AUTOPSY

¿QUE ES?
Autopsy. Es una interfaz gráfica para el análisis
forense informático, mediante herramientas de
líneas de comandos. El cual permite a los
investigadores lanzar auditorías forenses no
intrusivas en los sistemas a investigar. Estos análisis
se centran en análisis genérico de sistemas de
archivos y líneas temporales de ficheros. Se puede
analizar los discos de Windows y UNIX y sistemas
de archivos (NTFS, FAT, UFS1 / 2, Ext2 / 3).
Debido a que este software se basa en HTML, se
puede conectar con el servidor de Autopsy de
cualquier plataforma con un navegador HTML.
Autopsy proporciona un "Administrador de
archivos"-como el interfaz y muestra detalles
acerca de los datos eliminados y estructuras del
sistema de archivos.
La herramienta está diseñada con estos
principios :

• Extensible : el usuario debe poder agregar una nueva

funcionalidad creando complementos que puedan analizar
todo o parte del origen de datos subyacente.
• Centralizada : la herramienta debe ofrecer un mecanismo
estándar y consistente para acceder a todas las funciones y
módulos.
• Facilidad de uso : el navegador de autopsias debe ofrecer los
asistentes y las herramientas históricas para facilitar a los
usuarios repetir sus pasos sin una reconfiguración excesiva.
• Múltiples usuarios : la herramienta debe ser utilizada por un
investigador o coordinar el trabajo de un equipo.
PROCESO 
Autopsy analiza los principales sistemas de
archivos (NTFS, FAT, ExFAT, HFS +, Ext2 / Ext3 /
Ext4, YAFFS2) al descifrar todos los archivos,
desempaquetar archivos estándar (ZIP, JAR,
etc.), extraer los valores EXIF ​y colocar palabras
clave en un índice. Algunos tipos de archivos,
como los formatos de correo electrónico
estándar o los archivos de contacto, también se
analizan y catalogan.
Los usuarios pueden buscar actividad reciente
en estos archivos indexados o crear un informe
en HTML o PDF que resuma la actividad reciente
importante. Si el tiempo es corto, los usuarios
pueden activar funciones de clasificación que
utilizan reglas para analizar primero los archivos
más importantes. La autopsy puede guardar una
imagen parcial de estos archivos en formato
VHD.
MODOS DE ANÁLISIS
• Un análisis de muerte se produce cuando un sistema de
análisis específicos se utiliza para examinar los datos de
un sistema sospechoso. En este caso, la autopsia y las
herramientas Sleuth se ejecutan en un entorno de
confianza, por lo general en un laboratorio. Autopsy y TSK
apoyo básico testigo, perito, y los formatos de archivo AFF.

• Un análisis en directo se produce cuando el sistema

sospechoso está siendo analizada, mientras que se está
ejecutando. En este caso, Autopsy y las herramientas
Sleuth se ejecuta desde un CD en un entorno de
confianza.
 TÉCNICAS DE
BÚSQUEDA DE LA
EVIDENCIA
Listado de archivos: Analizar los archivos y directorios,
incluyendo los nombres de los archivos borrados y los archivos
con nombres basados ​en Unicode.

Contenido del archivo: El contenido de los archivos pueden ser

vistos en hexadecimal, raw, o los caracteres ASCII; los que se
puede extraer. Cuando se interpretan los datos, se desinfecta
para evitar daños en el sistema de análisis local. El software no se
utiliza ningún tipo de lenguajes de script del lado del cliente.

Bases de datos de Hash: Búsqueda de archivos desconocidos en

una base de datos de hash para identificar rápidamente como
bueno o malo. Autopsy utiliza el NIST Biblioteca Nacional de
Referencia de Software (NSRL) y bases de datos creadas por el
usuario de los archivos más conocidos.
Clasificación de tipos de archivos: Clasificar los archivos
basándose en sus firmas internas para identificar los archivos
de un tipo conocido. La autopsia puede también extraer
solamente imágenes gráficas (incluyendo miniaturas). La
extensión del archivo también se puede comparar con el tipo
de archivo para identificar los archivos que pueden haber
tenido su extensión cambiada para ocultarlos.

