un dispositivo evidencia (USB)
Realizar la extracción de una imagen forense (Creación de un Disco Imagen) a un
dispositivo USB, que será entregado por su profesor. Considere que este dispositivo
es evidencia de una escena del delito, por lo tanto deberá seguir los pasos
estudiados para conservar la misma.
¿Cuál opción de Creación de Imagen de Disco debe usar?
Physical Drive

Escogida la opción, seleccione el dispositivo evidencia, en este caso el dispositivo

USB entregado.
Pulse Finish
Se presenta una segunda pantalla, la cual permitirá configurar algunos parámetros
Pulse add… Elija el tipo de extensión que le dará a la imagen forense. Ver figura
#6. FTK, deja seleccionar varios tipos de extensiones, se recomienda escoger la
extensión tipo raw (o extensión dd) que es un estándar por lo que la mayoría de
herramientas lo aceptan para el análisis forense.
En el caso de E01, es una extensión utilizada por ENCASE, por lo que si la
seleccionamos requeriríamos contar con la herramienta ENCASE para hacer el
análisis de esta evidencia, aunque desde la versión 3 de FTK que salió en 2010 ya
se puede leer.

13
Posterior a esto se debe llenar la información correspondiente a la evidencia, para
esto se presenta una ventana con las siguientes opciones:
Número de Caso (Consecutivo a los casos registrados);
Número de Evidencia (Consecutivo al número de evidencias del mismo caso);
Descripción del caso (Breve y clara descripción de la Evidencia);
Examinador (Nombre de quien toma la evidencia);
Notas (Anotaciones adicionales que se consideren importantes).

14
Esta información se verá reflejada en un informe final que la herramienta genera,
por lo que es importante que se llene completamente.
Posteriormente debe indicar donde se guardará la imagen de la evidencia, puede
seleccionar el disco duro o cualquier otro dispositivo forense que se encuentre
conectado, así mismo le debe indicar el nombre de la imagen, la herramienta le
pondrá la extensión de acuerdo a la seleccionada.

FTK, genera dos archivos en su proceso de creación de imágenes forenses, un

archivo con toda la información del dispositivo evidencia, en este caso la USB, con

15
extensión .001 que es la forma visible de un archivo raw. Y otro archivo .txt con la
información del proceso de generación de la imagen. Ver caso en figura #7.

¿Qué información relevante visualiza en el archivo .txt? (El generado en la

práctica)
Contiene toda la información técnica, es decir la descripción completa de la unidad
o disco analizado, tamaño, modelo, tipo de fuente, entre muchos otros asi como
también información o pruebas de lo que contiene dicho disco o unidad.

16
2. Vista de los contenidos de la imagen
Para visualizar el contenido de la imagen, que en este caso será parcialmente, pues
la herramienta FTK IMAGER, no incluye el módulo de análisis de evidencia.
Se procede desde File -> Add Evidence Item…

17
Se debe seleccionar Image File, pues contamos con archivo origen de imagen, el
que se acaba de crear, y requerimos que sea visualizado.
Debe visualizar algo como se muestra en la siguiente figura.

18
PARTE 3: Extracción de imágenes Forenses con ENCASE IMAGER
En esta parte de debe realizar la extracción de imágenes forenses, no sobra repetir
que se debe hacer preservando la evidencia, es decir conservar la integridad de la
evidencia. Para esto utilizaremos la herramienta ENCASE IMAGER.
Una característica de este software es que no requiere ser instalada, puede
ejecutarse directamente desde la unidad forense externa. Puede descargarse en
versión para 64 o 32 bits.
La forma de trabajo de ENCASE IMAGER, es diferente a como se trabaja con FTK
IMAGER.
Con ENCASE IMAGER es necesario cargar la imagen a la aplicación, recuerde que
con FTK IMAGER la imagen se realiza desde los dispositivos conectados al equipo.

