Análisis de evidencia con FTK Imager

Autor: | Última modificación: 27 de abril de 2023 | Tiempo de Lectura: 2 minutos
Temas en este post:

Algunos de nuestros reconocimientos:

Premios KeepCoding

En este artículo vamos a hacer un análisis de evidencia con FTK Imager, una herramienta forense digital utilizada para adquirir y analizar imágenes de discos y dispositivos de almacenamiento de datos. Este programa fue desarrollado por AccessData y es una de las herramientas forenses digitales más populares utilizadas por investigadores y profesionales forenses. Veamos, por tanto, cómo funciona y cómo hacer análisis de evidencia con FTK Imager.

Análisis de evidencia con FTK Imager

Veamos la interfaz de FTK Imager:

Análisis de evidencia con FTK Imager 1

Con esta herramienta podremos trabajar sobre las imágenes. Para hacer análisis de evidencia con FTK Imager, solo hay que darle al menú de Archivo/Add Evidence Item:

Análisis de evidencia con FTK Imager

Escogemos el tipo de archivo que deseamos montar. En este caso, es un archivo de imagen:

Análisis de evidencia con FTK Imager 2

Seleccionamos la ruta donde tengamos guardada la imagen forense. En nuestro caso, debemos abrir la evidencia01, que es la original:

Análisis de evidencia con FTK Imager 3

Después le damos a finalizar.

Automáticamente, se monta la evidencia con sus respectivas particiones:

Análisis de evidencia con FTK Imager 4

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Tenemos un espacio sin particionar y cuatro particiones:

  • La partición de arranque.
  • La de Microsoft reserved partition.
  • La de los datos.
  • La cuarta partición no tiene nada que ver.
Análisis de evidencia con FTK Imager 5

Normalmente, el Disco C suele estar en la partición de datos. Así que si desplegamos, lo que hace es escanear la tabla NFTK:

Análisis de evidencia con FTK Imager 6

Una vez desplegado, tendríamos nuestra estructura de carpetas, como si estuviésemos viendo el propio Windows:

Análisis de evidencia con FTK Imager 7

De esta forma, podemos hacer un primer análisis de evidencias con FTK Imager dentro del árbol de directorios de la evidencia. Podemos ir a las carpetas que nosotros queramos e, incluso, podemos extraer información.

Supongamos, por ejemplo, que queremos extraer el fichero $MFT, un fichero del sistema de archivos NTFS que se utiliza para guardar información. Si no empleamos herramientas específicas para su análisis, la información que se muestra no es para nada útil.

Otra de las ventajas del análisis de evidencia con FTK Imager es que, al mostrar esta estructura de carpetas basándose en la tabla MFT, nos muestra los ficheros que han sido eliminados.

Veamos, por ejemplo, este que está marcado con una X:

Análisis de evidencia con FTK Imager 8

Si está marcado con una X significa que el fichero ha sido eliminado. Cuando estamos navegando por el árbol de directorios del Disco C o el sistema de ficheros que tengamos, nos muestra qué ficheros han sido eliminados. Esta es una primera forma de hacer un análisis de evidencia con FTK Imager, un análisis del sistema.

Incluso existe una forma automática en la que podemos sacar todos estos ficheros. Por ahora, veamos cómo sacar uno por uno:

Análisis de evidencia con FTK Imager 9

Seleccionamos el fichero, le damos en Export Files, seleccionamos la carpeta donde queremos que se guarde el archivo y ¡listo!

Análisis de evidencia con FTK Imager 10

¿Cómo aprender más?

Ya hemos visto cómo hacer un análisis de evidencia con FTK Imager y algunas de las cosas que podemos llevar a cabo en este proceso. Si quieres seguir aprendiendo para ser un gran profesional en áreas de ciberseguridad e informática forense, en KeepCoding tenemos la formación intensiva perfecta para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un especialista en muy pocos meses con la guía de profesores expertos en el sector. ¡Solicita más información ahora mismo y empieza a transformar tu futuro!

[email protected]

La IA no te quitará el trabajo, lo hará quien sepa usarla

Conviértete en experto en seguridad informática con el único Bootcamp que además te formará en Inteligencia Artificial Generativa para potenciar tu perfil.