Una de las bases de un trabajo forense es la de la adquisición de la evidencia.
En este caso voy a poner en la mesa un caso práctico de uso de FTK Imager (https://www.exterro.com/digital-forensics-software/ftk-imager) para llevarme una imagen de un disco duro del que era necesario la realización de un análisis forense.
El simple hecho de conectar un disco duro a un puerto USB de nuestro PC (en este caso concreto era un Windows), va a «modificar» el contenido del disco. Es por ello que hay que tomar la precaución de utilizar un bloqueador de escritura por software.
La versión de andar por casa para un apuro es editar el registro: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
Ahora podemos conectar el disco duro que vamos a clonar, sin riesgo de modificación accidental.
Abrimos FTK Imager, y seleccionamos «Create Disk Image»,
, después en nuestro caso marcamos»Physical drive»
y buscamos en el desplegable la unidad de la que vamos a sacar la imagen. Después presionamos Finalizar.
Ahora pulsamos sobre Add, para añadir el destino
En mi caso utilizo el tipo E01 para la imagen:
En la siguiente ventanos introducimos datos que vamos a utilizar de manera interna para llevar un seguimiento del análisis forense:
Por último indicamos donde se va a guardar la imagen adquirida y el nombre que le vamos a dar. Pulsamos el botón de Finish y a esperar que haga su magia.
Cuando el proceso finaliza, vamos a tener en nuestro caso dos archivos. El archivo imagen sobre el que trabajaremos para el análisis posterior y un txt con información del proceso y un dato importante, el hash del archivo.
Es archivo hash debe ser el mismo siempre que se calcule para ese disco duro.
Por ejemplo, he obtenido el hash con el Quickhash v3.3.4 (https://www.quickhash-gui.org/), en otro pc y obtengo exactamente el mismo valor.
Este es el único software que he encontrado para, desde Windows, obtener el hash de un disco duro.
Tiene una interfaz intuitiva. Nos movemos a la pestaña «Disks», lanzamos el «Launch disk hashing module»
Seleccionamos el disco duro y seleccionamos el tipo de hash que queremos, y listo:
Si alguien conoce algún otro software o comando pasar sacar el hash desde Windows, por favor, comentadmelo. Muchas gracias!
Telopruebo 