Análisis forense con AccessData FTK Imager

Hola,

He estado haciendo algunas pruebas con un producto de Accessdata que se llama FTK Imager, orientado principalmente a la adquisición y tratamiento de imágenes de dispositivos de almacenamiento, para ser posteriormente usadas como de evidencias forenses.

Este producto tiene una gran ventaja para los que no se llevan bien con la línea de comandos: su interfaz gráfica, que permite crear imágenes de todo tipo con cómodos asistentes y funciones agrupadas en menús. Además, al tratarse de una herramienta Windows, FTK Imager es fácil de instalar y permite operar con dispositivos sujetos a controladores no universales, que muchas veces dificultan su montaje otros sistemas y que dotan al análisis en este tipo de plataformas de una laboriosidad adicional que no todo el mundo puede afrontar.

La interfaz presenta un aspecto amigable, con todas las funciones principales integradas. Para la prueba he dispuesto de una llave USB de Inves de 32MB, vieja como ella sola, pero que sigue dando buenos resultados para transportar ficheros pequeños.

FTK

La herramienta permite generar imágenes de dispositivos de almacenamiento en varios formatos. En este caso, he optado por una imagen dd, lo que nos permitirá analizarla en otros entornos y sistemas si así lo deseamos.

FTK

Una vez realizada la imagen, podemos añadirla como evidencia al caso, a través de las funcionalidades de FTK:

FTK

En esta captura apreciamos como en el espacio libre hay rastros de un fichero en el que se puede ver un patrón ._.s…°h.e.r.n.a.n…d.o..c.e.r.t.i…°f.i.c.a.d.o…_.f.CERTIF~1P12

FTK

Cualquier herramienta básica de recuperación nos permitirá obtener más información sobre ese fichero borrado de una manera no segura en la llave USB. Por ejemplo, Restoration:

FTK

Recuperamos

FTK

Y voilá, hemos recuperado un fichero que corresponde a mi certificado digital emitido por la FNMT. Este certificado PKCS #12 está protegido y no puede utilizarse sin la clave privada de cifrado utilizada en el proceso de exportación original, con lo que en un evento de pérdida y recuperación del mismo por terceros malintencionados, no es factible su reutilización. En caso contrario, cualquiera podría haber suplantado mi identidad.

Moraleja: cifra siempre tus dispositivos móviles, y siempre que te deshagas de ellos, bórralos de una manera segura.

Un saludo,

3 comentarios sobre “Análisis forense con AccessData FTK Imager

  1. que tal. una pregunta. como le hago para buscar la contraseña de gmail, ya despues de hacerle un dump a la memoria, no se como buscar la contraseña dentro de los codigos hexadecimales.

  2. Como puedo bajar el software de Televisa para instalarlo en mi compu tengo una Mac y no me deja usar el que ustedes tienen por que es windows.Me podrian ayudar en verdad quero bajarlo para poder ver las novelas de otros dias en Televisa.

  3. hola buenas como estas, me llamo lucas quisiera queme ayudaras con una pregunta cuando se recupera un video con herramientas forenses como ftk imager y se analiza con la herramienta forense accessData forensic toolkit estos videos se recuperan tal como estaban antes d haberlo elimnado incluyendo las fechas del archivo fecha de creacion, modificacion y accesso estas fechas son las reales, ya que un ingeniero forense me dijo que estaban sobreescrito por eso no se puede saber cuando fueron eproducidos un abro este es mi email lucas.mendozabarboza@gmail.com

Comentarios cerrados.