• Marcos Pablo Russo

Forensic Tools (FTK Imager) Parte 1


¿Qué es FTK Imager?


Es uno de los tantos productos que tiene la empresa AccessData (https://accessdata.com), esta herramienta nos sirve para realizar el análisis forense como la creación de imágenes. La podemos bajar en forma gratuita, donde tenemos una versión instalable o una portable, es decir no instalable.


Permite varios formatos para la creación de imagen de un disco como Ewf (EnCase), SMART o DD (raw o puro). A su vez nos permite convertir tipos de imágenes, lo cual significa que podemos tomar una imagen generada en EnCase y convertirla en una imagen DD o SMART.


Las características que nos ofrece esta herramienta son:


  • Creación de imágenes forense: nos permite crear imágenes discos locales, CD, DVD y otros tipos de dispositivos como USB, archivos individuales o carpetas.

  • Vista previa de archivos y carpetas: en discos duros locales, unidades de red, CD y DVD, memorias USB u otros dispositivos USB.

  • Contenido previo del contenido: podemos observar el contenido almacenado dentro de nuestro equipo o la red.


  • Montar una imagen para la vista de solo lectura: para ver la estructura y el contenido de los directorios tal como lo vio el usuario original.


  • Exportar: archivos y carpetas de imágenes forenses.


  • Crear archivos de hashes: esto permite verificar la integridad de los datos utilizando cualquiera de las dos funciones de hash disponibles en FTK Imager: MD5(Message Digest 5) y SHA-1 (Secure Hash Algorithm).

  • Genere informes hash: para archivos regulares e imágenes de disco (incluidos los archivos dentro del disco de imágenes) que luego puede usar como punto de referencia para demostrar la integridad del caso como evidencia. Cuando se captura una imagen de una unidad completa, se puede generar un hash generado por FTK Imager se utiliza para verificar que el hash de la imagen y el hash de la unidad coincidan después de que la imagen esté creada, y que la imagen se ha mantenido sin cambios desde la adquisición.

  • Ver y recuperar archivos que han sido eliminados: esto permite recuperar archivos que fueron depositados en la Papelera de reciclaje, como también archivo borrados que no se encuentran más en nuestros directorios.

Es recomendable utilizar un bloqueador contra escritura, de esta forma no cometemos ningún error con respecto al borrar/modificar algún elemento del disco que vamos a obtener una imagen para su análisis, en este caso tenemos varias herramientas para utilizar como puede ser FastBloc de Guidance Software o Lockdown de Paraben. También podemos obtener un hardware para el bloqueo de escritura, aunque son más caros (figura 1).


Figura 1 - Bloqueador de escritura por hardware.


Al iniciar FTK Imager, nos presentara la siguiente pantalla (figura 2).



Figura 2 – Pantalla inicial de FTK Imager.


Adquisición de imágenes


Lo primero que vamos hacer es una adquisición de imagen de un USB de 16GB. Para esto vamos a la siguiente pantalla (figura 3).


Figura 3 – Adquisición de una imagen.


Como podemos observar tenemos 5 tipo de adquisición de evidencia:


  • Physical Drive: esta opción que es la que vamos a utilizar como discos físicos, en nuestro caso el USB. En este caso será todo el dispositivo, es decir si tenemos un USB de 16G tomaría todo el dispositivo, es decir todas las particiones.


  • Logical Drive: si queremos volúmenes lógicos de una partición.


  • Image File: si tenemos un archivo de imagen generado.

  • Contents of a Folder: permite seleccionar una carpeta para realizar la adquisición.

  • Ferrico Device: permite multiples CD/DVD.

Una vez seleccionada la opción Physica Drive, nos muestra que dispositivo físico vamos a adquirir (figura 4), donde vamos a poder observar el dispositivo físico como el nombre del producto y tamaño.



Figura 4 – Selección del dispositivo físico.


La próxima pantalla podemos agregar el tipo de imagen de salida, a su vez que verifique la creación de la imagen creada como también muestre una estadística del progreso (figura 5).


Figura 5 – Creación de imagen y selección del tipo de imagen generada.


Tenemos varios tipos de imagen como destino, donde algunos ya los vimos.


  • E01: extensión de EnCase.


  • DD: es puro es raw, es decir sin formato.


Nosotros usaremos E01 donde no solo podemos usar con otras herramientas para realizar el análisis, sino que también ocupa menos espacio, a su vez lo podemos dividir en distintos la imagen en un tamaño determinado. También la información de la evidencia se encontrará en la misma imagen. Luego de seleccionar esto veremos que la próxima pantalla será agregar información de la evidencia (figura 6).


Figura 6 – Información de la evidencia.


La próxima pantalla será donde vamos a dejar el directorio y el nombre del archivo de la adquisición, dejarla en un disco aparte, no en el propio disco de adquisición, como también indicar en cuantos megas queremos dividir la imagen, en nuestro caso ponemos 0 para que se cree en una sola imagen sin división, y el tipo de compresión que queremos donde lo dejamos por default (figura 7).


Figura 7 – Directorio donde guardamos la imagen como el nombre del archivo.

Y la última pantalla de adquisición será donde muestra la imagen de destino (figura 8).


Figura 8 – Comenzamos a realizar la adquisición.

Vemos el progreso y el tiempo que va a llevar (figura 9).


Figura 9 – Progreso e información de la adquisición.

Y por último nos da un resumen del hash, la verificación, si hay bloques de disco malos, etc (figura 10). De esta forma terminamos de explicar cómo realizar una adquisición.



Figura 10 – Resumen de la adquisición obtenida.


Conclusiones:

Hasta el momento vimos las caracteristicas de esta herramienta, y como primer ejemplo como realizar una adquisicion, en los proximos capitulos iremos viendo como utilizar dicha herramienta para el montaje y conversiones.


Saludos a la comunidad #DFIR