Download - Guia Autopsy Rapida
-
7/30/2019 Guia Autopsy Rapida
1/6
Tutorial de Autopsy
Autopsy es Tal vez la mevidencia digital. Su inteherramientas en lnea d
diversos tipos de eviden
Ejecutando Autopsy
El programa autopsy co
hasta en el sistema oper
Al ejecutar autopsy, inm
estar configurado para n
work offline, desde la b
manera accedemos a la
Fig 1. Deshabilitando W
Iniciando el caso
Para iniciar por primera
importante previamente
jor herramienta libre que existe para elrfaz grfica es un browser que basado e
comandos del Sleuth Kit, permite un an
ia mediante una captura de una imagen
re en diversos sistemas operativos com
ativo Microsoft.
ediatamente se abre el navegador(bro
avegar en line, es decir debemos desha
arra de men, opcin archivo(ver figur
primera presentacin de en case.
rk Offline
vez una recoleccin y anlisis de evid
haber obtenido la rplica o imagen d
nlisis delas
lisis de
de disco.
o Linux, Unix y
se), que debe
bilitar la opcin
1) y de esta
ncia digital, es
l disco donde
-
7/30/2019 Guia Autopsy Rapida
2/6
reside la evidencia. Una vez iniciada la interfaz grfica de autopsy, se procede
a la creacin de un nuevo caso.
Figura 2 Iniciando el caso.
Al dar click a newcase, se despliega un formulario para diligenciar los datos
bsicos del nuevo caso (Nombre del caso, descripcin, investigador), como se
observa en la siguiente figura.
Fig 3. Formulario de datos .
Agrando la Imagen Obtenida
-
7/30/2019 Guia Autopsy Rapida
3/6
Como se expres al inici
rplica o imagen bit a
hemos creado un arch
/adquisicin/imagen.dd(
y nombre del archivo, la
Recolectando evidenci
Una vez efectuado pa
obtienen los volmene
respectiva exploracin.
o de este manual, previamente se debe
bit del disco donde reside la evidenci
ivo de imagen llamado imagen.dd, e
sando Guymager). Se introduce la rut
dems opciones permanecen por defe
Figura 4 Obteniendo Imagen.
as para el anlisis.
o a paso los procesos anteriormente
s que fueron encontrados en la im
Figura 5. Volumenes encontrados
contar con una
. Previamente
n la ubicacin
a de ubicacin
to.
descritos, se
gen, para su
-
7/30/2019 Guia Autopsy Rapida
4/6
Al ingresar a la opcin de anlisis, podemos evidencia cada uno de los archivos
tanto temporales, permanentes, eliminados o averiados, que residen en la
imagen o replica extrada del medio de almacenamiento original.
Figura 6. Evidencias Obtenidas
Como se observa en la figura anterior, los archivos que no son permanentes o
que han sido borrados, se encuentra en color rojo, los dems archivo de color
azul son permanentes. Teniendo en cuenta que la cantidad de archivos
encontrados en la imagen puede ser demasiadamente extensa, autopsy cuenta
con una barra de menus, que tienen la opcin de buscar archivos o evidencias,
por palabras claves, iniciales, tipo de archivos, matadatos, sectores especficos
del disco y otras series de opciones, que permiten optimizar al mximo la
bsqueda de evidencia.
Como ejemplo del uso de opciones para la bsqueda de archivos,
introduciremos una palabra clave como boot.
-
7/30/2019 Guia Autopsy Rapida
5/6
Figura 7
Autopsy genera una lis
caso 64 y como podem
informacin que contien
Figura 8
Analizando Metadatos
Los metadatos son un
acerca del dato o ar
caractersticas relevant
longitud, tamao y otros
usqueda de evidencia por palabra clave
ta con todos los resultados encontrad
os observar en la siguiente figura, se
la palabra clave boot.
. Evidencia encontrad por palabra clave
conjunto de datos del dato, es decir u
hivo localizado como evidencia. Est
s como el nombre, la fecha y hor
atributos relevantes en una investigaci
s, en nuestro
ha encontrado
a informacin
os almacenan
de creacin,
.
-
7/30/2019 Guia Autopsy Rapida
6/6
Figura 9 Anlisis de Metadato
Generando Reportes
Por cada evidencia encontrada Autopsy genera un completo reporte sobre el
estado, atributos, caractersticas y contenido de dicha evidencia. Estos
reportes son de gran ayuda en el momento del anlisis de la evidencia y como
elemento probatorio, en caso de que exista un proceso legal llevado a juicio. El
reporte permite visualizar el estado de MD5 y SHDA1, con el fin de comprobar
que la evidencia examinada desde una copia no ha sido modificada o alterada
con respecto a la evidencia que reside originalmente.