En este artículo vamos a hacer un ejercicio que consiste en ir a una ruta fichero por fichero en FTK. Haremos de forma más minuciosa lo que otras plataformas, como Kape, pueden hacer en 5 o 6 minutos. Este proceso detallado puede tardar hasta una hora, pero es importante que entendamos cómo funciona en las diferentes plataformas y cuáles son las diferencias entre los procesos.
Ir a una ruta fichero por fichero en FTK
¿Qué es un fichero?
Un fichero es un conjunto de datos guardados en una unidad de almacenamiento, como un disco duro, una unidad flash USB o un servidor remoto.
Ruta fichero por fichero: paso a paso
Lo primero que haremos para ir a una ruta fichero por fichero con la herramienta FTK es hacer clic en el menú que dice «Archivo»; cuando se despliegue, seleccionamos la opción «Add evidence item»:
Una vez hecho esto en nuestro proceso de buscar una ruta fichero por fichero, nos aparecerá una ventana emergente, donde se nos pregunta cuál es el origen del archivo que utilizaremos. Tenemos 4 opciones:
- Unidad física: se refiere a las medidas empleadas para cuantificar el almacenamiento y transferencia de datos en dispositivos de almacenamiento y redes de comunicaciones.
Algunas de las unidades físicas más comunes en informática incluyen:- Bit (abreviado como «b»): la unidad más pequeña de información que puede ser almacenada o transmitida y que puede tener uno de dos valores posibles: 0 o 1.
- Byte (abreviado como «B»): la unidad más común de almacenamiento de datos en la que 8 bits se agrupan juntos.
- Kilobyte (abreviado como «KB»): equivalente a 1.000 bytes (o 8.000 bits).
- Megabyte (abreviado como «MB»): equivalente a 1.000 kilobytes (o 1.000.000 de bytes).
- Gigabyte (abreviado como «GB»): equivalente a 1.000 megabytes (o 1.000.000.000 de bytes).
- Terabyte (abreviado como «TB»): equivalente a 1.000 gigabytes (o 1.000.000.000.000 de bytes).
Estas unidades se utilizan para describir el tamaño de los archivos, la capacidad de almacenamiento de dispositivos de almacenamientom como discos duros y unidades flash USB, y la velocidad de transferencia de datos a través de redes de comunicaciones.
- Unidad lógica: es una porción de un sistema de almacenamiento de datos que se asigna como si fuera una unidad física independiente, pero que en realidad está creada a partir de una porción del espacio de almacenamiento disponible en un dispositivo físico.
Las unidades lógicas son creadas y gestionadas por el sistema operativo del equipo y se utilizan para organizar y acceder a los datos almacenados en el disco duro u otros dispositivos de almacenamiento. Una unidad lógica puede crearse a partir de todo el espacio de un dispositivo físico o solo de una parte de este. Por ejemplo, un disco duro físico puede dividirse en varias particiones, cada una de las cuales se convierte en una unidad lógica. - Unidad de imagen: hace referencia a un archivo que contiene una copia exacta de un dispositivo de almacenamiento de datos, como un disco duro, una partición o un disco óptico, como un CD o un DVD.
Este es el origen que seleccionaremos, ya que es donde tenemos guardada nuestra evidencia. - Contenidos de una carpeta: esta selección se hace solo a nivel de archivos lógicos. Aquí se pueden incluir ficheros de todo tipo.
Ahora seleccionaremos la ruta de origen de nuestro archivo de imagen:
¿Cómo aprender más?
Ya hemos visto cómo acceder a una ruta fichero por fichero en FTK, una herramienta para análisis de evidencia en informática forense. Si quieres seguir formándote para transformarte un gran profesional en áreas de ciberseguridad e informática forense, en KeepCoding tenemos la formación perfecta para ti. Con nuestro Ciberseguridad Full Stack Bootcamp, puedes convertirte en un especialista en pocos meses gracias a la guía de profesores expertos en el mundillo y la metodología teórica y práctica. ¡Solicita más información y empieza ahora a transformar tu futuro!
