Capitulo 5 ftk

Solo disponible en BuenasTareas
  • Páginas : 19 (4721 palabras )
  • Descarga(s) : 0
  • Publicado : 12 de junio de 2011
Leer documento completo
Vista previa del texto
CAPITULO 5 FTK
Añadiendo y procesando evidencia estatica
Después de crear un caso en AccessData Toolkit Forense (FTK) Administrador de Casos, abrir el caso. Investigar el caso por búsquedas actuales, marcadores, exportar archivos relevantes cuando sea necesario, verificando la integridad de la imagen de la unidad, identificando evidencia significativa, y realizar otras tareas. Para másinformación sobre creación de un nuevo caso y opciones de ajuste de preprocesamiento para maximizar la efectividad, ver "Capítulo 4 Iniciando un nuevo Caso en FTK 3.1 " en la página 51.

EVIDENCIA ESTÁTICA VS. EVIDENCIA REMOTA

La evidencia estática describe la evidencias que ha sido capturada de una imagen antes de ser añadido al caso.

La evidencia viva describe los datos que son adquiridos ‘enpersona’ de una imagen de una máquina que está funcionando. Por ejemplo, una computadora sospechosa, -ya sea porque una contraseña no es conocida, o para evitar el conocimiento del sospechoso, sabiendo que él o ella está bajo sospecha-, pueden ser convertidos en imagen viva si la computadora todavía no ha sido confiscada.

La evidencia remotas describe datos que son adquiridos decomputadoras vivas remotas pertenecientes a la red FTK después de que el caso ha sido creado.

Este capítulo trata de como trabajar con evidencia estática. Para más información relativa a la adquisición y la utilización de evidencia remotas ver "Capítulo 6 Añadiendo y procesando evidencia viva y remota" en la página 109.

ADQUIRIENDO Y CONSERVANDO EVIDENCIA ESTATICA.

Para que la evidencia digital seaválida, debe ser preservado en su forma original. La imagen debe ser forense de sonido, en otras palabras, idénticas en todos los sentidos al original.

Ver "sobre evidencia" en la página 2 para una discusión más detallada de la evidencia.

ABRIENDO UN CASO EXISTENTE

Abrir un caso existente del administrador de casos del FTK. Para abrir un caso existente, realice los siguientes pasos:1. inicie sesión en FTK 3.1.
2. Haga doble clic en el caso que quiere abrir,
O
Resaltar el caso y hacer clic > Abrir.

Para más información sobre la creación de un nuevo caso, ver "Capítulo 4 Iniciar un nuevo caso FTK 3.1 " en la página 51.

AÑADIENDO EVIDENCIA

Cuando la creación de un caso esta completa, FTK abre y el diálogo Administrar Pruebas aparece. Los archivos deevidencia agregó aquí lo que ha sido procesado utilizando las opciones que haya seleccionado en el preprocesamiento.

Nota: Se puede repetir este proceso tantas veces como lo necesita, para el número de archivos de evidencia y tipos que desee añadir.

Nota: Las imágenes .DMG (Mac) aparecen como "Archivo de sistema no reconocido" en FTK. Esto ocurre sólo cuando los archivos no están habilitadoscomo de "lectura/escritura".

Si la DMG es una imagen de disco completo o una imagen que es creado con la opción lectura/escritura, FTK permitirá identificar correctamente. En caso contrario el contenido no será reconocido correctamente.

Nota: Después del procesamiento, las opciones seleccionadas de la evidencia procesada puede encontrarse en el caso de registro. También se puede verhaciendo clic en Pruebas > Agregar/quitar. Haga doble clic sobre cualquiera de los archivos de evidencia para abrir el diálogo de opciones refinamiento.

Para añadir evidencia estática (una imagen exacta, o "instantánea" de los datos electrónicos hallados en el disco duro u otros dispositivos de almacenamiento) a un caso existente, seleccione Evidencia> Agregar/quitar de la barra de menúsy continue como se indica a continuación.

Nota: Use la sintaxis Universal de Convención de Nombres (UNC) en la ruta de su evidencia para obtener mejores resultados.

Figura 5-1 Gestión de pruebas

Si no estamos creando este caso en el campo Modo, el botón de las opciones detalladas estará disponible. Haga clic en opciones detalladas para invalidar los ajustes que fueron previamente...
tracking img