Asignatura Datos del alumno Fecha

Informática forense y Apellidos: Bravo Santivañez

Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Adquisición de evidencias digitales

Objetivo:
Presentar los resultados del procedimiento realizado para la adquisición de evidencias a un pendrive
y a la memoria RAM y del disco duro de una máquina virtual Windows 10

Verificación de requisitos previos:

Para iniciar el proceso de adquisición se procede a realizar una lista de chequeo de las herramientas
necesarias para ejecutar el proceso de adquisición, así:
Requisito Descripción verificación
USB para la adquisición de
Pendrive 64GB - Kingston ✔
evidencias en frío
Software bloqueador de escritura. Software USB Write Blocker ✔
Software para borrado seguro de
dispositivo destino de software HDS redder 7. ✔
almacenamiento de imagen.
Software para adquisición de
Aplicativo FTK Imager 3.1.2 ✔
imagen
Software para cálculo de hash Aplicativo FTK Imager 3.1.2 ✔

Adquisición de un dispositivo externo pendrive.

Se realizó la adquisición en frío de las evidencias de un pendrive con capacidad de almacenamiento

de 64GB . La adquisición de la imagen se almacenó en el almacenamiento de la máquina virtual. A
continuación, se describe el procedimiento ejecutado y las precauciones tomadas para el proceso de
adquisición en frío del dispositivo:

● Como primer paso para iniciar la adquisición del pendrive se procede a tomar fotografía del
dispositivo origen en el estado en que lo encontramos; conectado a ordenador portátil
apagado (ver Anexo 1).
● Se realiza la extracción del dispositivo a adquirir y como medida de precaución para no
alterar los datos, se procede a realizar el bloqueo contra escritura con el Software USB Write
Blocker (ver Anexo 2).
● Se realiza la comprobación del bloqueo contra escritura del dispositivo, evidenciando que el
proceso se realizó adecuadamente; donde se deshabilitan las opciones de crear archivo,
copiar y pegar (ver Anexo 3).
● Como medida preventiva se realiza borrado seguro del disco duro donde se almacenará la
imagen con software HDS redder7 (Ver anexo 4).
● Se calcula hash del dispositivo a adquirir con FTK Imager obteniendo los siguientes
resultados con los algoritmos MD5 y SHA1 (ver Anexo 5).

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

MD5 5c964fc11f038ea6652e015f4483b937
SHA1 41818b01908d2c0c57581475230e6b082
● Se ejecuta la adquisición de la imagen en formato E01 con software FTK Imager, se diligencia
la información general de la evidencia y se almacena en el disco duro destino “Disco Local”
con nivel máximo de compresión 9, sin encriptación. (Ver anexo 6).
● Se calcula hash de la imagen adquirida en el disco duro donde se valida que coincide con la
del dispositivo origen (Ver anexo 7).
MD5 5c964fc11f038ea6652e015f4483b937
SHA1 41818b01908d2c0c57581475230e6b082

● Se calcula hash final del dispositivo origen comprobando que este coincide con el tomado
antes de realizar la adquisición y el de la imagen realizada, con lo cual aseguramos que la
información no ha sido alterada (Ver anexo 8).
MD5 5c964fc11f038ea6652e015f4483b937
SHA1 41818b01908d2c0c57581475230e6b082

Adquisición memoria RAM y Disco Duro de máquina virtual Windows 10

1. Como primer paso para iniciar la adquisición se procede a tomar evidencia en el estado
inicial del equipo (ver Anexo 9).
2. Se procede a realizar la adquisición de las evidencias volátiles de la RAM de la máquina
virtual con el software FTK Imager, ejecutado desde el disco duro al cual se le realizó borrado
seguro previo. Se seleccionó como medio de almacenamiento el Disco duro “Disco Local “se
nombró la imagen como memRam.vem, se incluyó la extensión de la RAM pagefile y archivos
de evidencia lógica (Ver anexo 10).
3. Se calcula hash de la imagen

MD5 462551a6e8974192d1c4ff19d1ce1653
SHA1 4bdfea76663a9071b300d69aee2e08585af362b7
4. Se realizó la adquisición en caliente del disco duro de la máquina virtual Windows 10, con
software FTK Imager el cual es ejecutado desde el disco duro destino donde se almacena la
imagen formato E01, con nivel máximo de compresión 6, sin encriptación. (Ver anexo 11).
5. Finalmente se calcula el hash de la imagen realizada (Ver anexo 12).

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

MD5 462551a6e8974192d1c4ff19d1ce1653
SHA1 4bdfea76663a9071b300d69aee2e08585af362b7

Anexos
Capturas de pantalla del procedimiento

1. Adquisición en frío de pendrive

Anexo 1 – Estado inicial de dispositivo

Anexo 2 – Bloqueo de escritura del dispositivo a adquirir con USB Write Blocker

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Anexo 3 – Comprobación del bloqueo de escritura

Anexo 4 – Borrado seguro de disco duro donde se almacenará la imagen (Disco Local E).

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Anexo 5 – Adquisición de hash de dispositivo a adquirir

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Anexo 6 – Adquisición de imagen del dispositivo

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Anexo 7 – Cálculo y verificación del hash de la imagen adquirida

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Anexo 8 – Segundo cálculo de has del dispositivo original

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

2. Adquisición en caliente de RAM y disco duro de máquina

virtual Windows Server 2016.

Anexo 9 – Fotografía del equipo en estado inicial – Windows 10

Anexo 10 – Adquisición de la RAM

● Formateo de medio.

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

● Ejecución de FTK Imagen

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

● Inicio de captura de evidencias volátiles RAM.

● Finalización de captura

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

● Cálculo del hash

Anexo 11 – Adquisición Disco duro

● Ejecución de FTK Imager desde dispositivo USB.

● Información de la imagen del disco duro

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

● Selección de medio de almacenamiento de imagen

● Inicio de adquisición

● Fin de la adquisición y Cálculo de hash final

No se realiza la finalización de la extracción por el tamaño y tiempo de duración.

Actividades
 Asignatura Datos del alumno Fecha
Informática forense y Apellidos: Bravo Santivañez
Respuesta ante 15/05/2024
incidentes Nombre: Marco Antonio

Anexo 12 – Cálculo de hash final

Conclusión
El procedimiento de adquisición en frío y en caliente de los elementos planteados se realizó de
manera adecuada asegurando las cualidades de integridad , autenticidad y confidencialidad de la
evidencia a través de las precauciones necesarias y el cálculo coincidente de los hash de los
dispositivos origen y destinos de las imágenes.

Actividades