Tema 3

Archivos
Introducción
En esta unidad, mostraremos los distintos tipos de copia forense que se utilizan dentro
de la informática forense. Distinguiremos los principales y que, por ser los que mejor se
han adaptado a lo que las normas de la informática forense indican, hoy en día son los
más usados tanto por los investigadores como por los distintos softwares de informática
forense que hay en el mercado. También mostraremos un ejemplo en forma gráfica de
cómo puede confeccionarse una imagen forense de un disco rígido de computadora, con
el software FTK Imager, que no es muy distinto de la creación de imágenes con otros
softwares, como Magnet ACQUIRE o OSFClone, por citar otros dos.
1. Tipos de archivo de imagen forense. Tipos más

utilizados
Podemos definir los tipos de imágenes forenses en relación con el formato de archivo
resultante:
1. Imagen tipo Raw: Son archivos planos que conservan el mismo tamaño que el disco
al cual se le está practicando la imagen forense. Es decir, si practicamos la imagen
forense a un dispositivo de 1 TB (terabyte), el archivo de imagen resultante será de 1
TB. Generalmente, la extensión de los archivos es .dd, ya que el nombre proviene del
uso del programa nativo de Unix: DD, reconocido como el primer software capaz de
realizar copias bit a bit y, por lo tanto, copia o imagen forense.
En la Figura 1, se muestra una imagen forense que se efectuó sobre un pendrive marca
Kingston de 1 GB (gigabyte) de capacidad.
Figura 1: Imagen forense Raw efectuada sobre pendrive marca Kingston de 1 GB
Fuente: elaboración propia.
En la Figura 1, vemos el archivo de imagen “pd001”, que es el archivo de imagen tipo

Raw, y podemos notar que tiene el mismo tamaño que el archivo original. En este caso,
el archivo no tiene extensión dd, ya que el programa con el cual se generó la imagen
forense es el FTK Imager. Ya veremos cómo generar una imagen forense con este u
otro producto.
Además del archivo de imagen, encontramos un archivo extensión .txt, que es el archivo
de auditoría de la creación de la imagen forense, donde figuran datos como el número
de serie del disco, la fecha de creación de la imagen y otros datos que veremos más
adelante. La fecha de la creación de la imagen forense es relevante porque, para el
análisis de los metadatos de fechas, es fundamental que los archivos que son parte del
sistema no superen esa fecha. De hecho, todas las fechas serán anteriores a esa,
debido a que es imposible que nos encontremos con fechas posteriores a las de la
creación de la imagen forense.
¿Por qué lo anterior adquiere una gran relevancia? Supongamos que, desde que se
efectuó el secuestro de la computadora hasta que se creó la imagen forense, pasó un
lapso de tiempo determinado. Dijimos que todas las fechas de los archivos que estén
dentro de esa imagen tienen que ser indefectiblemente anteriores a la creación de la
imagen. Tampoco pueden ser posteriores a la fecha del secuestro del elemento, porque
se supone que la computadora se embaló y trasladó al laboratorio, de modo que debe
permanecer apagada y, salvo contadas excepciones, nunca más ser encendida. Si
aparecen archivos con fechas que se encuentren entre el secuestro de la PC y la fecha
de creación de la imagen forense, y si esos archivos denotan que la PC se encendió en
ese tiempo, quiere decir que fue realizado por personal no autorizado. Por lo tanto, la
cadena de custodia por este efecto estará rota. Veamos este hecho en una línea de
tiempo:
Figura 2: Cadena de custodia
2. Imagen tipo EWF: Se trata de archivos que poseen una estructura definida cuya
capacidad —al igual que sucede con el tipo de archivo anterior— es la de contener de
manera íntegra los bits del disco al cual se le practica la imagen forense. Posee una
particularidad respecto del formato anterior: efectúa compresión de la información, por lo
cual los tamaños de las imágenes forenses resultantes pueden ser mucho menores que
los de los originales. Este formato utiliza algoritmos de compresión de la información que
no afectan la integridad de la imagen conformada. Es un estándar originalmente
diseñado por Guidance para su producto Encase Forensic. Luego el estándar EWF fue
liberado hacia el mundo GPL (librerías open source), lo que permitió el desarrollo de
librerías LibEWF, y así el uso libre de este estándar en plataforma Linux y otros
softwares open source (Library of Congress, s. f.; Metz y ztravis, 2020).
Observemos qué ocurre con la creación de la imagen forense del mismo pendrive
Kingston de 1 GB, pero con formato EWF, y veamos el tamaño que obtenemos:
Figura 3: Imagen forense EWF efectuada sobre pendrive marca Kingston de 1 GB

