.

.

miércoles, 4 de mayo de 2016

"Autopsy Forensic Browser" - Analizando evidencias digitales (2ªPARTE)

.... creada una dirección de Host para la prueba que se va a realizar "Prueba.koox" y ya con esto configurado, el siguiente paso es añadir la imagen que vamos a analizar.

Pulsamos "Add image".



"Add image file" Le vamos a indicar donde está la imagen que queremos analizar.



En mi caso, como ya indique al principio de la (1ªParte) he guardado la imagen de disco que quiero analizar en una carpeta en mi escritorio con el nombre "autopsy".

 Por tanto yo le diré que va a encontrar mi objetivo en: /root/Escritorio/autopsy/flash_drive.img

En "type" le indicamos si la imagen es de un disco o una partición.
De todas formas como se puede ver en las imagenes todo es muy intuitivo y vienen muy bien especificados los pasos a seguír.



A no ser que queramos algo más específico lo dejamos por defecto, "Add".



Como vemos ya está todo configurado y nos da la opción de pasar a analizar, o si queremos añadir alguna imagen más a estudiar.

En este caso pasaremos directamente al análisis de la imagen que tenemos ya cargada y seleccionada.
Pulsamos "Analyze".



Ya estamos dentro.

Como se puede ver "Autopsy Forensic Browser" nos ofrece varias opciones.
No voy a meterme en profundidad con ninguna de ellas. Yo aquí ya te recomiendo que vayas probando todas las posibilidades y los resultados que nos ofrecen.

Podemos: Analizar el interior del disco navegando por sus archivos y documentos, realizar busquedas concretas (muy útil en caso de estar buscando algo muy concreto, una palabra específica, etc.), metadatos de documentos (algo muy interesante que ya trataremos en otro artículo),...

La verdad que Autopsy es una herramienta muy sencilla y que nos puede ofrecer bastante dentro de lo que es.

Por ejemplo vamos a ver un par de pestañas.
Si seleccionamos "Image Details" nos devolverá la información general del sistema.



Si seleccionamos "File analysis".



Vemos como nos ofrece un análisis muy completo de el interior del disco. 
Podemos ir analizando archivo por archivo, abrir todo tipo de documentos y estudiarlos.

Autopsy genera completos reportes sobre el todas las características de las evidencias encontradas.
Permiten visualizar el estado de MD5 y SHDA1, con el fin de comprobar que las evidencias examinadas desde una copia no han sido modificadas o alteradas con respecto a las evidencias originales, lo cual supone un punto más a favor de esta buena herramienta de análisis forense.

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.