Forensic Toolkit (FTK)

Informtica Forense electiva III

Caicedo Miguel
Garca Katherine
Usca Edison



Contenido
Introduccin ........................................................................................................................................ 3
Forensic Toolkit (FTK) .......................................................................................................................... 3
Cerberus .......................................................................................................................................... 4
Visualizacin .................................................................................................................................... 4
Caractersticas ................................................................................................................................. 4
SOLUCIN FORENSE INTEGRAL DE COMPUTADORAS .................................................................. 4
FUNCIONA CON BASES DE DATOS, POR LO QUE NO PIERDE EL TRABAJO AVANZADO CUANDO
LA COMPUTADORA TIENE UN CRASH O DEJA DE RESPONDER .................................................... 5
PROCESAMIENTO SIN IGUAL ........................................................................................................ 5
UNA EMPRESA CON UN SOLO NODO ........................................................................................... 6
ANLISIS AVANZADO DE MEMORIA VOLTIL .............................................................................. 6
BSQUEDA MS RPIDA E INTEGRAL DE BINARIOS E NDICES .................................................... 7
CAPACIDAD DE ANLISIS DE TODO EL SISTEMA DE ARCHIVOS, TIPOS DE ARCHIVOS Y CORREO
ELECTRNICO .............................................................................................................................. 7
ACCESORIO DE DETECCIN DE IMGENES EXPLCITAS (EID) ........................................................ 8
FTK Imager ........................................................................................................................................... 8
Bibliografa .................................................................................................................................... 15





Introduccin

Al buscar un dato especfico en una hoja de clculo o en un correo electrnico, se genera gran
cantidad de informacin crucial para una empresa al momento de un juicio, donde se puede
identificar si los datos han sido alterados, cuando, por quin y en qu circunstancias. En la
actualidad, las empresas generan enormes cantidades de datos y muchos juicios han sido
resueltos basndose en el resultado de estos anlisis.
Lo que se busca es navegar por los sistemas de informacin en la bsqueda de evidencias, tales
como: supresin o alteracin de informacin, violaciones de poltica o accesos no autorizados.
Los procedimientos que suelen realizarse en un anlisis de datos, son:
1. Clonacin de Discos Duros: Se crea una rplica exacta del disco duro que contiene la
informacin a investigar. La bsqueda se realizar en mensajes de correo electrnico,
documentos, archivos de hojas de clculo, descargas web y otros datos electrnicos. La
informacin obtenida, ya sea que haya sido borrada, encriptada o fragmentada; puede tener un
enorme valor en un proceso de investigacin.
2. Bsqueda en datos electrnicos: En una investigacin compleja donde se procesan cantidades
masivas de mensajes de correo electrnico o documentos, nuestras herramientas tecnolgicas
tienen la capacidad de filtrar duplicaciones de datos o incluir palabras clave para minimizar el
tiempo de bsqueda y as recuperar la informacin relevante en la investigacin.
3. Reporte de resultados: Al finalizar el anlisis de la informacin se procede entonces a la
generacin de los reportes con los resultados obtenidos. Nuestros informes son detallados y con
visualizacin en formato nativo, HTML, PDF, XML, RTF y ms con enlaces a las pruebas originales.
FORENSIC TOOLKIT (FTK)
Reconocido alrededor del Mundo como el Estndar en Software de Informtica Forense, es una
plataforma de investigaciones digitales aprobada por tribunales, que est diseada para ser veloz,
analtica y contar con escalabilidad de clase empresarial. Conocido por su interfaz intuitiva, el
anlisis de correo electrnico, las vistas personalizadas de datos y su estabilidad.
FTK establece el marco para una expansin sin problemas, por lo que su solucin de informtica
forense puede crecer de acuerdo a las necesidades de su organizacin.
Adicionalmente, AccessData ofrece nuevos mdulos de expansin, entregando el primer software
de esta industria con capacidad de anlisis y con visualizacin de ltima generacin. Estos mdulos
se integran con FTK para crear la plataforma de informtica forense ms completa en el mercado.


Cerberus

Cerberus es una tecnologa de clasificacin de malware que est disponible como accesorio para
FTK 4. El primer paso hacia la ingeniera inversa automatizada.
Califica las amenazas y hace un anlisis de desmontaje para determinar tanto el comportamiento
como la intencin de binarios sospechosos.

Visualizacin
Vista de datos en varios formatos, incluyendo lneas de tiempo, grficas de clster, grficas
circulares y ms.
Esto nos permite:
Determinar rpidamente las relaciones en los datos
Encuentra piezas claves de informacin
Generar informes que son fcilmente entendidos por los abogados, los Oficiales de
Informacin (CIOs) u otros investigadores.


