FTK Imager para Linux.

 

Ejecutar FTK Imager desde una Unidad Flash USB (Imager Lite)

FTK Imager es una herramienta para previsualizar y replicar datos, la cual permite rápidamente evaluar evidencia electrónica, para determinar si se justifica un análisis posterior con una herramienta forense como Forensics Toolkit. Permite crear imágenes forenses de discos duros locales, CDs, DVDs, unidades USB, carpetas completas, o archivos individuales, desde diversos lugares dentro del medio.

Quienes han utilizado las  herramientas forense de nombre FTK Imager, conocen sus dos clásicas versiones, la versión denominada como “FTK Imager”, la cual puede ser instalada en una estación de trabajo forense, y la versión denominada como “FTK Imager Lite”, la cual debe ser copiada hacia un dispositivo externo, como un CD/DVD o unidad USB.

La versión más reciente; al momento realizar la presente publicación; permite ejecutar FTK Imager desde un dispositivo USB, tal como se hacía con la versión Imager Lite. A continuación, se detalla el procedimiento para lograr esto.

En otra máquina, la cual no sea la máquina desde donde se requiere obtener una imagen forense; instalar FTK Imager.

Insertar el dispositivo USB formateado con ya sea sistema de archivos FAT32 o NTFS. Copiar toda la carpeta de instalación de nombre “FTK Imager”, el cual generalmente se ubica en la ruta “C: \Program Files\AccessData\FTK Imager” o “C:\Program Files (x86)\AccessData\FTK Imager”, hacia el dispositivo USB.

Insertar el dispositivo USB en el sistema donde se requiere realizar un triage o generar imágenes forenses. Navegar el directorio creado en el dispositivo USB, para luego ejecutar el archivo de nombre “FTK Imager.exe”, con los privilegios del usuario Administrador.

Luego utilizar FTK Imager, tal como ya se conoce.

Lo anteriormente detallado permitirá al profesional forense crear “FTK Imager Lite” portátil desde cualquier versión completa de FTK Imager.

Anotación. Debido a un sistema en funcionamiento cambia constantemente, generar una imagen desde un sistema en funcionamiento puede producir una imagen la cual no es replicable. FTK Imager escribirá hacia la memoria RAM del sistema, y quizás el archivo de paginación del disco duro durante el proceso para generar una imagen forense. Ser consciente de los riesgos de generar una imagen desde un sistema en funcionamiento, y tomar su decisión cuidadosamente.

Importante

Las versiones de 64 bits de FTK Imager (versiones 3.4.3 y superior) requieren archivos complementarios Microsoft Foundation Class (MFC) para ejecutarse. Si la máquina a intervenir no tiene disponible ningún archivo MFC, ocurrirán errores sobre archivos MFC perdidos.

Para asegurarse las nuevas versiones de FTK Imager pueda funcionar sin error, cuando sean ejecutados desde un dispositivo extraible, por favor copie los archivos MFC hacia el dispositivo.

Por ejemplo, copie todos los archivos mfc100*, mfc110*, mfc120* y mfc140* de la carpeta "C:\windows\system32\" hacia la carpeta de la unidad extraíble, la cual contiene el archivo ejecutable de FTK Imager, o copiarlo hacia la raíz del dispositivo extraíble.

FTK Imager 4.5.0 necesita tres DLLs adicionales, Microsoft Visual C++ 2015 redistribuible para funcionar (las cuales pueden ser encontradas en la carpeta “C: \windows\system32\”), las cuales posiblemente se necesiten copiar hacia la unidad extraíble: mfc140u.dll, msvcp140.dll, y vcruntime140.dll.

 

Comentarios

Publicar un comentario

Entradas más populares de este blog

Introdución a FTK IMAGER

Imagen
  FTK imager es una de esas herramientas forenses que se utiliza para recopilar datos y analizar pruebas ¿Cómo funciona FTK Imager?  FTK Imager se puede usar para realizar una variedad de tareas informáticas forenses, como crear una imagen de disco, capturar datos en la memoria del sistema operativo, montar una imagen o recuperar datos protegidos del sistema, como archivos de credenciales de usuario (SAM).  
Leer más

Adquisición de imágenes forenses de Mac paladin

Imagen
Mi resumen  Es posible arrancar un equipo Mac con la función Tarjet Discok Mode y con esta convertir el Mac en una especie de disco duro externo para ser fácilmente copiado en una imagen forense con ayuda de otro equipo Mac y una USB que tenga el programa ejecutable FTK Imager para Mac  Basta con al iniciar el equipo que queremos copiar arrancar presionando la tecla T y el equipo permitirá en modo Tarjet Discok Mode, en la pantalla aparecerá el símbolo de carga de batería y el símbolo del puerto por donde se puede comunicar (thunderball, firewire, usbc) De ahí procedemos a conectar el Mac convertido y listo. 
Leer más