Imagen Forense y Datos Volátiles

Adquisición bit a bit y preservación de información temporal

← Hash & Metadatos
🖼️

Adquisición Forense de Evidencia Digital

La imagen forense es una copia exacta bit a bit de un medio de almacenamiento que preserva toda la información, incluyendo espacio libre y datos eliminados, mientras que los datos volátiles representan información temporal crítica que se pierde al apagar los dispositivos.

Tipos de Imágenes Forenses

💽

Imagen Física

Copia bit a bit de toda la estructura física de una unidad de almacenamiento.

  • Incluye todo: Sectores llenos, vacíos, espacio libre y sin localizar
  • 🔍 Completa: Sistema de archivos, particiones, MBR/GPT
  • 📏 Tamaño exacto: Mismo tamaño que el dispositivo original
  • ⚖️ Valor probatorio: Máxima integridad para procesos judiciales
🎯 Casos de uso: Investigaciones criminales, análisis de discos completos
📁

Imagen Lógica

Copia de unidades lógicas y sistemas de archivos visibles al sistema operativo.

  • 🎯 Enfoque específico: Particiones, unidades mapeadas, carpetas de red
  • 💾 Solo datos activos: Información accesible por el sistema de archivos
  • 🚀 Más rápida: No incluye espacio libre ni datos eliminados
  • 📊 Análisis dirigido: Ideal para investigaciones específicas
🎯 Casos de uso: Auditorías internas, análisis de datos específicos
🎯

Imágenes Específicas

Adquisición selectiva de carpetas, archivos o datos particulares.

  • 📂 De carpeta: Contenido completo de directorios específicos
  • 📄 De archivo: Archivos individuales con sus metadatos
  • 📱 Extracción móvil: Datos de dispositivos móviles (lógica/física)
  • 🧠 Memoria RAM: Captura de datos volátiles en ejecución
🎯 Casos de uso: Evidencia específica, dispositivos móviles, memoria

Proceso: Creación de Imagen Forense con FTK Imager

Procedimiento completo para adquisición forense manteniendo la integridad de la evidencia

1

Preparación

Conectar dispositivo mediante write blocker. Verificar espacio en equipo forense. Documentar características del dispositivo original.

2

Configuración FTK

Ejecutar FTK Imager como administrador. Seleccionar "Add Evidence Item" → "Physical Drive" para imagen completa.

3

Selección Formato

Elegir formato E01 (recomendado) con compresión. Configurar segmentación si es necesario (ej: 650MB para CD).

4

Verificación Hash

Activar cálculo de MD5 y SHA1. FTK calculará hashes automáticamente durante la adquisición.

5

Adquisición

Iniciar proceso de creación de imagen. Monitorear progreso y verificar que no hay errores de lectura.

6

Validación

Verificar que hashes de original e imagen coincidan. Generar reporte completo para cadena de custodia.

🧠 Datos Volátiles - Memoria RAM

Información temporal almacenada en la memoria de acceso aleatorio (RAM) que se pierde completamente al apagar o reiniciar el dispositivo.

🔑

Contraseñas y Claves

Credenciales de sesión, contraseñas de aplicaciones, claves de cifrado temporales

📱

Procesos Activos

Aplicaciones en ejecución, servicios del sistema, procesos ocultos o maliciosos

🌐

Conexiones de Red

Sesiones activas, conexiones establecidas, tablas de enrutamiento, DNS cache

📝

Documentos Abiertos

Contenido de archivos en edición, texto copiado en portapapeles, datos no guardados

Captura de Memoria RAM con FTK Imager

🎯 Ejercicios Prácticos

⚡ Simulación: Captura de Memoria RAM

Sigue los pasos para capturar la memoria RAM de un equipo en investigación:

🔌
Conectar equipo forense
💻
Ejecutar FTK Imager
🧠
Seleccionar "Capture Memory"
💾
Guardar archivo .mem
🔍
Analizar con Volatility

📋 Escenario: Servidor Comprometido

Un servidor empresarial muestra actividad sospechosa. El equipo está ENCENDIDO con procesos activos. ¿Cuál es el orden correcto de acciones?

⚡ Capturar memoria RAM
🔌 Apagar inmediatamente
📊 Documentar procesos activos
🌐 Capturar conexiones de red
💾 Crear imagen de disco
🔍 Analizar datos volátiles

🔄 Comparación: Imagen Física vs Lógica

💽 Imagen Física

  • ✅ Copia bit a bit completa
  • ✅ Incluye espacio libre
  • ✅ Datos eliminados recuperables
  • ✅ MBR/GPT y particiones
  • ⏱️ Tiempo: Largo
  • 💾 Espacio: Máximo

📁 Imagen Lógica

  • ✅ Solo datos activos
  • ❌ Sin espacio libre
  • ❌ Datos eliminados no incluidos
  • ✅ Sistema de archivos visible
  • ⏱️ Tiempo: Corto
  • 💾 Espacio: Mínimo necesario
💡 Recomendación: Usar imagen física para investigaciones forenses completas e imagen lógica para auditorías específicas o cuando el tiempo/espaio son limitantes.
←Inicio