Adquisición de evidencia desde un flash
Enviado por kRz LLC • 28 de Junio de 2020 • Informe • 495 Palabras (2 Páginas) • 92 Visitas
Adquisición de evidencia desde un flash (datos borrados)
Fecha y hora: 22 de junio de 2020, 21:00 pm
Responsable: Cristian Llano Cruz
Herramienta a utilizar:
AccessData_FTK_Imager_3.4.3_x64
Paso 1.-
Saber la unidad donde se encuentra la unidad de almacenamiento (flash)
[pic 3][pic 4]
[pic 5]
[pic 6][pic 7][pic 8][pic 9]
Paso 2.-
Ingresamos a la herramienta AccessData_FTK_Imager_3.4.3_x64, para realizar una imagen de la unidad de almacenamiento. “HP V100W (E:)”
[pic 10]
Paso 3.-
Damos clic en File y luego en clic Create Disk Image, en la nueva ventana debemos seleccionar que la unidad de extracción de datos en este caso es una unidad física, y luego seleccionamos donde esta ubicada la unidad de almacenamiento.
[pic 11][pic 12][pic 13][pic 14]
[pic 15][pic 16]
[pic 17][pic 18]
Paso 4.-
Al dar clic sobre Finish aparecerá una nueva ventana donde damos clic en añadir (Add) la imagen, en la siguiente ventana debemos colocar el tipo de imagen, por recomendación seleccionamos “Raw (dd)”, y damos clic en siguiente, en esta nueva ventana es donde vamos a colocar la información con la cual vamos a registrar todo el proceso de la adquisición, al dar clic en siguiente aparecerá una nueva ventana, donde vamos a buscar el lugar donde queremos que se guarde la imagen, también en el aparatado de Imagen Filename colocaremos el nombre de la imagen con la cual la vamos a identificar y el Image Fragment Size debemos colocar el tamaño de la unidad de donde vamos a obtener la imagen, en mi caso es una flash de 2GB(2000 MB), clic en Finish y por último en la nueva ventana clic en Start, empezara con la creación de la imagen.
[pic 19]
[pic 20][pic 21][pic 22][pic 23][pic 24]
[pic 25][pic 26]
[pic 27]
[pic 28]
[pic 29]
[pic 30]
Paso 5.-
Una vez finalizada la creación de la imagen vamos a File y buscamos la imagen creada en la ubicación donde anterior colocamos, en la siguiente ventana seleccionamos el tipo de evidencia a ingresar en este caso será Image File, clic en siguiente, en esta ventana ubicamos la imagen creada y clic en Finish. Y veremos a continuación la imagen creada.
[pic 31]
[pic 32][pic 33][pic 34][pic 35]
[pic 36][pic 37][pic 38][pic 39]
...