Hola,
Os traigo hoy una recopilación de herramientas Windows destinadas al montaje de imágenes forenses que quizás sea de vuestra utilidad. La idea detrás de la utilización de este tipo de programas es poder montar cómodamente, sin recurrir a la línea de mandatos, las imágenes forenses que hayamos generado, para ser posteriormente analizadas.
En el mundo UNIX normalmente emplearemos mount y cuando se trate de sistemas de ficheros menos convencionales o con componentes propietarios, utilizaremos algún driver de carga que nos permita trabajar con dicho sistema. No obstante me hago cargo de que muchos investigadores se sienten cómodos en Windows, y que a pesar de tener excelentes conocimientos en lo que a investigación se refiere, son menos hábiles con el montaje a mano de sistemas de ficheros. Para este tipo de perfiles he seleccionado algunas herramientas. Si conoces alguna más, no olvides comentarlo.
En el listado encontraréis también alguna que otra herramienta para el montaje de medios ópticos. Las he incluido porque en ciertas circunstancias las evidencias pueden llegarnos en un formato de imagen de este tipo, con lo que no está de más enumerarlas. Vamos allá.
FTK Imager
- Coste: Es un producto gratuito
- Permite montar: Prácticamente todo tipo de formatos de imagen forenses habituales, como Encase, SnapBack, Safeback, Expert Witness, Linux DD, ICS, Ghost, SMART, AccessData Logical Image y Advanced Forensics Format (AFF), con un soporte muy extenso para sistemas de ficheros de unidades ópticas, discos duros cifrados y sistemas de fichero de disco
- Ventajas: Sin coste, es una suite forense completa que permite realizar diversas operaciones de análisis, incluyendo la captura en vivo de la memoria del sistema en ejecución.
- Desventajas: Ninguna digna de reseña
- Valoración: 8/10
- URL: http://accessdata.com/support/adownloads#FTKImager
ProDiscover Basic
- Coste: Existe una versión de pago (1495 USD en adelante) y una versión básica gratuita
- Permite montar: No es una herramienta de montaje de imágenes
- Ventajas: Aunque no permite el montaje directo de imágenes, permite abrir los ficheros forenses habituales para trabajar con ellos. Adicionalmente, tiene incorporadas herramientas para la conversión de imágenes que permite, entre otras, lanzar imágenes DD en VMware. Es una suite forense completa que posibilita operaciones de análisis
- Desventajas: No permite el montaje de imágenes en unidades lógicas
- Valoración: 7/10
- URL: http://www.techpathways.com/DesktopDefault.aspx?tabindex=8&tabid=14
P2 eXplorer Pro
- Coste: Existe una versión de pago (199 USD) y una versión gratuita
- Permite montar: Paraben’s Forensic Replicator, Paraben’s Forensic storage containers, Encase 4-5-6, Safeback, RAW, DD, FTK Encase, FTK DD y FTK SMART
- Ventajas: Es tremendamente versátil en cuanto a imágenes que pueden ser montadas, soportando prácticamente todos los formatos usuales. La versión de pago tiene un coste asumible
- Desventajas: La versión gratuita no soporta integración con VMware
- Valoración: 7/10
- URL: http://www.paraben.com/p2-explorer-pro.html
Mount Image Pro
- Coste: 300 USD, versión de prueba disponible
- Permite montar: EnCase .E01, .L01, AccessData FTK .E01, .AD1, Unix/Linux DD, RAW, Forensic File Format .AFF, SMART, ISO, VMWare, ProDiscover, Microsoft VHD, Apple DMG
- Ventajas: Es un producto forense profesional, sencillo de utilizar, y soporta una enorme variedad de formatos de imagen, incluido VMware, y permite generar una unidad lógica en sólo lectura para acceder cómodamente a los contenidos de la imagen
- Desventajas: Coste
- Valoración: 7/10
- URL: http://www.mountimage.com
Daemon tools
- Coste: Existen distintas versiones de pago y una gratuita
- Permite montar: Prácticamente todo tipo de formatos de imagen de medios ópticos (ISO, NRG, B5T, B6T, BWT, CCD, CDI, CUE, ISZ)
- Ventajas: Sencilla de utilizar, soporta una enorme variedad de formatos de imagen para medios ópticos. Los costes de las licencias no gratuitas son pequeños y asumibles
- Desventajas: La funcionalidad de la versión de pago supera a la gratuita en dos aspectos fundamentales: ni permite montar medios en el sistema de archivos, ni se permite la conversion de imágenes
- Valoración: 7/10
- URL: http://www.daemon-tools.cc/eng/downloads
Gizmo Drive
- Coste: Gratuita
- Permite montar: ISO, VHD, IMG, BIN, CUE, CCD, NRG, MDS, MDF, GDRIVE
- Ventajas: Es gratuita y forma parte de una suite con otros productos interesantes
- Desventajas: No es una herramienta forense, con lo que no soporta RAW ni DD, así como otros formatos forenses habituales. Otros productos tienen más compatibilidad y soportan más formatos, incluso en su area de especialidad
- Valoración: 5/10
- URL: http://arainia.com/software/gizmo/overview.php?nID=4
Espero que este listado os sea de utilidad. Sentíos libres de ampliarlo usando los comentarios :)
Un saludo,
Buenos dias.