La primera opción Add Local Device, en el menú inicial, permite cargar un dispositivo
conectado al equipo.
La opción Add Evidence File, permite cargar la imagen de un archivo existente,
dejando ver sus contenidos de forma similar a la herramienta FTK IMAGER.
La opción Add Raw Image, permite cargar imágenes tipo raw para observar sus
contenidos.
Inicie con la primera opción, Add Local Device, esta opción abre una nueva
ventana, ver figura #12, lo primero que debe hacer es deshabilitar todas las
opciones que por defecto vienen señaladas.

19
¿Qué opciones vienen señaladas por defecto, consulte para qué sirven estas
opciones?

Después de deshabilitar las opciones de un Click en Siguiente, esto abre una nueva
ventana que muestra todos los dispositivos de almacenamiento que están
conectados al equipo, con sus correspondientes particiones, sectores y tamaño de
cada una de ellas. Enumerados consecutivamente e iniciando en 1.

20
Señale la unidad a la que le quiere sacar la imagen (Dispositivo Evidencia) de Click
en Finalizar. Esta operación lo dejará en la siguiente ventana, mostrando el nombre
de la unidad seleccionada. Con doble Click en esta unidad se despliega el contenido
de la misma.

21
Pulsando Click derecho en el nombre de la Unidad, en este caso E, se llega a la
opción de adquirir la imagen forense.

Ahora la herramienta muestra un cuadro de dialogo, donde solicita los datos

correspondientes a la localización de la imagen, su formato y opciones avanzadas.
Llene los tres cuadros solicitados así:
Location: Nombre: (Dar un nombre a la Evidencia…)
Número de Caso: (Consecutivo a los casos registrados);
Número de Evidencia: (Consecutivo al número de evidencias del mismo caso);
Nombre del Examinador: (Nombre de quien toma la evidencia);
Notas: (Anotaciones adicionales que se consideren importantes).
Restat Acquisition: Se usa si se quiere continuar con una imagen previa, en este
caso no se señala pues la evidencia es nueva.
Output Path: Ruta donde quiera que se almacenen los archivos generados.
El Path Alternativo, solamente es requerido cuando tenga un dispositivo evidencia
muy grande y se considere que la evidencia no cabe en el disco forense, entonces
debe direccionar a otra unidad; la herramienta automáticamente detecta cuando su
primera unidad se llena y continúa en la segunda opción registrada.

22
Format:
Formato del Archivo Evidencia: (Ex01 es otro formato que permite encriptamiento y
es el que la herramienta pone por defecto. Para este caso seleccione E01, permite
poner password).
Verificación Hash: Seleccione las dos opciones MD5 y SHA1, para mayor
seguridad.
Password: Opcional
Compresión: Habilitado para que la imagen se guarde con menos tamaño que la
original y ganemos capacidad de almacenamiento.
Tamaño: Allí se puede seleccionar el tamaño de los segmentos que se deseen sean
almacenados. ENCASE no permite generar una imagen en un solo segmento con
la totalidad del archivo, como si lo puede hacer FTK. Por esto es necesario indicar
el tamaño como se quiere que se segmente la imagen del disco evidencia.
Advanced: En esta pestaña no cambiamos nada, la idea es que se generen
bloques de 64 sectores como viene por defecto y aunque se puede indicar que se
haga una imagen de una parte de la evidencia indicando el sector inicial y el sector
final, no es muy recomendable, lo ideal es tener la imagen total.
Con esta configuración terminada, se da Click en Aceptar y podemos observar en
la parte inferior derecha que el proceso de adquisición de la imagen ha iniciado, se
muestra una barra de estado en progresos. Este proceso puede demorar un
determinado tiempo que depende del tamaño de la evidencia.

23
Al terminar el proceso, puede verificar en el directorio que seleccionó, que hayan
quedado las imágenes correspondientes.

Estos archivos pueden ser leídos con cualquier herramienta que acepte manejo de
archivos con extensión E01. Para continuar con esta práctica abriremos la imagen
con la misma herramienta ENCASE IMAGER.

24
4. ACTIVIDADES DE CONSULTA

1. Consulte sobre la herramienta Helix.

2. Consulte sobre la herramienta Autopsy
3. Explore un poco más acerca de otros usos de FTK IMAGER.
4. Explore un poco más acerca de otros usos de FTK IMAGER 5
5. ¿Cómo usaría el comando dd (duplicate disk) en Linux?
6. ¿Qué diferencias encuentra entre FTK IMAGER y ENCASE IMAGER?
Solución
1. Helix es una plataforma unificada para desenvolvimiento colaborativo e
protección de cualquier tipo de propiedad intelectual. Él incluye los siguientes
componentes:

Helix Versioning Engine: Con capacidades DVCS para archivos de cualquier

tipo o tamaño.

Helix GitSwarm: Ecosistema completo para desenvolvimiento basado en Git.

Helix Swarm: Aplicación comprensiva de revisión estilo Gerrit.

Versioning Engine: Gestione y proteja cualquier tipo de archivo o tamaño, código,

diseño, modelos 3D, medios de comunicación, artefactos de ambiente, binarios o
documentos comerciales. Con esa herramienta poderosa, no hay límites para
tamaño de archivos individuales o volumen total de dados

2. Autopsy. Es una interfaz gráfica para el análisis forense informático, mediante

herramientas de líneas de comandos. El cual permite a los investigadores lanzar
auditorías forenses no intrusivas en los sistemas a investigar. Estos análisis se
centran en análisis genérico de sistemas de archivos y líneas temporales de
ficheros. Se puede analizar los discos de Windows y UNIX y sistemas de archivos
(NTFS, FAT, UFS1 / 2, Ext2 / 3).

Debido a que este software se basa en HTML, se puede conectar con el servidor de
Autopsy de cualquier plataforma con un navegador HTML. Autopsy proporciona un
“Administrador de archivos”-como el interfaz y muestra detalles acerca de los datos
eliminados y estructuras del sistema de archivos.

3. FTK Imager es una herramienta de análisis forense disponible en la Web de

AccessData, es un paquete gratuito, que pueden descargar los usuarios de FTK

25
AccessData. El atributo más importante de FTK Imager es que permite varios
formatos para la creación de imágenes. En su lugar, FTK Imager nos permite crear
una imagen de un disco como EnCase, SMART o DD (pura). Además, FTK Imager
es el único producto que puede convertir tipos de imágenes, lo que significa que
podemos tomar una imagen de EnCase y producir una imagen pura o SMART a
partir de ella. FTK Imager es de Windows y no incluye ningún tipo de disco de
arranque. En su lugar, debemos disponer de un bloqueador contra escritura, como
FastBloc de Guidance Sotfware o Lockdown de Paraben, para crear correctamente
una imagen de la unidad sin modificar la evidencia. Después de conectar el
bloquedor de escritura al sistema, se puede crear una imagen en este caso una
imagen SMART, con los siguientes pasos.

5. ¿Cómo usaría el comando dd (duplicate disk) en Linux?

El comando dd (Dataset Definition), es una herramienta sencilla, útil, y

sorprendente, a la vez que desconocida por muchos. Esta aplicación fue creada a
mediados de los 70, en principio para Unix, simplemente porque no existía.

Pero al contrario que otras herramientas que desde su creación se han ido
sofisticando, ésta se ha ido simplificando, hasta el punto de poder hacer lo mismo
que buenos programas comerciales como Norton Ghost o libres como CloneZilla,
con sólo una pequeña orden en la línea de comandos.

La sintaxis general del comando dd es:

# dd if=$input_data of=$output_data [options]

input_data y output_data pueden ser discos, particiones, archivos, dispositivos…

principalmente todo lo que usted pueda escribir a o leer de. Como usted verá, puede
usar dd en un contexto de red para enviar flujos de datos a través de su LAN, por
ejemplo. Usted puede tener solamente la parte de entrada (input) en su comando
dd, o solamente el comando de salida (output), y puede incluso eliminar ambos en
algunos casos. Todos estos serán tratados en la relación siguiente.

26
 5. CONCLUSIONES

• Realizar un proceso como la copia o creación de imagen de un disco en

informática forense para preservar la información es facilitada por
herramientas sencillas y simples como FTK IMAGER Y ENCASE IMAGER.

• El realizar los procesos tomando las debidas precauciones y seguir los

procedimientos establecidos es fundamental para el éxito de la práctica.

27