30/01/2017

Taller

Autopsy

Ing. Jeler Vsquez

Autopsy

Introduccin

Digital Forensics Tool Testing Images

Verificar integridad de la imagen

Iniciando Autopsy

Analizando la imagen

Generacin de reportes

30/01/2017

Introduccin
Qu es Autopsy?

Autopsy es una interfaz grfica de usuario para las

herramientas de investigacin digitales de lnea de
comandos en The Sleuth Kit. Juntos, permiten
investigar el sistema de archivos y volmenes de una
computadora.
Para obtener informacin ms detallada ir a
http://www.sleuthkit.org/autopsy/

Introduccin
Paquetes:

The Sleuth Kit

https://sourceforge.net/projects/sleuthkit/files/sleuthkit/4.2.0/

Autopsy
https://sourceforge.net/projects/autopsy/files/autopsy/4.0.0/
https://sourceforge.net/projects/autopsy/files/autopsy/2.24/

30/01/2017

Introduccin
Archivo de configuracin /usr/share/autopsy/conf.pl

Introduccin

Listado de
archivos

Contenido
del archivo

30/01/2017

Introduccin

Listado de archivos: Analizar los archivos y

directorios, incluyendo los nombres de los archivos
borrados y los archivos con nombres basados en
Unicode.
Contenido del archivo: El contenido de los archivos
pueden ser vistos en hexadecimal, raw, o los
caracteres ASCII; los que se puede extraer. Cuando
se interpretan los datos, se desinfecta para evitar
daos en el sistema de anlisis local. El software no
se utiliza ningn tipo de lenguajes de script del lado
del cliente.

Autopsy

Introduccin

Digital Forensics Tool Testing Images

Verificar integridad de la imagen

Iniciando Autopsy

Analizando la imagen

Generacin de reportes

30/01/2017

Digital Forensics Tool Testing

Images
Qu es el sitio web dftt?

Este sitio web contiene sistemas de archivos e

imgenes de disco para las pruebas digitales
(computadora)
de
anlisis
forense
y
herramientas de adquisicin.
dftt significa Digital Forensics Tool Testing
Images.
Ubicacin: http://dftt.sourceforge.net/

Digital Forensics Tool Testing

Images
Preparar directorio
1. Crear directorio de trabajo
mkdir p /var/forense/imagenes

2. Verificar que el directorio fue creado

ls ld /var/forense/imagenes

30/01/2017

Digital Forensics Tool Testing

Images
Obtener imagen
1.

Ir a http://dftt.sourceforge.net/

2.

Clic en 8. JPEG Search Test #1

3.

Descargar el archivo imagen

4.

Bajo Download, clic en el enlace zip

5.

Clic en el botn de radio Save File

6.

Mover el archivo a la siguiente ruta /var/forense/imagenes

Digital Forensics Tool Testing

Images
Obtener imagen
Descomprimir el archivo imagen, sigua la siguientes instrucciones:
1.

cd /var/forense/imagenes

2.

ls ltra

3.

unzip 8-jpeg-search.zip

4.

cd 8-jpeg-search.zip

5.

ls ltra
El archivo imagen termina en ".dd"

30/01/2017

Autopsy

Introduccin

Digital Forensics Tool Testing Images

Verificar integridad de la imagen

Iniciando Autopsy

Analizando la imagen

Generacin de reportes

Verificar integridad de la imagen

Procedimiento:
1.

Clic en Terminal

2.

cd /var/forense/imgenes/8-jpeg-search

3.

ls l

4.

md5sum 8-jpeg-search.dd

30/01/2017

Autopsy

Introduccin

Digital Forensics Tool Testing Images

Verificar integridad de la imagen

Iniciando Autopsy

Analizando la imagen

Generacin de reportes

Iniciando Autopsy
Procedimiento:
1.

Clic en Terminal

2.

mkdir p /evidencia/autopsy

3.

cd /evidencia/autopsy

4.

ln -s /usr/bin/icat /usr/bin/icat-sleuthkitautopsy

5.

ln -s /usr/bin/ils /usr/bin/ils-sleuthkitautopsy

6.

ln -s /usr/bin/mactime /usr/bin/mactime-sleuthkitautopsy

7.

Editar el archivo /usr/share/autopsy/conf.pl y modificar la siguiente lnea:

$LOCKDIR = /var/lib/autopsy/

por

$LOCKDIR = /evidencia/autopsy/

30/01/2017

Iniciando Autopsy
Procedimiento:
5.

Desactivar javascript

6.

