.

.
Mostrando entradas con la etiqueta investigación. Mostrar todas las entradas
Mostrando entradas con la etiqueta investigación. Mostrar todas las entradas

miércoles, 4 de mayo de 2016

"Autopsy Forensic Browser" - Analizando evidencias digitales (2ªPARTE)

.... creada una dirección de Host para la prueba que se va a realizar "Prueba.koox" y ya con esto configurado, el siguiente paso es añadir la imagen que vamos a analizar.

Pulsamos "Add image".



"Add image file" Le vamos a indicar donde está la imagen que queremos analizar.



En mi caso, como ya indique al principio de la (1ªParte) he guardado la imagen de disco que quiero analizar en una carpeta en mi escritorio con el nombre "autopsy".

 Por tanto yo le diré que va a encontrar mi objetivo en: /root/Escritorio/autopsy/flash_drive.img

En "type" le indicamos si la imagen es de un disco o una partición.
De todas formas como se puede ver en las imagenes todo es muy intuitivo y vienen muy bien especificados los pasos a seguír.



A no ser que queramos algo más específico lo dejamos por defecto, "Add".



Como vemos ya está todo configurado y nos da la opción de pasar a analizar, o si queremos añadir alguna imagen más a estudiar.

En este caso pasaremos directamente al análisis de la imagen que tenemos ya cargada y seleccionada.
Pulsamos "Analyze".



Ya estamos dentro.

Como se puede ver "Autopsy Forensic Browser" nos ofrece varias opciones.
No voy a meterme en profundidad con ninguna de ellas. Yo aquí ya te recomiendo que vayas probando todas las posibilidades y los resultados que nos ofrecen.

Podemos: Analizar el interior del disco navegando por sus archivos y documentos, realizar busquedas concretas (muy útil en caso de estar buscando algo muy concreto, una palabra específica, etc.), metadatos de documentos (algo muy interesante que ya trataremos en otro artículo),...

La verdad que Autopsy es una herramienta muy sencilla y que nos puede ofrecer bastante dentro de lo que es.

Por ejemplo vamos a ver un par de pestañas.
Si seleccionamos "Image Details" nos devolverá la información general del sistema.



Si seleccionamos "File analysis".



Vemos como nos ofrece un análisis muy completo de el interior del disco. 
Podemos ir analizando archivo por archivo, abrir todo tipo de documentos y estudiarlos.

Autopsy genera completos reportes sobre el todas las características de las evidencias encontradas.
Permiten visualizar el estado de MD5 y SHDA1, con el fin de comprobar que las evidencias examinadas desde una copia no han sido modificadas o alteradas con respecto a las evidencias originales, lo cual supone un punto más a favor de esta buena herramienta de análisis forense.

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

"Autopsy Forensic Browser" - Analizando evidencias digitales (1ªPARTE)

Ayer navegando y poniendome al día en las novedades dentro del análisis forense digital, me di cuenta de los pocos resultados que encontraba en Castellano y sobre artículos de herramientas muy útiles y realmente interesantes. Por eso que voy a dedicar esta entrada a "Autopsy".

¿Qué es Autopsy?
Sin duda una de las mejores herramientas de software libre para el análisis de evidencias digitales.

Aunque podemos encontrarla para diferentes sistemas operativos, voy a hacer una muestra en esta entrada con Autopsy para Linux.
Si estás trabajando en la plataforma Kali Linux lo encontrarás en el apartado de herramientas de análisis forense.


Para los que no os gusta trabajar a través del terminal tranquilos, porque pese a tener que arrancarlo desde él, rápidamente nos indica que ya podemos abrir su interfáz gráfica en el navegador a través de:
localhost:9999/autopsy







Autopsy soporta sistemas de ficheros NTFS, FAT, UFS1/2, Ext2/3, y puede hacer análisis tanto en sistemas que se encuentran en funcionamiento de los cuales tengamos algún tipo de sospecha y queramos investigar, como en sistemas muertos en los que analizaremos por ejemplo su estructura, integridad de archivos, documentos, incluso datos que han sido suprimidos con anterioridad.

En esta entrada y como lo que quiero mostrar es simplemente su funcionamiento y potencial, me voy a limitar a investigar un imagen de disco con lo que podremos ver que cosas podemos conseguir.
Una vez estemos utilizando Autopsy nos daremos cuenta que es muy fácil e intuitivo, así que basaré este artículo en una serie de pantallazos en los que iremos siguiendo el proceso de puesta en marcha de un análisis.

Si alguien quiere seguir la práctica, como he dicho partimos del hecho de que tenemos en nuestro poder una imagen de disco la cual vamos a análizar, así que os recomiendo que os hagáis una para pruebas como esta.

Yo he guardado la mía en /root/Escritorio/autopsy/flash_drive.img

Bien...Una vez arrancado en el navegador como vemos en la anterior imagen, seleccionamos "New case".


Ponemos un nombre al análisis para posteriormente poder seguirlo, ya que se guardará en nuestro sistema.
"New Case"

Seleccionamos la que acabamos de crear y "OK".

Nos informa que debemos de crear un Host, así que añadímos uno.


Rellenamos todos los datos que creamos necesario (no son obligatorios). Yo dejo el de defecto "host1".


Como vemos se ha creado una dirección de Host para la prueba que se va a realizar "Prueba.koox".

Con esto ya configurado, el siguiente paso es añadir la imagen que vamos a analizar.
Pulsamos "Add image".
SIGUE EN "Autopsy Forensic Browser" SEGUNDA PARTE ....
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)