fbpx
Capital Software

FORENSE USB: reconstrucción de evidencia digital desde una unidad USB

FORENSE USB: reconstrucción de evidencia digital desde una unidad USB

El análisis forense digital de los forenses USB incluye la preservación, recopilación, validación, identificación, análisis, interpretación, documentación y presentación de evidencia digital derivada de fuentes digitales con el fin de facilitar o promover la reconstrucción de eventos que se consideran criminales.

Disk Imaging – USB Forensics:-

  • Una imagen de disco se define como un archivo de computadora que contiene el contenido y la estructura de un dispositivo de almacenamiento de datos, como un disco duro, una unidad de CD, un teléfono, una tableta, una RAM o un USB.
  • La imagen de disco consiste en el contenido real del dispositivo de almacenamiento de datos, así como la información necesaria para replicar la estructura y el diseño de contenido del dispositivo.
  • Sin embargo, se utiliza una amplia gama de herramientas conocidas de acuerdo con el tribunal de justicia para realizar el análisis.
  • Las herramientas estándar están autorizadas únicamente según la ley, los examinadores forenses no tienen permitido realizar imágenes con herramientas desconocidas, herramientas nuevas.
  • Herramientas estándar: Encase Forensic Imager y su extensión (Imagename.E01) Forensic Toolkit Imaging & Analysis:
  • Dado que el software forense de Encase cuesta alrededor de $ 2,995.00 – $ 3,594.00, so in this Las imágenes y el análisis se realizarán con el software FTK Forensic realizado por AccessData.
  • FTK Incluye un generador de imágenes de disco independiente es una herramienta simple pero concisa.

FTK Imager:-

Haga clic para ver la imagen clara
  • Arriba se muestra la figura del panel de datos de access FTK Imager.

Árbol de evidencia

  • Haga clic en el botón de color verde superior izquierdo para agregar evidencia al panel y seleccione el tipo de evidencia de origen.
  • La evidencia de la fuente seleccionada es la unidad lógica (USB).

Unidad lógica

  • Consulte el menú desplegable,hasta aquí seleccionado HP USB para análisis.

Datos del árbol de evidencia

Forense USB
  • La expansión del árbol de evidencia del dispositivo USB representará la vista general de los datos eliminados en el pasado.
  • Profundiza más para verificar e investigar el tipo de evidencia eliminada.

Advertencia: Se recomienda no trabajar con evidencia original en la investigación, ya que copiar accidentalmente nuevos datos a USB sobrescribirá los archivos eliminados anteriormente en USB. La integridad de la evidencia fallará, por lo que siempre trabaje con la copia forense de la imagen.

Creación de imagen USB:-

  • Seleccione y cree una imagen de disco desde el menú Archivo.
Forense USB

Formato de imagen de disco

  • Haga clic en el botón Agregar y seleccione el tipo apropiado de formato de imagen E01.
Forense USB
  • La figura anterior ilustra el tipo de imagen seleccionado es E01.

Información de evidencia

  • Es obligatorio agregar más información sobre el tipo de USB, el tamaño, el color y más Identidad de la evidencia.
Forense USB

Destino de la imagen

  • Seleccione la ruta de destino del nombre de archivo USB C:\Users\Balaganesh\Desktop\New carpeta y el nombre del archivo de imagen es HP Thumb Drive.
Forense USB
Forense USB

Creación de imágenes – USB Forensics

Forense USB
  • La figura anterior muestra que la imagen del formato USB de . E01 está en curso.
  • Tomará de varios minutos a horas crear el archivo de imagen.

Imagen forense:-

  • Desconecte la evidencia USB y mantenga la evidencia original segura y trabaje con la imagen forense siempre.
Forense USB
  • La figura anterior muestra esa copia forense o imagen a seleccionar. Aquí la imagen forense es HP. E01

Análisis digital de evidencia:-

Forense USB
  • La figura anterior ilustra algunas actividades sospechosas en la unidad USB que es probable que se encuentren.
    Antivirus, cosas ilegales y más carpetas se eliminan.

Recuperación de archivos y carpetas eliminados:-

Aquí hemos descubierto, USB contiene algunos nombres sospechosos de archivos en formato pdf.


Extraiga la evidencia:

Forense USB
  • Finalmente, hemos recuperado enlaces Tor maliciosos en .onion en formato pdf como evidencia. ¡¡Feliz investigación!!

Nota: En algunos casos, el archivo extraído puede estar vacío, muestra que los nuevos archivos se han sobrescrito. En este escenario, los atributos de archivo serán evidencia.

Abrir chat
1
Escanea el código
Hola, bienvenido a Capital Software, somos una empresa de soluciones informáticas. ¿En qué podemos ayudarte hoy?