Resalte y haga clic derecho en la direccin WEB

http://localhost:9999/autopsy

Iniciando Autopsy

Desactivando
javascript en
Mozilla Firefox

30/01/2017

Iniciando Autopsy

Iniciando Autopsy
Procedimiento:
1.

Clic en New Case

2.

Clic en Add Host

3.

Clic en Add Image

4.

Clic en Image Integrity

10

30/01/2017

File Activity TimeLines: Autopsy puede crear lneas de tiempo

que contienen entradas de los tiempos de Modificacin, Acceso, y
Cambio (MAC) de archivos asignados y sin asignar
Image Integrity: Valida la integridad de las imgenes durante un
anlisis. Autopsy utiliza el algoritmo MD5 para validar las
imgenes y otros archivos que son creados por Autopsy.

Hash Databases: Se utilizan para identificar de forma rpida

archivos conocidos buenos y malos utilizando el valor de la suma
de comprobacin MD5 o SHA-1.
NSRL (National Software Reference Library), promueve el uso
eficiente y efectivo de la tecnologa en la investigacin de crimines
que involucran a las computadoras.
https://sourceforge.net/projects/autopsy/files/NSRL/

11

30/01/2017

Event Sequencer: Los eventos basados en el tiempo pueden ser

aadidos desde un archivo de actividad o registros de un IDS
(Sistema Detector de Intrusos) o Firewall (cortafuegos). Autopsy
ordena los eventos de tal manera que la secuencia de los eventos
de incidentes pueda ser ms fcilmente determinada

Autopsy

Introduccin

Digital Forensics Tool Testing Images

Verificar integridad de la imagen

Iniciando Autopsy

Analizando la imagen

Generacin de reportes

12

30/01/2017

Analizando la imagen

Keyword Search: Las bsquedas de palabras clave en una

imagen de un sistema de archivos puede ser realizada utilizando
cadenas ASCII y expresiones regulares. Las bsquedas pueden
ser realizadas en la imagen completa del sistema de archivos o
solamente en el espacio sin asignar. Se puede crear un archivo
ndice para una bsqueda ms rpida. Las cadenas buscadas
frecuentemente pueden ser fcilmente configuradas dentro de
Autopsy de bsquedas automatizadas.

Analizando la imagen

File Type Sort Files by Type: Para identificar archivos de un

tipo conocido, se ordenan los archivos basndose en sus firmas
internas. Autopsy puede extraer tambin solamente imgenes
grficas (incluyendo miniaturas). La extensin de un archivo
puede ser comparada tambin con un tipo de archivo para
identificar archivos que pueden tener su extensin modificada
para ocultarlos.

13

30/01/2017

Analizando la imagen

Image Details: Los detalles del sistema de archivos puede ser

visualizados, incluyendo la disposicin sobre el disco y tiempos
de actividad. Este modo proporciona informacin que es de
utilidad durante la recuperacin de datos.

Analizando la imagen

Meta Data: Las estructuras de Meta Datos contienen detalles

sobre archivos y directorios. Autopsy permite visualizar detalles
de cualquier estructura de Meta Datos en el sistema de archivos.
Esto es til para la recuperacin de contenido eliminado. Autopsy
buscar los directorios para identificar la ruta completa de un
archivo que tiene asignada la estructura.

14

30/01/2017

Analizando la imagen

Data Unit: Las unidades de datos son el lugar donde se

almacena el contenido del archivo. Autopsy permite visualizar el
contenido de cualquier unidad de datos en una variedad de
formatos incluyendo ASCII, volcado hexadecimal, y cadenas. Se
proporciona tambin el tipo de archivo y Autopsy buscar las
estructuras de Meta Datos para identificar cuales unidades de
datos tiene asignada.

Analizando la imagen
Procedimiento:
1.

Clic en Analyze

2.

Clic en Image Details

3.

Clic en File Analysis

Clic en All Deleted Files
Seleccionar el archivo jpg
Clic en Export
Clic en Save File, guardar el archivo en el directorio de evidencia
Clic en Add Note, escriba una nota y luego clic en OK
Clic en View Notes

Clic en el botn X en la ventana secundaria

15

30/01/2017

Analizando la imagen

Autopsy

Introduccin

Digital Forensics Tool Testing Images

Verificar integridad de la imagen

Iniciando Autopsy

Analizando la imagen

Generacin de reportes

16

30/01/2017

Generacin de reportes
Autopsy puede crear reportes de archivos ASCII y otras
estructuras del sistema de archivos. Esto permite que se hagan
hojas de datos rpidas y consistentes durante la investigacin.