Podemos ver que el tamaño es de aproximadamente 500 GB y que los datos que están
en su interior son una copia fiel bit a bit del disco original. Este estándar fue aprobado
desde principios de los 2000 por entidades que se dedican a efectuar testings de
programas y metodologías para la informática forense, como el National Institute of
Standards and Technology (NIST, s. f.).
Obviamente, las ventajas de uno u otro estándar están a la vista. El estándar EWF es el
más usado y generalizado dentro de todos los productos más utilizados. Además,
permite una gran ventaja a la hora de planear recursos: el ahorro de espacio en los
discos que serán los contenedores de las imágenes forenses resultantes.
2. Archivos de evidencia lógica

Cuando la situación en un allanamiento hace que sea crítico secuestrar material
informático, como un servidor de archivos que presenta una tarea vital que no puede ser
interrumpida, ya hemos dicho que era propicio efectuar la captura de memoria RAM
(random access memory) y procesos en vivo. Pero, además, las autoridades pueden
disponer que el perito tenga que realizar copias en tiempo real de carpetas con
documentos, base de datos, etcétera, ante el hecho de que no pueda llevarse adelante
el secuestro del elemento. Entonces el perito tiene que llevar adelante una copia
controlada de lo que las autoridades le piden. Esas copias deben llevarse adelante con
programas de informática forense, como el citado FTK Imager. Este tipo de copia se
denomina archivo de evidencia lógica. Posee el mismo formato de las imágenes
forenses antes comentadas y en su interior contiene una copia bit a bit de la carpeta o
archivos seleccionados.
Formas y métodos de adquisición en Windows y Linux. Bloqueo

contra escritura en Windows
Vamos a describir los distintos métodos de adquisición que comúnmente se usan para
generar imágenes forenses:
1. Por medio de duplicadores forenses: Ya hemos mostrado gráficamente esta

situación. Es la metodología más rápida y segura con la que cuenta el perito para
efectuar imágenes forenses. No debe preocuparse por bloquear los discos contra
escritura, solo debe estar seguro de en qué lugar tiene que estar insertada la
prueba original. Las imágenes forenses son almacenadas en discos contenedores
e incluidas en carpetas ordenadas por fechas de adquisición. El equipo genera un
log general de toda la adquisición que se puede exportar insertando una unidad
USB (universal serie bus).
2. Por medio de bloqueadores contra escritura: Efectuando la imagen forense en
Windows con FTK Imager, por ejemplo, veremos algunas pantallas acerca de
cómo efectuar la creación de una imagen forense con este producto, luego de
intercalar un bloqueador de escritura:
Figura 4: Cómo crear una imagen forense EWF con FTK Imager. Inicio del proceso
Fuente: elaboración propia a base del software FTK Imager (Access Data, 2020).
Figura 5: Cómo crear una imagen forense EWF con FTK Imager. Elección del disco
al cual se le practica la imagen forense
Figura 6: Cómo crear una imagen forense EWF con FTK Imager. Elección del
formato de archivo de la imagen forense resultante
Figura 7: Cómo crear una imagen forense EWF con FTK Imager. Inserción de
detalles atinentes a la creación de la imagen forense, como número de causa y
nombre del investigador
Figura 8: Cómo crear una imagen forense EWF con FTK Imager. Elección del
directorio de destino en el disco contenedor y el nombre de archivo que tendrá la
imagen forense
Figura 9: Cómo crear una imagen forense EWF con FTK Imager. Resultado final de
la creación y el archivo final resultante
Referencias
Access Data. (2020). FTK Imager [Software de computación] (Versión 4.3.1.1).
Recuperado de https://accessdata.com/product-download/ftk-imager-version-4-3-1-1
Library of Congress. (s. f.). Expert Witness Disk Image Format (EWF) Family.
Recuperado de https://www.loc.gov/preservation/digital/formats/fdd/fdd000406.shtml
Metz, J. y ztravis. (2020). EWF specification. Recuperado de

https://github.com/libyal/libewf/blob/main/documentation/Expert%20Witness%20Compre
ssion%20Format%20(EWF).asciidoc
National Institute of Standards and Technology (NIST). (s. f.). Computer Forensics
Tool Testing Program (CFTT). Recuperado de https://www.nist.gov/itl/ssd/software-
quality-group/computer-forensics-tool-testing-program-cftt

Tema 3

Cargado por

Copyright:

Formatos disponibles

Tema 3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 3

Cargado por

Copyright:

Formatos disponibles

Archivos

1. Tipos de archivo de imagen forense. Tipos más

Fuente: elaboración propia.

En la Figura 1, vemos el archivo de imagen “pd001”, que es el archivo de imagen tipo

Figura 2: Cadena de custodia

Fuente: elaboración propia.

Figura 3: Imagen forense EWF efectuada sobre pendrive marca Kingston de 1 GB

2. Archivos de evidencia lógica

Formas y métodos de adquisición en Windows y Linux. Bloqueo

1. Por medio de duplicadores forenses: Ya hemos mostrado gráficamente esta

Metz, J. y ztravis. (2020). EWF specification. Recuperado de

También podría gustarte