Cronología de la actividad de archivo: En algunos casos,

tener una línea de tiempo de actividad de los archivos puede
ayudar a identificar las áreas de un sistema de archivos que
pueden contener pruebas. La autopsia puede crear líneas de
tiempo que contiene entradas para la modificación, acceso, y
el cambio (MAC).
Buscar palabra clave: búsquedas de palabras clave de la
imagen del sistema de archivos se puede realizar
utilizando cadenas de caracteres ASCII y expresiones
regulares grep. Las búsquedas se pueden realizar en
cualquiera de la imagen completa del sistema de archivos
o simplemente el espacio no asignado. Un archivo de
índice pueden ser creadas para agilizar las búsquedas. Las
cadenas que son buscados de manera frecuente se puede
configurar fácilmente para la búsqueda automatizada.
Análisis de metadatos: Los metadatos estructuras
contienen los detalles sobre los archivos y
directorios. La autopsia le permite ver los detalles
de cualquier estructura de metadatos en el
sistema de archivos. Esto es útil para recuperar el
contenido eliminado. La autopsia buscará los
directorios para identificar la ruta completa del
archivo que ha asignado a la estructura.
Análisis de datos de unidades: la unidad de
datos es donde el contenido del archivo se
almacena. La autopsia le permite ver el
contenido de cualquier unidad de datos en una
variedad de formatos, incluyendo ASCII,
hexdump, y cuerdas. El tipo de archivo también
se da y la autopsia buscará los metadatos para
identificar las estructuras que ha asignado la
unidad de datos.
Detalles de la imagen: Pueden ser vistos los
detalles del sistema de archivos, incluyendo el
diseño en el disco y el tiempo de actividad. Este
modo proporciona información que es útil
durante la recuperación de datos.
CONFIGURACION DE
LOS MÓDULOS A
UTILIZAR PARA EL
ANÁLISIS
Estos módulos son los que permitirán
el descubrimiento de información relevante y se
describen a continuación:
• Recent Activity: extrae la actividad reciente que se ha
realizado en la computadora bajo investigación. Esto
incluye los documentos recientemente abiertos,
dispositivos conectados, historial web, cookies, descargas
y marcadores, por ejemplo.

• Hash Lookup: permite agregar bases de datos con valores

de hash para archivos conocidos, como los archivos del
sistema operativo o de aplicaciones instaladas. Así, puede
ahorrarse mucho tiempo al evitar realizar búsquedas en
estos archivos conocidos.
• Archive Extractor: permite recuperar archivos eliminados,
basándose en los metadatos residuales que quedan en el
disco, así como también recuperar archivos en espacios no
asignados en el disco, mediante la detección de los
encabezados de archivos.

• Exif Image Parser: permite analizar la información

disponible en el encabezado Exif de los archivos de imagen
JPEG que se encuentran en el disco. Esto provee
información acerca de la cámara con que se tomó la
imagen, fecha y hora o la geolocalización, entre otras cosas.
Keyword Search: puede definirse una lista de palabras
clave o expresiones regulares a buscar en todo el
disco. Como se observa en la imagen anterior,
Autopsy ya viene con una lista de expresiones
regulares incluidas para búsqueda de números
telefónicos, direcciones IP, direcciones de correo
electrónico y URL.
A partir de este momento comienza en forma automática el análisis con los
módulos seleccionados para la imagen forense cargada en el caso. El progreso
de cada etapa se muestra en la parte inferior derecha y los resultados se van
actualizando en la vista de árbol, como se observa en la siguiente imagen:
Se observa que Autopsy realiza la extracción de contenido muy valioso para
una investigación, como el historial web, búsquedas web
realizadas o documentos recientemente abiertos, lo cual demoraría mucho
tiempo y sería tedioso de realizar para el investigador en forma manual.
Luego, en la siguiente imagen se observa el historial web encontrado una vez
que termina el proceso, para la imagen forense de un disco de prueba:
En este caso se ha resaltado el último resultado, el cual lleva a un archivo de mIRC con
una lista de canales a los que posiblemente se conectaba el usuario que está siendo
investigado. Adicionalmente, el sistema de archivos presente en la imagen forense
puede ser recorrido de forma jerárquica, pudiendo observar las particiones, así como
también los sectores no asignados en el disco:
Otra función muy interesante de Autopsy es aquella que agrupa los archivos
en categorías, de tal manera de poder ver rápidamente la cantidad de
imágenes, audio o documentos presentes en el sistema de archivos,
clasificado por extensión:
Una técnica fundamental en el análisis de imágenes forenses es la búsqueda por
palabras clave, dado lo poco práctico que resultaría para un investigador buscar
pruebas de un delito inspeccionando archivo por archivo. Así, Autopsy permite definir
un listado de palabras o expresiones a buscar en todos los archivos y sectores del disco
en análisis, lo cual se observa en la siguiente imagen:
En este caso se ha definido una lista con tres palabras con el objetivo de
encontrar evidencia que conecte al individuo con un caso particular de
hacking. Luego, el proceso de indexado realiza la búsqueda de estas palabras
construyendo un índice y al finalizar el mismo es posible buscar en forma
inmediata cada una de estas palabras clave:
INSTALACION
http://informaticaforenseviviana.blogspot.com/
2015/05/instalando-y-examinando-autopsy.html