Análisis de evidencia con FTK Imager

Autor: | Última modificación: 4 de octubre de 2023 | Tiempo de Lectura: 2 minutos
Temas en este post:

Algunos de nuestros reconocimientos:

Premios KeepCoding

En este artículo vamos a hacer un análisis de evidencia con FTK Imager, una herramienta forense digital utilizada para adquirir y analizar imágenes de discos y dispositivos de almacenamiento de datos. Este programa fue desarrollado por access data ftk imager y es una de las herramientas forenses digitales más populares utilizadas por investigadores y profesionales forenses. Veamos, por tanto, cómo funciona y cómo hacer análisis de evidencia con FTK Imager.

Análisis de evidencia con FTK Imager

Veamos la interfaz de FTK Imager:

Análisis de evidencia con FTK Imager

Con esta herramienta podremos trabajar sobre las imágenes. Para hacer análisis de evidencia con fkt imager , solo hay que darle al menú de Archivo/Add Evidence Item:

Análisis de evidencia con FTK Imager

Escogemos el tipo de archivo que deseamos montar. En este caso, es un archivo de imagen:

Análisis de evidencia con FTK Imager

Seleccionamos la ruta donde tengamos guardada la imagen forense. En nuestro caso, debemos abrir la evidencia01, que es la original:

Análisis de evidencia con FTK Imager

Después le damos a finalizar.

Automáticamente, se monta la evidencia con sus respectivas particiones:

Análisis de evidencia con FTK Imager

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Tenemos un espacio sin particionar y cuatro particiones:

  • La partición de arranque.
  • La de Microsoft reserved partition.
  • La de los datos.
  • La cuarta partición no tiene nada que ver.
Análisis de evidencia con FTK Imager

Normalmente, el Disco C suele estar en la partición de datos. Así que si desplegamos, lo que hace es escanear la tabla NFTK:

Análisis de evidencia con FTK Imager

Una vez desplegado, tendríamos nuestra estructura de carpetas, como si estuviésemos viendo el propio Windows:

Análisis de evidencia con FTK Imager

De esta forma, podemos hacer un primer análisis de evidencias con FTK Imager dentro del árbol de directorios de la evidencia. Podemos ir a las carpetas que nosotros queramos e, incluso, podemos extraer información.

Supongamos, por ejemplo, que queremos extraer el fichero $MFT, un fichero del sistema de archivos NTFS que se utiliza para guardar información. Si no empleamos herramientas específicas para su análisis, la información que se muestra no es para nada útil.

Otra de las ventajas del análisis de evidencia con ftk imager accessdata es que, al mostrar esta estructura de carpetas basándose en la tabla MFT, nos muestra los ficheros que han sido eliminados.

Veamos, por ejemplo, este que está marcado con una X:

Análisis de evidencia con FTK Imager

Si está marcado con una X significa que el fichero ha sido eliminado. Cuando estamos navegando por el árbol de directorios del Disco C o el sistema de ficheros que tengamos, nos muestra qué ficheros han sido eliminados. Esta es una primera forma de hacer un análisis de evidencia con FTK Imager, un análisis del sistema.

Incluso existe una forma automática en la que podemos sacar todos estos ficheros. Por ahora, veamos cómo sacar uno por uno:

Análisis de evidencia con FTK Imager

Seleccionamos el fichero, le damos en Export Files, seleccionamos la carpeta donde queremos que se guarde el archivo y ¡listo!

Análisis de evidencia con FTK Imager

¿Cómo aprender más?

Ya hemos visto cómo hacer un análisis de evidencia con FTK Imager y algunas de las cosas que podemos llevar a cabo en este proceso. Si quieres seguir aprendiendo para ser un gran profesional en áreas de ciberseguridad e informática forense, en KeepCoding tenemos la formación intensiva perfecta para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un especialista en muy pocos meses con la guía de profesores expertos en el sector. ¡Solicita más información ahora mismo y empieza a transformar tu futuro!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado