forensia en windows
TRANSCRIPT
-
FORENSIA EN SISTEMAS OPERATIVOS
-
Qu necesitaremos?
Sistema Operativo Windows (Xp, Vista, 7 u 8).
Pendrive o disco de cualquier tamao (Dependiendo del tamao durar ms tiempo el
trabajo de las imgenes).
Programa AccessData FTK Imager (Para creacin de imgenes de discos, montado de las mismas y revisin de data tanto visual como hexadecimal).
Programa PC Inspector File Recovery (Para recuperacin de datos borrados dentro del disco).
Programa Remo Drive Wipe (Para realizar wipe de un disco).
Practica De Forensia en Sistemas Windows
-
Cmo generar una imagen de un dispositivo?
Utilizando la herramienta AccessData FTK Imager se generan imgenes de
dispositivos que se encuentran conectados en el equipo.
-
Pasos para utilizar AccessData FTK Imager
Para realizar una Imagen se debe seleccionar las siguientes opciones
1)
-
Pasos para utilizar AccessData FTK Imager
Una vez seleccionada esta opcin se desplegara la siguiente ventana en nuestro caso
seleccionaremos la opcin Physical Drive ya que tenemos un pendrive conectado al CPU
clickeamos la opcin next.
2)
-
Pasos para utilizar AccessData FTK Imager
Seleccionamos el dispositivo que queremos hacerle la imagen en mi caso es el SanDisk Cruiser
Edge USB de 4 gb y presionamos la tecla finish.
3)
-
Pasos para utilizar AccessData FTK Imager
Aparecer una ventana como la que se muestra a continuacin en esta pantalla hay que
verificar que este seleccionada la opcin de verificar las imgenes y seleccionamos la opcin
add
4)
-
Pasos para utilizar AccessData FTK Imager
Se abre una ventana nueva con 4 opciones se selecciona la primera que es la predeterminada.
5)
-
Pasos para utilizar AccessData FTK Imager
5)
Se coloca la informacin de identificacin de la evidencia y damos click en next.
-
Pasos para utilizar AccessData FTK Imager
6)
Seleccionamos la carpeta de destino de la imagen que vamos a crear y colocamos el nombre de
la imagen igualmente en la seccin image fragment size le colocamos el tamao del disco que
estamos crendole la imagen y por ultimo damos click a finish y luego a start.
-
Pasos para utilizar AccessData FTK Imager
7)
Se crea la imagen dentro de la carpeta especificada y el nombre que indicamos una vez
finalizada la barra de progreso se podr ver la imagen en la ruta.
-
Cmo Agregar elementos a evidencia?
Otra de las ventajas de la herramienta AccessData FTK Imager es poder
montar las imgenes que se generan y poder revisar que tipo de data
existe o existi en el dispositivo.
-
Pasos para utilizar AccessData FTK Imager
Para agregar un elemento a un caso se utiliza la opcin Add Evidence Item
-
Pasos para utilizar AccessData FTK Imager
Como ya hemos creado la imagen lo que debemos hacer es seleccionar Image File y luego
seleccionaremos la ruta donde la habamos guardado.
-
Pasos para utilizar AccessData FTK Imager
Una vez abierta la imagen se muestran una serie de carpetas se tiene que ingresar en la llamada
root quien contiene los datos que se tienen y tenan en la unidad. Los iconos que tienen una X roja significan que fueron eliminados por lo que si quieren recuperarlos se debe utilizar un
programa de recuperacin.
-
Cmo recuperar datos de un dispositivo
despus de haber sido eliminado?
Utilizando la herramienta PC Inspector File Recovery se pueden recuperar
datos eliminados de una imagen o un dispositivo montado en el CPU.
-
Pasos para utilizar PC Inspector File Recovery
Se selecciona la opcin abrir unidad la cual mostrara el dispositivo o imagen que se monto en la
pc se presiona el check de color verde.
-
Pasos para utilizar PC Inspector File Recovery
Aparecera una lista de 4 elementos esto quiere decir que se ha seleccionado la unidad ahora hay
que seleccionar el icono de la carpeta con una cruz roja el cual aparecer el cuadro de
dialogoal que habr de darle al visto bueno de color verde.
-
Pasos para utilizar PC Inspector File Recovery
Empezara el proceso de bsqueda dentro del dispositivo una vez culminada la barra de progreso
se dirige a la carpeta eliminado y se mostraran los archivos que se pueden recuperar
completamente mientras que en la carpeta perdido aparecern archivos que se recuperaron
parcialmente. En este caso se puede recuperar una foto que haba eliminado seleccionndola
con el click derecho y guardndola en el escritorio.
-
Cmo realizar un wipe o formateo en binario?
Utilizando la herramienta Remo Drive Wipe se puede realizar un formateo en binario el
cual si se intentan realizar recuperaciones no se podr extraer ningn contenido
-
Pasos para utilizar Remo Drive Wipe
Esta aplicacin es bastante intuitiva simplemente habr que seleccionar el disco o unidad que
desees formatear y seleccionar el botn siguiente en donde aparecern 3 opciones (Version
gratuita) en la cual seleccionamos la primera Fast Zero Write y seleccionamos el botn Proceed.
Nota: al finalizar el
proceso el disco
quedara en vacio
habr que darle el
formato deseado a
travs de Windows.