Anda di halaman 1dari 6

Fase 2 Practica Individual 1 Realización

de Imágenes
Mario Martinez Garzon
Universidad Nacional Abierta y a Distancia
Bogotá, Colombia
soldiermario11@hotmail.com

Resumen— mediante este trabajo se realizara la documentación


del laboratorio individual sobre el procedimiento de creación de Después de haber descargado la imagen .iso del software, se
imágenes con Clonezilla paso a paso, se documentara con graba en una unidad cd, para luego realizar el arranque desde
imágenes plasmando los procedimientos realizados, mediante el esta misma unidad y acceder a Clonezilla.
software AccessData FTK Imager, adjuntando pantallazos de los
procedimientos realizados estas herramientas y procedimientos Ilustración 2 Preparación de unidad con iso booteable
son elementos básicos del análisis forense y la practica tiene como
objetivo aprender a utilizarlas y observar la información
relevante que podemos obtener de las imágenes de disco y De acuerdo con la guía de la actividades se crea una partición
memoria que como profesionales podemos usar como practica en de 200 MB con el nombre Lab Inf Forense para la realización
el día a día laboral. de la práctica.

Palabras clave— imagen de disco duro, informática forense,


imagen de memoria, Clonezilla, FTK Imager, evidencia, seguridad
informática.

Abstract through this work the documentation of the individual


laboratory on the procedure of creation of images with Clonezilla
will be made step by step, it will be documented with images
capturing the procedures carried out, by means of the
AccessData FTK Imager software, attaching screenshots of the
procedures carried out these tools and Procedures are basic
elements of forensic analysis and practice aims to learn how to
use them and observe the relevant information that we can obtain
Imagen 2 Creación de la partición
from the disk and memory images that we as professionals can
use as practice in day to day work.
Keywords— hard disk image, forensic tool, memory image, 2. Una vez descargado el programa, y utilizando VirtualBox
Clonezilla, FTK Imager, evidence, computer security. con una máquina virtual con Windows 7 se procede a bootear
desde el iso de Clonezilla
I. IMAGEN DE DISCO DURO
Una de los principales elementos que debemos intervenir en
un incidente presentado como en relacionado en el ejercicio es
asegurar una imagen del disco o el disco físico como tal para
garantizar la trazabilidad de la información.

Para realizar la imagen del disco de 200 MB solicitado


haremos uso del software Clonezilla sugerido en la
descripción de la actividad, este es un software Open Source
que podemos encontrar de manera gratuita en su sitio web
https://clonezilla.org/downloads/download.php?branch=stable

Imagen 3 boteo desde el software clonezilla

Imagen 1 Descarga de software Clonezilla


Luego de haber iniciado desde la imagen seleccionamos el De igual manera seleccionamos la carpeta de destino
idioma

Ilustración 6 selección de idioma y teclado en Clonezilla

Imagen 7 Ventana selección carpeta de destino

En este paso seleccionamos la opción modo experto

Imagen 4 Ventana selección de lenguaje

En este paso seleccionamos de que modo se realizara el modo Imagen 8 Ventana selección modo Experto
de respaldo que se desea hacer

En este paso seleccionamos guardar la partición local como


imagen.

Imagen 9 Ventana selección guardado local

En este paso colocamos el nombre con el cual va a ser


Imagen 5 Ventana selección de partición identificada la partición creada

En este paso podemos tambien seleccionar la particion para


creacion de la imagen.

Imagen 10 Ventana nombramiento de la imagen

Imagen 6 Ventana selección de partición de destino


En este paso seleccionamos la partición creada para realizar el
respaldo En estas dos imágenes podemos encontrar la selección de
tamaño para particionar la imagen realizada de igual manera
esta opción de comprobación de archivos y reparación de
ficheros antes de grabar la imagen.

Imagen 11 Ventana para selección de partición creada a respaldar

En este paso seleccionamos la prioridad de la partición con la


que vamos a trabajar.

Imagen 15 Ventana para particionar la imagen y para la


comprobación de archivos al momento de grabar

Por último, en estas dos imágenes podemos encontrar dos


opciones una de cifrar la información a momento de grabar la
imagen y la opción de reinicio o apagado del sistema al
terminar la tarea.

Imagen 12 Ventana para selección de prioridad de la partición

En paso podemos seleccionar opciones avanzadas de la


configuración de la imagen que se va a crear.

Imagen 16 Ventana para selección opciones de cifrado y compresión.


Imagen 13 Ventana para selección avanzada de configuración de la
Una vez definidas todas las anteriores opciones donde se pudo
imagen
seleccionar hasta el tamaño de los ficheros se procede a aceptar
En este paso podemos seleccionar el modo de compresión de la creación de la imagen.
la imagen de acuerdo con la necesidad.

Imagen 14 Ventana para selección opciones de compresión

Imagen 17 Ventana donde se selecciona el inicio de la creación


Seguido comienza la creación de la imagen donde podemos ver su En este paso realzamos la configuración para la creación de la copia de
estado de progreso. la memoria volátil.

Imagen 20 configuración imagen de la memoria


Imagen 18 Ventana donde se selecciona el inicio de la creación de la Una vez hecho esto se procede a seleccionar capture memory asignando
imagen la ubicación y nombre que se le dará a esta imagen de la memoria ram.
Por último, podemos hacer la validación de la imagen creada en el
repositorio seleccionado.

Imagen 21 se asigna ubicación y nombre a la imagen de memoria

1. Revisión de la memoria volátil con FTK.

Imagen 18 Validación del archivo de imagen creado

1. FTK imager creación de la imagen de la memoria volátil, es


decir la memoria ram.

Como primera medida se descarga el instalador y se procede a realizar


la instalación del programa.

Los paneles de la izquierda pueden mostrar información de varios


aspectos como por ejemplo cuando se eliminó un archivo que fecha se
creó y cuando se accedió al mismo.

Imagen 22 información de eliminación de archivos

Imagen 19 Instalación FTK Imager


Para acceder a la cuenta de Gmail por ejemplo aparecen datos como
nombre de usuario y hasta la contraseña.

Imagen 23 información de eliminación de archivos

De igual manera se pueden recuperar datos importantes como páginas


y archivos a los que se han accedido dese el último acceso al pc sin
haberlo apagado, pues una vez apagado esta se borra. De ahí la
importancia del investigador si en la escena puede tomar capturas de
las memorias ram de los equipos que estén encendidos puede contener
información muy valiosa.

REFERENCIAS

Cabrera H (2013). Introducción Informática Forense disponible en:


http://datateca.unad.edu.co/contenidos/233012.old1/material/informatica_forens
e.pdf

AJPDSOFT. Cómo crear una imagen de un disco duro con Clonezilla de forma
gratuita free. {En línea}. {Consultado marzo 2019}. Disponible en:
http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=524

CLONEZILLA. Clonezilla Live Download. {En línea}. {Consultado marzo


2019}. Disponible en: http://clonezilla.org/downloads/download.php

ACCESSDATA. Product download. {En línea}. {Consultado marzo 2019}.


Disponible en: http://accessdata.com/product-download