Implementación de Arsenal Image Mounter para el Montaje Inmutable de Imágenes Forenses en Procesos de Digital Forensics & Incident Response (DFIR)
Montaje Forense de Imágenes E01 y Validación de Evidencia (Procedimiento Técnico Detallado)
1. Introducción
En investigaciones de Informática Forense y Respuesta a Incidentes (DFIR), el proceso de análisis no comienza directamente sobre la evidencia, sino sobre una copia forense verificada. El montaje incorrecto de una imagen puede generar escrituras involuntarias en estructuras críticas como la MFT, el USN Journal o los metadatos de volumen, comprometiendo la cadena de custodia y la validez probatoria.
Arsenal Image Mounter (AIM) permite montar imágenes forenses como discos físicos virtuales en modo de solo lectura real a nivel de driver, garantizando:
- Inmutabilidad a nivel de sector.
- Preservación de metadatos del sistema de archivos.
- Repetibilidad del análisis.
- Compatibilidad con suites forenses y herramientas de bajo nivel.
2. Descripción de la Evidencia
La evidencia analizada corresponde a una imagen forense en formato EnCase (E01), segmentada:
Disk_ImageDD_CDH.001Disk_ImageE1_CDH.E01
Este formato encapsula:
- Datos del dispositivo original.
- Metadatos de adquisición.
- Hashes de integridad.
- Segmentación controlada.
Figura 1 – Evidencia forense en formato E01

3. Procedimiento Técnico de Montaje Forense
3.1 Inicialización de la Herramienta
Figura 2 – Interfaz principal de Arsenal Image Mounter

Se ejecuta Arsenal Image Mounter con privilegios administrativos para permitir:
- Creación de dispositivos virtuales a nivel kernel.
- Intercepción de operaciones IRP de lectura/escritura.
- Registro del disco en el subsistema de almacenamiento de Windows.
Desde la consola principal se selecciona Mount Disk Image, iniciando el asistente de carga.
3.2 Selección del Contenedor Forense
Se carga el archivo Disk_ImageE1_CDH.E01. AIM valida:
- Estructura del contenedor.
- Coherencia de segmentos.
- Integridad básica de encabezados.
Este paso garantiza que la imagen no presenta corrupción antes de ser expuesta como dispositivo.
3.3 Configuración del Modo Forense Inmutable
Figura 3 – Selección de “Disk device, read only”

Se selecciona el modo:
Disk device, read only
A nivel técnico, este modo:
- Crea un objeto
\Device\PhysicalDriveXvirtual. - Redirige todas las operaciones de lectura al contenedor E01.
- Bloquea cualquier instrucción de escritura mediante filtros de driver.
- Evita alteraciones en:
- Master File Table ($MFT)
- Transaction Log ($LogFile)
- USN Change Journal
- Bitmap de asignación de clusters
- Slack y espacio no asignado
- Preserva los hashes criptográficos originales.
Este mecanismo asegura inmutabilidad real a nivel de bloque, no solo a nivel lógico.
3.4 Creación del Disco Físico Virtual
Figura 4 – Disco forense montado en el sistema

El sistema operativo detecta:
- Tipo: Fixed Disk (Virtual)
- Esquema de particiones: MBR
- Tamaño: ~1.9 GB
- Estado: Read Only (en driver y en volumen)
El disco queda registrado como si fuera un dispositivo físico conectado, permitiendo que herramientas forenses interactúen directamente con sectores, particiones y estructuras internas.
3.5 Validación en Administración de Discos
Figura 5 – Confirmación del estado forense del volumen

Se verifica:
- Tabla de particiones intacta.
- Partición primaria activa.
- Sistema de archivos reconocido correctamente.
- Ausencia total de capacidad de escritura, incluso con privilegios SYSTEM.
Esta validación confirma que el entorno de análisis es no contaminante.
3.6 Montaje de Imágenes Ópticas (Escenario de Laboratorio)
Figura 6 – Imagen ISO montada como CD-ROM forense


AIM también permite montar:
- Imágenes ISO.
- Medios removibles.
- Discos de instalación o malware.
Esto es esencial en:
- Análisis de kits de explotación.
- Ingeniería inversa de instaladores.
- Laboratorios de sandboxing.
3.7 Exploración Forense del Sistema de Archivos
Figura 7 – Vista del sistema Windows dentro de la imagen

Se identifican estructuras críticas:
Metadatos NTFS
$MFT– Tabla maestra de archivos.$LogFile– Journal transaccional.$Bitmap– Mapa de clusters.$Secure– Descriptores de seguridad.$UpCase– Normalización Unicode.
Artefactos del Sistema
System Volume Information– Restauración, Shadow Copies.$Recycle.Bin– Evidencia de borrado.pagefile.sys– Fragmentos de memoria.
Directorios del SO
WindowsUsersProgram Files
Directorios Eliminados
[DELETED]– Base para file carving y reconstrucción histórica.
Estos elementos permiten:
- Análisis temporal (Timeline).
- Investigación de persistencia.
- Detección de ejecución de malware.
- Correlación con logs y memoria.
4. PoC – Flujo Forense Reproducible
Objetivo
Montar una imagen E01 como disco forense inmutable, garantizando integridad, trazabilidad y validez pericial.
Procedimiento
- Ejecutar Arsenal Image Mounter con privilegios administrativos.
- Seleccionar Mount Disk Image.
- Cargar
Disk_ImageE1_CDH.E01. - Seleccionar modo:
Disk device, read only - Deshabilitar cualquier overlay de escritura.
- Montar la imagen.
- Verificar:
- Estado Read Only.
- Esquema de particiones.
- Sistema de archivos.
- Registrar el disco en herramientas DFIR.
- Iniciar análisis con suites forenses.
Herramientas Compatibles
- Autopsy
- X-Ways
- EnCase
- FTK
- Volatility
- KAPE
- Velociraptor
5. Conclusión Pericial
Arsenal Image Mounter permite transformar una imagen E01 en un dispositivo físico virtual forense, asegurando:
- Inmutabilidad a nivel de sector.
- Preservación de estructuras internas.
- Repetibilidad del análisis.
- Cumplimiento de estándares judiciales (ISO 27037, NIST 800-86).
Este procedimiento habilita investigaciones avanzadas de:
- Compromisos persistentes.
- Malware residente.
- Movimiento lateral.
- Reconstrucción completa de actividad del sistema.
El flujo documentado establece una base metodológica sólida para análisis forense profundo con validez técnica y probatoria.
