FTK Imager para Linux.

 

Ejecutar FTK Imager desde una Unidad Flash USB (Imager Lite)

FTK Imager es una herramienta para previsualizar y replicar datos, la cual permite rápidamente evaluar evidencia electrónica, para determinar si se justifica un análisis posterior con una herramienta forense como Forensics Toolkit. Permite crear imágenes forenses de discos duros locales, CDs, DVDs, unidades USB, carpetas completas, o archivos individuales, desde diversos lugares dentro del medio.

Quienes han utilizado las  herramientas forense de nombre FTK Imager, conocen sus dos clásicas versiones, la versión denominada como “FTK Imager”, la cual puede ser instalada en una estación de trabajo forense, y la versión denominada como “FTK Imager Lite”, la cual debe ser copiada hacia un dispositivo externo, como un CD/DVD o unidad USB.

La versión más reciente; al momento realizar la presente publicación; permite ejecutar FTK Imager desde un dispositivo USB, tal como se hacía con la versión Imager Lite. A continuación, se detalla el procedimiento para lograr esto.

En otra máquina, la cual no sea la máquina desde donde se requiere obtener una imagen forense; instalar FTK Imager.

Insertar el dispositivo USB formateado con ya sea sistema de archivos FAT32 o NTFS. Copiar toda la carpeta de instalación de nombre “FTK Imager”, el cual generalmente se ubica en la ruta “C: \Program Files\AccessData\FTK Imager” o “C:\Program Files (x86)\AccessData\FTK Imager”, hacia el dispositivo USB.

Insertar el dispositivo USB en el sistema donde se requiere realizar un triage o generar imágenes forenses. Navegar el directorio creado en el dispositivo USB, para luego ejecutar el archivo de nombre “FTK Imager.exe”, con los privilegios del usuario Administrador.

Luego utilizar FTK Imager, tal como ya se conoce.

Lo anteriormente detallado permitirá al profesional forense crear “FTK Imager Lite” portátil desde cualquier versión completa de FTK Imager.

Anotación. Debido a un sistema en funcionamiento cambia constantemente, generar una imagen desde un sistema en funcionamiento puede producir una imagen la cual no es replicable. FTK Imager escribirá hacia la memoria RAM del sistema, y quizás el archivo de paginación del disco duro durante el proceso para generar una imagen forense. Ser consciente de los riesgos de generar una imagen desde un sistema en funcionamiento, y tomar su decisión cuidadosamente.

Importante

Las versiones de 64 bits de FTK Imager (versiones 3.4.3 y superior) requieren archivos complementarios Microsoft Foundation Class (MFC) para ejecutarse. Si la máquina a intervenir no tiene disponible ningún archivo MFC, ocurrirán errores sobre archivos MFC perdidos.

Para asegurarse las nuevas versiones de FTK Imager pueda funcionar sin error, cuando sean ejecutados desde un dispositivo extraible, por favor copie los archivos MFC hacia el dispositivo.

Por ejemplo, copie todos los archivos mfc100*, mfc110*, mfc120* y mfc140* de la carpeta "C:\windows\system32\" hacia la carpeta de la unidad extraíble, la cual contiene el archivo ejecutable de FTK Imager, o copiarlo hacia la raíz del dispositivo extraíble.

FTK Imager 4.5.0 necesita tres DLLs adicionales, Microsoft Visual C++ 2015 redistribuible para funcionar (las cuales pueden ser encontradas en la carpeta “C: \windows\system32\”), las cuales posiblemente se necesiten copiar hacia la unidad extraíble: mfc140u.dll, msvcp140.dll, y vcruntime140.dll.

 

Comentarios

Entradas más populares de este blog

Introdución a FTK IMAGER

Adquisición de imágenes forenses con DD.