Caractersticas
SOLUCIN FORENSE INTEGRAL DE COMPUTADORAS
Permite obtener imgenes, procesar un amplio rango de tipos de datos, desde imgenes forenses
hasta archivos de correos electrnicos, anlisis del registro, conduccin de una investigacin,
desencriptado de archivos, romper passwords, as como construir un reporte al utilizar una sola
solucin.
Recuperacin de passwords desde ms de 100 aplicaciones una, de estas es:
o Kit de herramientas de recuperacin de la contrasea (PRTK)
Permite la gestin de contraseas.
Analiza los archivos y sus contraseas con un archivo de informe opcional.
Recupera contraseas de todo tipo, independientemente de la longitud de contrasea.
Analiza varios archivos al mismo tiempo.
Recupera las contraseas multilinges.
Evita el uso no autorizado con un cdigo de seguridad personal.
PRTK puede recuperar contraseas de ms de 100 aplicaciones diferentes

Biblioteca KFF de hash con 45 millones de hashes.
Anlisis avanzado y automatizado sin necesidad del scripting.
FUNCIONA CON BASES DE DATOS, POR LO QUE NO PIERDE EL TRABAJO AVANZADO
CUANDO LA COMPUTADORA TIENE UN CRASH O DEJA DE RESPONDER
FTK funciona con bases de datos, que evita experimentar el crashing asociado con las
herramientas que funcionan con la memoria. Los componentes de FTK estn divididos en
compartimientos, por ejemplo, si el GUI deja de responder o tiene un crash, los procesadores
continan analizando datos.
PROCESAMIENTO SIN IGUAL
La diferencia de FTK frente a otras soluciones de informtica forense, es procesar datos
inmediatamente, por lo que no se pierde tiempo al esperar que se ejecuten las bsquedas durante la
fase de anlisis. Este producto se dise para ofrecer el procesamiento forense ms rpido, preciso y
consistente, con procesamiento distribuido y un verdadero apoyo de plataformas multi-thread y
multi-core.
Cada copia de FTK incluye un total de 4 procesadores 1 en la computadora del examinador y 3
distribuidos.
El Procesamiento con asistente garantiza que ningn dato sea omitido.
o Con funciones de Cancelacin/Pausa/Continuar
o Estatus de procesamiento en tiempo real
o Regulador de velocidad de los recursos del CPU
o Notificacin por E-mail al finalizar el procesamiento
Refinado previo y posterior al procesamiento
Dispositivo de Carving avanzado que le permite especificar criterios de bsqueda como tamao
de archivo, tipo de datos y tamao de pixel, para reducir la cantidad de datos irrelevantes
extrados, mientras que se incrementa la minuciosidad general del anlisis.

UNA EMPRESA CON UN SOLO NODO
Es necesario instalar un agente persistente o disolvente en una sola computadora para habilitar el
anlisis remoto y las capacidades de respuesta a incidentes de AD Enterprise.
Proveer, adquirir y analizar datos del disco duro, de aparatos perifricos y datos voltiles de
memoria en sistemas operativos de Apple, UNIX y Linux.
Se puede desinstalar el agente en cualquier momento y conectarlo a otra computadora para realizar
un anlisis de mltiples computadoras.
Despliegue sencillo del agente con asistente.
Montaje remoto y seguro del aparato, utilizando el agente Pico.




ANLISIS AVANZADO DE MEMORIA VOLTIL
Analiza los sistemas operativos de Windows (32- y 64-bit), Apple, UNIX y Linux.
Anlisis integral de datos voltiles.
Anlisis de RAM Esttica, desde una imagen o frente a un sistema vivo.
Enumeracin de todos los procesos en ejecucin, incluyendo aquellos ocultos por rootkits y
despliegue DLL asociados, conexiones y controladores de redes en su contexto.
Interrumpir un proceso y los DLL asociados para realizar un anlisis posterior con herramientas
adicionales.
La bsqueda en la secuencia de la memoria permite identificar accesos en la memoria y mapear
automticamente sus asociaciones con cualquier proceso, DLL o una pieza de espacio sin asignar
y eliminar el artculo que corresponda.
En la actualidad, FTK 4 ofrece el anlisis de rbol VAD, exponiendo los artefactos registrados en
la memoria, analizando sus componentes y desplegando la informacin utilizada desde la
memoria.



BSQUEDA MS RPIDA E INTEGRAL DE BINARIOS E NDICES
FTK procesa y clasifica los datos al instante con la finalidad de realizar la bsqueda y el anlisis ms
rpido que los otros productos. Al aprovechar el poderoso dispositivo dtSearch, as como el
dispositivo completo de expresiones regulares, FTK produce resultados veloces y acertados.
Novedades en FTK 4: La capacidad de anlisis de expresiones regulares en la investigacin
de ndices, le permite buscar combinaciones avanzadas de caracteres en los datos
indexados.
CAPACIDAD DE ANLISIS DE TODO EL SISTEMA DE ARCHIVOS, TIPOS DE ARCHIVOS Y
CORREO ELECTRNICO
Capacidad de anlisis de ms de 700 imgenes, archivos y tipos de archivos.
Notes NSF, Outlook PST/OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft
Internet Mail, Earthlink, Thunderbird, Quickmail, etc.), Netscape, AOL and RFC 833
Procesa y analiza DMG (comprimidos y descomprimidos), Ext4, exFAT, VxFS (Veritas File
System), Microsoft VHD (Microsoft Virtual Hard Disk), Blackberry IPD archivos de respaldo,
Android YAFFS / YAFFS 2 y muchos ms.
Ideal para crear y procesar imgenes en Formato Forense Avanzado -Advanced Forensic Format
(AFF).



