Autopsy Herramienta Forense
Autopsy Herramienta Forense
Autopsy Herramienta Forense
TECNOLOGIAS DE SEGURIDAD DE LA
INFORMACION
INTEGRANTES:
BRIONES CEDEÑO EMILIA YELITZA
CURSO:
OCTAVO B
DOCENTE:
ING. DENISE VERA
1
Contenido
INTRODUCCION ............................................................................................................................. 2
HERRAMIENTA AUTOPSY FORENSE .............................................................................................. 3
INSTALACION DE AUTOPSY ........................................................................................................... 3
MANUAL DE USO........................................................................................................................... 7
CONCLUSIONES ........................................................................................................................... 12
INTRODUCCION
2
HERRAMIENTA AUTOPSY FORENSE
INSTALACION DE AUTOPSY
3
Le damos next (siguiente)
4
Y damos en Install
5
Y finalizamos
6
MANUAL DE USO
Cuando se abre Autopsy la primer tarea que se debe llevar a cabo es, o bien crear
un nuevo caso, o abrir uno existente, donde un caso es la unidad lógica que
contendrá todo lo relacionado a la investigación. Por lo tanto, al crear un caso se
ingresa información como su nombre y número y la persona que examinará los
datos. El siguiente paso consiste en asociar al caso uno o más orígenes de datos,
entre los cuales se encuentran los discos físicos conectados a la computadora de
análisis, o una imagen forense que se ha adquirido previamente de la
computadora a ser investigada, con cualquiera de las herramientas que hemos
visto en otros posts. Como último paso para la creación del caso, debe
configurarse los módulos a utilizar para el análisis, lo cual se observa en la
siguiente imagen:
7
Exif Image Parser: permite analizar la información disponible en el
encabezado Exif de los archivos de imagen JPEG que se encuentran en el disco.
Esto provee información acerca de la cámara con que se tomó la imagen, fecha
y hora o la geolocalización, entre otras cosas.
Keyword Search: puede definirse una lista de palabras clave o expresiones
regulares a buscar en todo el disco. Como se observa en la imagen anterior,
Autopsy ya viene con una lista de expresiones regulares incluidas para
búsqueda de números telefónicos, direcciones IP, direcciones de correo
electrónico y URL.
A partir de este momento comienza en forma automática el análisis con los
módulos seleccionados para la imagen forense cargada en el caso. El progreso de
cada etapa se muestra en la parte inferior derecha y los resultados se van
actualizando en la vista de árbol, como se observa en la siguiente imagen:
Se observa que Autopsy realiza la extracción de contenido muy valioso para una
investigación, como el historial web, búsquedas web realizadas o documentos
recientemente abiertos, lo cual demoraría mucho tiempo y sería tedioso de
realizar para el investigador en forma manual. Luego, en la siguiente imagen se
observa el historial web encontrado una vez que termina el proceso, para la
imagen forense de un disco de prueba:
8
En este caso se ha resaltado el último resultado, el cual lleva a un archivo de mIRC con
una lista de canales a los que posiblemente se conectaba el usuario que está siendo
investigado. Adicionalmente, el sistema de archivos presente en la imagen forense
puede ser recorrido de forma jerárquica, pudiendo observar las particiones, así como
también los sectores no asignados en el disco:
9
En la imagen anterior se observa que el sistema de archivos es de tipo NTFS, que
el sistema operativo aparenta ser Windows XP y que existe un usuario que se llama Mr.
Evil. Luego, a partir de simple inspección y del análisis del registro de Windows, puede
obtenerse información como la zona horaria utilizada, el nombre bajo el cual fue
registrado el sistema operativo, las aplicaciones instaladas, los documentos del usuario
a investigar o el último usuario que inició sesión. También se observa que se ha
recuperado de entre los archivos borrados la carpeta $Unalloc, que si bien en este caso
es irrelevante, permite ver la capacidad de obtener archivos borrados a partir de
sus metadatos. También es importante destacar los sectores no asignados en el disco
(vol1 y vol3) a los cuales Autopsy permite aplicar la técnica de carving para identificar
archivos a partir de los encabezados más comunes.
Otra función muy interesante de Autopsy es aquella que agrupa los archivos en
categorías, de tal manera de poder ver rápidamente la cantidad de imágenes, audio o
documentos presentes en el sistema de archivos, clasificado por extensión:
10
Adicionalmente (aunque no se ve en la imagen anterior) Autopsy clasifica los archivos
de acuerdo con su última fecha de acceso o con su tamaño, y permite el rápido acceso
a los archivos eliminados.
Una técnica fundamental en el análisis de imágenes forenses es la búsqueda por
palabras clave, dado lo poco práctico que resultaría para un investigador buscar pruebas
de un delito inspeccionando archivo por archivo. Así, Autopsy permite definir un listado
de palabras o expresiones a buscar en todos los archivos y sectores del disco en análisis,
lo cual se observa en la siguiente imagen:
En este caso se ha definido una lista con tres palabras con el objetivo de encontrar
evidencia que conecte al individuo con un caso particular de hacking. Luego, el proceso
de indexado realiza la búsqueda de estas palabras construyendo un índice y al finalizar
11
el mismo es posible buscar en forma inmediata cada una de estas palabras clave:
En la imagen se observa que hay 55 hits para la palabra crack y entre los resultados se
encuentra una herramienta para romper contraseñas. Además, se han encontrado 288
coincidencias para la palabra illegal, lo cual puede develar información muy útil en el
caso de que se recuperen conversaciones, correos electrónicos almacenados o
cualquier otro tipo de archivo que conecte al sujeto investigado con actividades ilegales.
CONCLUSIONES
12