¿Cómo crear una Imagen Forense de una MicroSD con FTK Imager?

Imagen 1

Un saludo muy especial para todos, el día de hoy quiero compartir con ustedes un blog en el cual les mostraré cómo generar una imagen forense de una MicroSD sospechosa, que podría ser utilizada como evidencia digital.

Material y software utilizado durante este post

• AccessData FTK Imager 4.5.0.3 instalado en una máquina virtual con 

• Una MicroSD de 32GB

• Un adaptador MicroSD

Precauciones a tener en cuenta:

En adición a los requerimientos y mejores prácticas sobre recolección y gestión de evidencia digital, tenga en cuenta que el medio digital al cual le va a sacar la imagen forense, debe estar totalmente protegido contra escritura, sino está seguro de ello, abstengase de realizar cualquier procedimiento en la unidad de almacenamiento.

A continuación podrá ver el adaptador microSD, con el medio digital de almacenamiento, debidamente introducido (imagen 2)

Imagen 2

Observe la tarjeta MicroSD introducida en el Adaptador Micro SD, debidamente bloqueado, lo cual impide la escritura en la MicroSD 

(imagen 3)

Imagen 3

Una vez se está seguro de que se ha establecido el bloqueo contra escritura, se procede a introducir el adaptador en la estación forense. La estación forense ejecuta el software Access Data FTK imager 4.5.0.3 en el sistema operativo Windows 10.

Se abre la utilidad de administración de discos (imagen 4), con el fin de observar como reconoce el sistema operativo el dispositivo de almacenamiento MicroSD

imagen 4

Ubique la MicroSD en la utilidad de administración de discos (imagen 5)

Imagen 5

Como puede ver a continuación (imagen 6), la MicroSD está montada en modo de “Solo lectura”, lo cual es de vital importancia debido a que esté medio no debe ser alterado bajo ninguna circunstancia

Imagen 6

Inicie la aplicación Access Data FTK Imager 4.5.0.3, vaya a la pestaña “File” y posteriormente a “Create Disk Image” (imagen 7)

Imagen 7

A continuación seleccione el tipo de fuente de la evidencia: en este caso particular se seleccionó “Physical Drive” (imagen 8).

Imagen 8

Seleccione el dispositivo de almacenamiento al cual le va a crear la imagen, en este caso el correspondiente a la MicroSD (imagen 9)

imagen 9

Dele clic en el botón “Finish” (imagen 10)

Imagen 10

Proceda a crear la imagen, lo primero que se debe hacer es seleccionar el “Image Destination(s)”, dele clic en “Add” (imagen 11)

Imagen 11

Seleccione el tipo de imagen, se encuentra a continuación con las opciones (imagen 12):

• Raw (dd)

• SMART

• E01

• AFF

Imagen 12

Para el caso particular se seleccionó el formato Advanced Forensic Format (AFF) (imagen 13)

Imagen 13

A continuación se diligencia la información relacionada con el elemento de evidencia, como (imagen 14):

• Case Number: Aquí puede introducir el número del caso al cual corresponde esta evidencia.

• Evidence Number: Aquí puede introducir el número de la evidencia

• Unique Description: Ingrese aquí una descripción única del elemento

• Examiner: Ingrese aquí el nombre de la persona que realiza el procedimiento

• Notes: Ingrese una nota útil sobre el elemento.

Imagen 14

A continuación seleccione la carpeta en la cual se va a almacenar la imagen (imagen 15 e imagen 16).

Imagen 15

Imagen 16

A continuación se introduce el nombre con el cual quedará guardada la imagen (imagen 17).

Imagen 17

Una vez configurados todos los parámetros anteriores, se encuentra de nuevo en la ventana de “Create Image” (imagen 18), antes de iniciar con la creación de la imagen, para este caso en particular, se selecciona la opción “Create directory listings of all files in the image after they are created” (imagen 19)

Imagen 18

Una vez seleccionada la opción antes mencionada, da clic en “Start” y se inicia con el proceso de creación de la imagen (imagen 20).

Imagen 19

A continuación se puede ver la ventana “Creating Image”; en dicha imagen se puede observar lo siguiente:

• Image Source: Dispositivo de almacenamiento (en este caso) al cual se le está creando la imagen. 

• Destination: Ruta del disco en el cual se va a almacenar la imagen creada

• Status: Estado, en este caso “Creating image…”

• Progress: barra en la cual se muestra el progreso del proceso

• Elapsed time: Tiempo transcurrido.

• Estimated time left: Tiempo estimado en el cual podría finalizar el proceso.

Imagen 20

Para este caso en particular, el procesó demoró aproximadamente 34 minutos. Una vez finaliza el proceso de creación, se inicia la etapa de verificación (imagen 21)

Imagen 21

Para este caso en particular el proceso de verificación tardó alrededor de 8 minutos; una vez finaliza la verificación, se muestran los resultados de verificación de la imagen (imagen 22 e imagen 25).

Imagen 22

A continuación se observan unos datos relacionados con MD5, en esta oportunidad se muestra el valor hash computado, el valor hash reportado y, por último, ambos coinciden (imagen 23).

Imagen 23

A continuación se observan unos datos relacionados con el algoritmo SHA1, en esta oportunidad se muestra el valor hash computado, el valor hash reportado y, por último, ambos coinciden (imagen 24).

Imagen 24

Imagen 25

Se observa el resultado del proceso de creación del listado de directorios (imagen 26)

Imagen 26

Se observa el resultado del proceso de creación de la imagen (imagen 27)

Imagen 27

A continuación se observa el resumen de la imagen (imagen 28 e imagen 29), en ese resumen se pueden observar datos como:

• Software utilizado para crear la imagen

• Información del caso

• Información del dispositivo, geometría, información física, serial

• Hashes computados, tanto para el algoritmo MD5, como para el algoritmo SHA1

• Hashes verificados

• Tiempo (fecha y hora) relacionado con el inicio y la finalización tanto de la adquisición como de la verificación.

Imagen 28

Imagen 29

A continuación se observa el lugar donde se almaceno la imagen, se tienen 3 archivos (imagen 30); uno de ellos Archivo AFF (la imagen en sí), el segundo es un archivo CSV en el cual se encuentra toda la información de listado del directorio que tiene la imagen y, por último un documento de texto, en el cual se encuentra un resumen

Imagen 30

Aquí puede observar el contenido del documento de texto (imagen 31)

Imagen 31

A continuación, puede observar el contenido del archivo CSV (imagen 32 e imagen 33)

Imagen 32

Imagen 33

El proceso de “imaging” o de creación de la imagen forense ha terminado; recuerde que debe obtener mínimo dos copias forenses del medio de almacenamiento en el cual se encuentra la posible evidencia digital.

Gracias por leernos!!!

¿Te gustó este post? por favor déjanos tus comentarios! Sé un buen HackerPro y comparte con tu comunidad! Suscríbete a Behackerpr