Comandos y FTK Imager

Actividad 1. Capturar la hora y fecha de nuestro sistema.

1. Introducimos date /t para que nos dé la fecha del sistema. Después introducimos time /t para que nos de la hora. Ya tenemos la información que necesitábamos. (Podemos consultar la ayuda de los comandos date y time utilizando el parámetro /?)

2. Ahora vamos a realizar esta misma actividad pero de manera más elegante. Vamos a ordenar a las instrucciones date y time que la información que nos dan la guarde a un fichero de texto, en vez de mostrarla en pantalla. Primero lo hacemos sólo con el comando date:

•  date /t > fechayhora.txt

3.  Dentro del fichero fecha.txt tendremos la fecha del sistema. Ahora vamos hacer lo mismo pero añadiendo también la hora.

•  time /t >> fechayhora.txt

4. Para terminar esta actividad vamos a ejecutar el comando como debiéramos hacer para recopilar la fecha y hora de inicio de recolección de evidencias tras un incidente: ◦ date /t > start-time.txt &time /t >> start-time.txt 

Actividad 2. Volcado de memoria.

1. Entramos en My Apps, abrimos el FTK Imager y seleccionamos File/Memory Capture.
2. Se abrirá una ventana de opciones donde podemos incluir la ruta donde vamos a guardar el volcado de memoria, el nombre que queremos dar al archivo, si queremos incluir la memoria virtual (pagefile.sys) o no y si queremos crear el volcado en un archivo cifrado tipo AD1. Para nuestra actividad vamos a seleccionar que vuelque la memoria virtual y seleccionamos como carpeta para guardar la información la carpeta de usuario, dejando todo lo demás por defecto. Pulsamos Capture Memory y dejamos que realice el proceso cerrando la ventana al finalizar. 

3. Una vez que tenemos capturada la memoria del equipo, la cargaremos mediante File/Add Evidencie Item, seleccionando el archivo memdump.mem que es nuestro volcado de memoria.

4. Para realizar una búsqueda de información en texto plano nos situaremos al principio de la información del archivo y con el botón derecho seleccionamos la opción Find. Se nos abrirá una ventana y en la que podremos buscar la información que sea de nuestro interés, por ejemplo podríamos buscar el texto “&passwd=”, &password=” o “password” para intentar encontrar alguna de las contraseñas de acceso de algún servicio que el usuario hubiese utilizado durante la sesión.

5. Si esta práctica la realizamos en un equipo en el que estemos ejecutando FTK Imagen en modo local, podríamos obtener alguna información interesante como el usuario y la contraseña de alguna de las sesiones que el usuario tuviese iniciada.