AMPLIA CAPACIDAD DE ANLISIS DE ENCRIPTADOS
Desencripta automticamente (con credenciales apropiadas) Credant, SafeBoot, Utimaco,
SafeGuard Enterprise y Easy, EFS, PGP, GuardianEdge, Pointsec y S/MIME.
FTK es la nica solucin de informtica forense que puede identificar PDFs encriptados.
ACCESORIO DE DETECCIN DE IMGENES EXPLCITAS (EID)
Esta tecnologa de deteccin de imgenes no solo reconoce tonos de piel, sino que ha sido
programado con una biblioteca de ms de 30,000 imgenes que permiten identificar,
automticamente, potenciales imgenes pornogrficas.


FTK Imager
FTK Imager de AccessData es una herramienta para realizar rplicas y visualizacin previa de datos, la
cual permite una evaluacin rpida de evidencia electrnica para determinar si se garantiza un anlisis
posterior con una herramienta forense como AccessData Forensic Toolkit. FTK Imager tambin puede
crear copias perfectas (imgenes forenses) de datos de computadora sin realizar cambios en la
evidencia original.
Es importante mencionar el uso de un bloqueador de escritura al utilizar FTK Imager para crear la
imagen forense desde un disco duro u otro dispositivo electrnico. Esto asegura que el sistema
operativo no alterar la unidad fuente original cuando se le adjunte a la computadora.
Para prevenir la manipulacin accidental o intencional de la evidencia original, FTK Imager realizar una
imagen duplicado bit a bit del medio. La imagen forense es idntica en cualquier forma al original,
incluyendo espacio de holgura o residual y espacio sin asignar o espacio libre de la unidad. Esto permite
almacenar el medio original en un lugar seguro de dao mientras se procede con la investigacin
utilizando la imagen forense.
FTK Imager versin 3.1.4.







Despus de realizar la descarga del instalador desde el sitio web oficial de AccessData y proceder con la
instalacin del programa, se apertura FTK Imager.



Hacer clic en la opcin File -> Create Disk Image o Archivo -> Crear Imagen de Disco.


Se presentar una nueva ventana donde se requiere definir la fuente. Para propsito de la esta
prctica se crear una imagen forense de toda una unidad USB o Memory Stick, por lo tanto se
selecciona la opcin Physical Drive o Unidad Fsica. Luego hacer clic en el botn Siguiente.



En una nueva ventana se muestra un men desplegable, en el cual se selecciona la Unidad Fuente
correspondiente, para luego hacer clic en el botn Finish o Finalizar.

La siguiente ventana permite definir un Destino para la Imagen. Para esto es necesario hacer clic
en el botn Add...


En esta ventana se define el tipo de la imagen de destino a crear. Para el caso de la prctica ser
una imagen Raw o en bruto, es decir tal y como sera creada utilizando una herramienta como
dd o dcfldd. Revisar la publicacin de ttulo Crear la Imagen Forense desde una Unidad
utilizando dd.

La siguiente ventana solicita ingresar informacin sobre el tem de evidencia. Al completar la
informacin hacer clic en el botn Siguiente.

Se requiere definir la carpeta donde se almacenar la imagen forense. La cual es seleccionada
haciendo clic en el botn Browse o Navegar. A continuacin se requiere nombrar la imagen
forense (UnidadUSBKR). Y opcionalmente definir si la imagen resultante ser dividida en varias
partes o sino no ser fragmentada. Para el caso de la presente prctica no ser divida, por lo tanto
se define el valor 0 en el campo Image Fragment Size (MB) o Tamao del Fragmento de la
Imagen.


Al Hacer clic en el botn Finish. Se mostrar un resumen de las opciones seleccionadas.


El proceso de creacin de la imagen forense desde la unidad USB o Memory Stick iniciar al hacer
clic en el botn Start o Iniciar.



Finalizada la creacin de la imagen forense, inicia la verificacin de la imagen creada.


Al finalizar todo este procedimiento se presentan algunos resultados finales. Los resultados
muestran el nmero de sectores copiados. La generacin de un Hash MD5 y un Hash SHA-1.
Anotar la coincidencia entre el campo Computed Hash o Hash Calculado, es decir el hash
obtenido desde la unidad USB o Memory Stick, y el campo Report Hash o Hash Reportado, el
cual se genera desde la imagen forense creada de nombre unidadUSBKR.001. Anotar tambin
que no se han detectado sectores Malos.

En el mismo directorio o unidad donde se ha creado la imagen forense, se encontrar un archivo
de texto con el mismo nombre de la imagen forense creada (UnidadUSBKR.txt), en el cual reside
toda la informacin detallada del proceso realizado.



Bibliografa
http://www.accessdata.com/es/productos/soluciones-forenses/ftk