Skip to content

Análisis forense con AccessData FTK Imager

Publicado por Sergio Hernando el 9 marzo 2009

Hola,

He estado haciendo algunas pruebas con un producto de Accessdata que se llama FTK Imager, orientado principalmente a la adquisición y tratamiento de imágenes de dispositivos de almacenamiento, para ser posteriormente usadas como de evidencias forenses.

Este producto tiene una gran ventaja para los que no se llevan bien con la línea de comandos: su interfaz gráfica, que permite crear imágenes de todo tipo con cómodos asistentes y funciones agrupadas en menús. Además, al tratarse de una herramienta Windows, FTK Imager es fácil de instalar y permite operar con dispositivos sujetos a controladores no universales, que muchas veces dificultan su montaje otros sistemas y que dotan al análisis en este tipo de plataformas de una laboriosidad adicional que no todo el mundo puede afrontar.

La interfaz presenta un aspecto amigable, con todas las funciones principales integradas. Para la prueba he dispuesto de una llave USB de Inves de 32MB, vieja como ella sola, pero que sigue dando buenos resultados para transportar ficheros pequeños.

FTK

La herramienta permite generar imágenes de dispositivos de almacenamiento en varios formatos. En este caso, he optado por una imagen dd, lo que nos permitirá analizarla en otros entornos y sistemas si así lo deseamos.

FTK

Una vez realizada la imagen, podemos añadirla como evidencia al caso, a través de las funcionalidades de FTK:

FTK

En esta captura apreciamos como en el espacio libre hay rastros de un fichero en el que se puede ver un patrón ._.s...°h.e.r.n.a.n...d.o..c.e.r.t.i...°f.i.c.a.d.o..._.f.CERTIF~1P12

FTK

Cualquier herramienta básica de recuperación nos permitirá obtener más información sobre ese fichero borrado de una manera no segura en la llave USB. Por ejemplo, Restoration:

FTK

Recuperamos

FTK

Y voilá, hemos recuperado un fichero que corresponde a mi certificado digital emitido por la FNMT. Este certificado PKCS #12 está protegido y no puede utilizarse sin la clave privada de cifrado utilizada en el proceso de exportación original, con lo que en un evento de pérdida y recuperación del mismo por terceros malintencionados, no es factible su reutilización. En caso contrario, cualquiera podría haber suplantado mi identidad.

Moraleja: cifra siempre tus dispositivos móviles, y siempre que te deshagas de ellos, bórralos de una manera segura.

Un saludo,

Be Sociable, Share!

Categoría/s → Forensics

Un comentario
  1. 27 diciembre 2012
    mike permalink

    que tal. una pregunta. como le hago para buscar la contraseña de gmail, ya despues de hacerle un dump a la memoria, no se como buscar la contraseña dentro de los codigos hexadecimales.

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS