Taller
Autopsy
Autopsy
Introduccin
Iniciando Autopsy
Analizando la imagen
Generacin de reportes
30/01/2017
Introduccin
Qu es Autopsy?
Introduccin
Paquetes:
Autopsy
https://sourceforge.net/projects/autopsy/files/autopsy/4.0.0/
https://sourceforge.net/projects/autopsy/files/autopsy/2.24/
30/01/2017
Introduccin
Archivo de configuracin /usr/share/autopsy/conf.pl
Introduccin
Listado de
archivos
Contenido
del archivo
30/01/2017
Introduccin
Autopsy
Introduccin
Iniciando Autopsy
Analizando la imagen
Generacin de reportes
30/01/2017
30/01/2017
Ir a http://dftt.sourceforge.net/
2.
3.
4.
5.
6.
cd /var/forense/imagenes
2.
ls ltra
3.
unzip 8-jpeg-search.zip
4.
cd 8-jpeg-search.zip
5.
ls ltra
El archivo imagen termina en ".dd"
30/01/2017
Autopsy
Introduccin
Iniciando Autopsy
Analizando la imagen
Generacin de reportes
Clic en Terminal
2.
cd /var/forense/imgenes/8-jpeg-search
3.
ls l
4.
md5sum 8-jpeg-search.dd
30/01/2017
Autopsy
Introduccin
Iniciando Autopsy
Analizando la imagen
Generacin de reportes
Iniciando Autopsy
Procedimiento:
1.
Clic en Terminal
2.
mkdir p /evidencia/autopsy
3.
cd /evidencia/autopsy
4.
ln -s /usr/bin/icat /usr/bin/icat-sleuthkitautopsy
5.
ln -s /usr/bin/ils /usr/bin/ils-sleuthkitautopsy
6.
ln -s /usr/bin/mactime /usr/bin/mactime-sleuthkitautopsy
7.
$LOCKDIR = /var/lib/autopsy/
por
$LOCKDIR = /evidencia/autopsy/
30/01/2017
Iniciando Autopsy
Procedimiento:
5.
Desactivar javascript
6.
Iniciando Autopsy
Desactivando
javascript en
Mozilla Firefox
30/01/2017
Iniciando Autopsy
Iniciando Autopsy
Procedimiento:
1.
2.
3.
4.
10
30/01/2017
11
30/01/2017
Autopsy
Introduccin
Iniciando Autopsy
Analizando la imagen
Generacin de reportes
12
30/01/2017
Analizando la imagen
Analizando la imagen
13
30/01/2017
Analizando la imagen
Analizando la imagen
14
30/01/2017
Analizando la imagen
Analizando la imagen
Procedimiento:
1.
Clic en Analyze
2.
3.
15
30/01/2017
Analizando la imagen
Autopsy
Introduccin
Iniciando Autopsy
Analizando la imagen
Generacin de reportes
16
30/01/2017
Generacin de reportes
Autopsy puede crear reportes de archivos ASCII y otras
estructuras del sistema de archivos. Esto permite que se hagan
hojas de datos rpidas y consistentes durante la investigacin.
Generacin de reportes
17
30/01/2017
Introduccin
File Listing: Analizar los archivos y directorios, incluyendo los nombres de los
archivos y los archivos borrados con nombres de tipo Unicode.
File Content: El contenido de los archivos se pueden ver en crudo, hexagonal, o las
cadenas de caracteres ASCII se pueden extraer. Cuando se interpreta los datos, la
autopsia se desinfecta para evitar daos en el sistema de anlisis local. La autopsia
no utiliza ningn lenguajes de script del lado del cliente.
Hash Databases: La funcin Buscar archivos desconocidos en una base de datos
de hash para identificar rpidamente como buena o mala. Autopsia utiliza la
Biblioteca Nacional de Referencia de software NIST (NSRL) y bases de datos
creadas por el usuario del bien conocido y archivos maliciosos conocidos.
File Type Sorting: Clasificar los archivos en funcin de sus firmas internas para
identificar los archivos de un tipo conocido. La autopsia tambin se puede extraer
slo las imgenes grficas (incluidas las miniaturas). La extensin del archivo
tambin ser comparado con el tipo de archivo para identificar los archivos que
pueden haber tenido su extensin cambiado para ocultarlos.
Introduccin
Timeline of File Activity: Una lnea de tiempo de actividad de los archivos puede
ayudar a identificar reas de un sistema de archivos que pueden contener
elementos de prueba. La autopsia puede crear lneas de tiempo que contienen
entradas para la modificacin, acceso, y los tiempos de ambos archivos asignados y
no asignados Cambio (MAC).
Keyboard Search: Palabra clave bsquedas de imagen del sistema de archivos se
pueden realizar utilizando cadenas de caracteres ASCII y expresiones regulares
grep. Las bsquedas se pueden realizar ya sea la imagen del sistema de archivos
completo o slo el espacio no asignado en. Un archivo de ndice se puede crear
para bsquedas ms rpidas. Las cadenas que con frecuencia se buscan se puede
configurar fcilmente en la autopsia para la bsqueda automatizada.
Meta Data Analisys: Estructuras de datos Meta contiene los detalles sobre los
archivos y directorios. La autopsia le permite ver los detalles de cualquier meta
estructura de datos en el sistema de archivos. Esto es til para la recuperacin de
contenido eliminado. La autopsia buscar los directorios para identificar la ruta
completa del archivo que se ha asignado la estructura.
18
30/01/2017
Introduccin
Data Unit Analisys: unidad de datos son donde se almacena el contenido del
archivo. La autopsia le permite ver el contenido de cualquier unidad de datos en una
variedad de formatos, incluyendo ASCII, hexdump, y cuerdas. El tipo de archivo
tambin se da y la autopsia buscar las estructuras de metadatos para identificar
que se ha asignado la unidad de datos.
Image Details: detalles del sistema de archivos pueden ser vistos, incluyendo el
diseo y los tiempos de actividad en el disco. Este modo proporciona informacin
que es til durante la recuperacin de datos.
19
30/01/2017
20