Una vez que has creado una imagen forense de un disco con FTK Imager, el siguiente paso es montarla para poder examinar su contenido sin alterar los datos originales. En este tutorial aprenderás a montar una imagen de disco en FTK Imager y explorarla como si fuera una unidad más del sistema.
Requisitos previos
- Tener instalado FTK Imager en tu equipo Windows.
- Disponer de una imagen de disco creada previamente (en formato
.E01,.AFFo.dd).
Paso 1: Abrir FTK Imager
Ejecuta FTK Imager como administrador.
Ve al menú File y selecciona Image Mounting....
Paso 2: Seleccionar la imagen
En la ventana de «Mount Image to Drive», haz clic en los puntos ... y selecciona el archivo de imagen que quieres montar (por ejemplo, IMAGEN_DISCO.001).
Asegúrate de que el archivo esté completo y en la ubicación correcta.
Paso 3: Configurar tipo de montaje
FTK Imager permite distintas formas de montar una imagen:
- Mount Type:
Physical & Logical: Monta todo el disco con particiones y sistema de archivos.Physical Only: Monta solo el disco sin interpretar particiones.Logical Only: Monta directamente las particiones detectadas.
- Mount Method:
Block Device / Read Only: Monta como dispositivo de bloques, sólo lectura. Ideal para preservar evidBlock Device / Writable: Permite escribir en la imagen (no recomendado en análisis forense).File System / Read Only: Monta sólo el sistema de archivos visible, sin acceso a espacio libre ni archivos borrados.
- Drive Letter: Selecciona la letra de unidad que se asignará a la imagen montada (por ejemplo, F:).
Paso 4: Montar la imagen
Revisa las opciones seleccionadas.
Haz clic en Mount para montar la imagen.
Si todo está correcto, verás la unidad aparecer en el explorador de archivos como un disco más.
Conclusión
Montar una imagen forense con FTK Imager es una forma segura de analizar el contenido de un disco sin alterar el original. Esta práctica es esencial en investigaciones digitales y auditorías de seguridad para preservar la integridad de la evidencia.
