FTK Imager Lite

FTK Imager Lite: Captura de Memoria por Hardware USB

La captura de memoria por hardware USB es una técnica esencial en el campo de la informática forense para adquirir evidencia volátil de sistemas comprometidos. En este tutorial, te guiaré a través del proceso utilizando FTK Imager Lite. Este método implica la extracción de la memoria RAM de un sistema y su almacenamiento en un dispositivo USB, seguido del hasheado para garantizar la integridad de los datos.

Requisitos

  1. Dos unidades USB (una para la captura y otra para el almacenamiento).
  2. FTK Imager Lite instalado en la unidad USB de captura.
  3. Un sistema objetivo con acceso físico.

Pasos

Paso 1: Preparación de Hardware y Software

  • Conecta la unidad USB de captura al sistema objetivo.
  • Conecta la unidad USB de almacenamiento al sistema objetivo.
  • En ambos casos los puertos de la máquina objetivo deben estar bloqueados contra escritura.

Paso 2: Ejecución de FTK Imager Lite

  • Abre FTK Imager Lite.
  • Selecciona “File” en la barra de menú y elige “Capture Memory.”

Paso 3: Configuración de la Captura de Memoria

  • Elige la unidad USB de almacenamiento como destino para el archivo de volcado de memoria.
  • Escribe un nombre para el archivo con la captura de memoria que tendrá .mem como extensión. Ej: memdump.mem
  • Tenemos la opción de incluir o no el pagefile.
  • Podemos incluir una copia del volcado en formato AD1, propio de AccessData FTK Imager.

Paso 4: Inicio de la Captura de Memoria

  • Haz clic en “Start” para comenzar el proceso de captura de memoria.
  • Espera a que FTK Imager Lite complete la adquisición.

Paso 5: Extracción y Hasheado del Volcado de Memoria

  • En File selecciona “Add Evidence Item” para agregar el archivo de volcado de memoria recién creado.
  • Selecciona el archivo de volcado de memoria y haz clic en “Finish.”
  • En el menú File, haz clic en “Verify Drive/Image” para generar el hash MD5 y SHA1 del volcado de memoria.
  • Guarda esta evidencia junto al resto de los archivos generados durante el volcado de memoria.

Paso 6: Verificación de Integridad

  • Cuando tu u otro perito deban analizar la integridad del volcado comparán el hash generado en ese momento con el hash original para asegurarse de la integridad del volcado de memoria.

Con estos pasos, has llevado a cabo con éxito la captura de memoria por hardware USB utilizando FTK Imager Lite. Este proceso es esencial para preservar la integridad de la evidencia volátil y garantizar un análisis forense preciso en casos de seguridad informática. Recuerda seguir las mejores prácticas forenses y documentar cada paso del proceso para mantener la validez legal de tu trabajo.

Este procedimiento y muchos otros relacionados se abordan en profundidad en nuestro Curso Profesional de Perito Informático Forense, el cual otorga diploma de asistencia y aborda los procedimientos, herramientas y metodología necesarios para realizar una consultoría en informática forense.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.