FTK Imager

FTK Imager es una herramienta de análisis forense disponible en la Web de AccessData, es un paquete gratuito, que pueden descargar los usuarios de FTK AccessData. El atributo más importante de FTK Imager es que permite varios formatos para la creación de imágenes. En su lugar, FTK Imager nos permite crear una imagen de un disco como EnCase, SMART o DD (pura). Además, FTK Imager es el único producto que puede convertir tipos de imágenes, lo que significa que podemos tomar una imagen de EnCase y producir una imagen pura o SMART a partir de ella.

FTK Imager es de Windows y no incluye ningún tipo de disco de arranque. En su lugar, debemos disponer de un bloqueador contra escritura, como FastBloc de Guidance Sotfware o Lockdown de Paraben, para crear correctamente una imagen de la unidad sin modificar la evidencia. Después de conectar el bloquedor de escritura al sistema, se puede crear una imagen en este caso una imagen SMART, con los siguientes pasos.

Iniciar FTK Imager 
Hacer clic en el icono Create Disk Image
Es muy recomendable crear la imagen de todo el disco físico, se hace clic en este ítem y siguiente.
Posterior a ello se hace clic en Add y a continuación se selecciona el tipo de imagen que se esta creando, que en este caso es una imagen SMART y se hace clic en siguiente.
Introducir información sobre la unidad y la investigación, numero de caso y de prueba son de uso propio; pero es recomendable asignar a cada investigación un numero y a cada prueba que se obtenga un numero diferente.
En este punto le tendrá que dar la ubicación donde desea guardar la imagen forense, entendiendo que siempre debe ser en una unidad externa que tenga como mínimo el doble de espacio del disco analizado.
Al dar iniciar aparecerá la pantalla de progreso de la imagen y mostrara cuando ha finalizado.
Así pues ya tendrá lista su imagen forense de un equipo comprometido en algún incidente de seguridad. El análisis de la imagen forense ya lo tocaremos en otra entrada.