Ademas de felicitarte por tu blog, el cual cada dia me incita a aprender mas, me gustaria plantearte una pregunta.
¿Hay alguna posibilidad de extraer datos de los platos de un disco que no funciona? Es decir. Si los platos estan bien, y lo que se ha estropeado son las cabezas lectoras, se supone que los datos siguen estando escritos en el disco. Si es asi, ¿que herramientas se utilizan para tal fin? ¿Hay algun tipo de procedimiento que se pueda hacer en un taller para acceder a estos datos?
Sé que a nivel de laboratorios especializados, se hacen maravillas, pero son altamente costosos, y la mayoria de las personas que se encuentran frente a una perdida de datos por este tipo de incidencias, son gente que pierde las fotos de toda su vida, pero tienen recursos como para enviar un disco a una empresa que te cobra 100 euros solo para aceptar el disco.
Un saludo, felicidades y gracias de nuevo por el blog
Hola Rubén,
Gracias por tus comentarios. Bienvenido al blog.
Efectivamente es posible recurirr a técnicas de recuperación pero son altamente costosas por los costes de los equipos a emplear. La palma en cuanto a complejidad se la llevan las técnicas STEM de recuperación electromicroscópica, que tienen especial foco en discos sobreescritos.
http://en.wikipedia.org/wiki/Scanning_transmission_electron_microscopy
Existe mucha controversia sobre si estas técnicas son o no son fiables, echa un ojo al enlace.
Respecto a unidades dañadas físicamente, con el equipo adecuado es igualmente factible montar los platos en otros equipos operativos, pero esto nuevamente requiere condiciones especiales, y sólo están al alcance de laboratorios. Ten en cuenta que los discos son altamente sensibles a los cambios de temperatura, el polvo ambiental, el electromagnetismo, y que te puedo asegurar que desmontar un disco no se hace en dos minutos. Los antiguos todavía son accesibles, los nuevos vienen casi todos remachados, y a la mínima, te cargas los platos. Esto hace que recuperar con una laboratorio sea algo costoso, porque es algo complejo, realmente complejo.
Prueba a sacar un plato de un disco dañado y comprenderás de lo que te hablo. Y luego ponte a pensar si eso tienes que hacerlo sin que los platos queden expuestos a absolutamente nada, y que posteriormente tienes que montarlos en otra unidad. Te darás cuenta por qué piden 100 euros sólo por mirar el disco.
Un saludo, y felices fiestas.
Buenos dias te felicito por este sitio, quisiera saber si me podrias facilitar mas informacion acerca de todos estos formatos de imagens, pues hasta ahora los escucho y en mi trabajo lo sreqiero.
Gracias.
Atento a su colaboracion.
Alvaro,
¿Qué es lo que quieres saber exactamente? Si lo que buscas es información genérica, deberías irte directo a Google que vas a encontrar miles de páginas que explican que es cada formato de fichero.
Prueba a mirar en http://filext.com/ como primer paso
Un saludo,