Generacin de reportes

17

30/01/2017

Introduccin

File Listing: Analizar los archivos y directorios, incluyendo los nombres de los
archivos y los archivos borrados con nombres de tipo Unicode.
File Content: El contenido de los archivos se pueden ver en crudo, hexagonal, o las
cadenas de caracteres ASCII se pueden extraer. Cuando se interpreta los datos, la
autopsia se desinfecta para evitar daos en el sistema de anlisis local. La autopsia
no utiliza ningn lenguajes de script del lado del cliente.
Hash Databases: La funcin Buscar archivos desconocidos en una base de datos
de hash para identificar rpidamente como buena o mala. Autopsia utiliza la
Biblioteca Nacional de Referencia de software NIST (NSRL) y bases de datos
creadas por el usuario del bien conocido y archivos maliciosos conocidos.
File Type Sorting: Clasificar los archivos en funcin de sus firmas internas para
identificar los archivos de un tipo conocido. La autopsia tambin se puede extraer
slo las imgenes grficas (incluidas las miniaturas). La extensin del archivo
tambin ser comparado con el tipo de archivo para identificar los archivos que
pueden haber tenido su extensin cambiado para ocultarlos.

Introduccin

Timeline of File Activity: Una lnea de tiempo de actividad de los archivos puede
ayudar a identificar reas de un sistema de archivos que pueden contener
elementos de prueba. La autopsia puede crear lneas de tiempo que contienen
entradas para la modificacin, acceso, y los tiempos de ambos archivos asignados y
no asignados Cambio (MAC).
Keyboard Search: Palabra clave bsquedas de imagen del sistema de archivos se
pueden realizar utilizando cadenas de caracteres ASCII y expresiones regulares
grep. Las bsquedas se pueden realizar ya sea la imagen del sistema de archivos
completo o slo el espacio no asignado en. Un archivo de ndice se puede crear
para bsquedas ms rpidas. Las cadenas que con frecuencia se buscan se puede
configurar fcilmente en la autopsia para la bsqueda automatizada.
Meta Data Analisys: Estructuras de datos Meta contiene los detalles sobre los
archivos y directorios. La autopsia le permite ver los detalles de cualquier meta
estructura de datos en el sistema de archivos. Esto es til para la recuperacin de
contenido eliminado. La autopsia buscar los directorios para identificar la ruta
completa del archivo que se ha asignado la estructura.

18

30/01/2017

Introduccin

Data Unit Analisys: unidad de datos son donde se almacena el contenido del
archivo. La autopsia le permite ver el contenido de cualquier unidad de datos en una
variedad de formatos, incluyendo ASCII, hexdump, y cuerdas. El tipo de archivo
tambin se da y la autopsia buscar las estructuras de metadatos para identificar
que se ha asignado la unidad de datos.
Image Details: detalles del sistema de archivos pueden ser vistos, incluyendo el
diseo y los tiempos de actividad en el disco. Este modo proporciona informacin
que es til durante la recuperacin de datos.

Event Sequencer: eventos basados en el tiempo puede ser

aadido a la actividad o IDS de archivos y registros del
cortafuegos. tipo de la autopsia de los eventos de modo que la
secuencia de incidente asociada a un evento se puede determinar
fcilmente.
Notes: Las notas pueden ser guardados en una base per-host y
per-investigador. Estos permiten que el investigador para tomar
notas rpidas sobre archivos y estructuras. La ubicacin original
puede recuperarse fcilmente con el clic de un botn cuando las
notas son revisados ms adelante. Todas las notas se almacenan
en un archivo ASCII.

19

30/01/2017

Image Integrity: Ser que uno de los aspectos ms cruciales de una

investigacin forense implica asegurar que los datos no se
modifica durante el anlisis; Autopsia generar un valor MD5 para
todos los archivos que se importan o crean de forma
predeterminada. La integridad de cualquier archivo que los usos
de la autopsia se pueden validar en cualquier momento.
Informes: Autopsia pueden crear informes para los archivos ASCII
y otras estructuras del sistema de archivos. Esto permite que el
investigador para hacer rpidamente las hojas de datos
coherentes durante el curso de la investigacin.
Logging: los registros de auditora se crean en un caso, el
husped y el nivel investigador de modo que todas las acciones se
pueden recuperar fcilmente. Los comandos enteras Sleuth Kit se
registran exactamente medida que se ejecutan en el sistema.

20