26 sept 2016

Los módulos de ingesta de Autopsy. Parte 1

Buenas a todos, en el post de hoy me gustaría hablaros de una de las características mas potentes que posee la herramienta de análisis forense digital Autopsy, a partir de la versión 3 para entornos Windows, los módulos de ingesta.

Actualmente en su versión 4.1.1, Autopsy es una de las herramientas gratuitas más potentes que se pueden utilizar en un proceso de estudio forense. Esta última versión, en concreto la de 32 bits, a mí no me ha funcionado en los equipos que he probado, produciéndose un error durante la fase de ingesta (si alguien ha experimentado problemas similares podéis comentarlo también al equipo de desarrollo). Sin embargo la versión 4.1.1 de 64 bits funciona sin problemas y la versión anterior 4.1.0 me ha funcionado sin problemas tanto en su versión de 32 bits como en 64 bits.

Los módulos de ingesta permiten procesar los datos contenidos en un disco que nos encontremos analizando, extrayendo la información de interés, clasificándola y permitiéndonos exportarla a numerosos formatos de una forma sencilla y cómoda. No es la herramienta más rápida, sobretodo si la comparamos con algunos de sus hermanos mayores como Encase Forensic, pero sí es una utilidad  bastante efectiva.



Existen 2 grandes tipos de módulos de ingesta. Los que vienen incluidos en la propia herramienta, los cuales podéis ver en la imagen anterior y os describiremos a continuación, y los módulos de ingesta que aporta la comunidad, y que podéis ver desde el siguiente enlace, donde encontraréis módulos tan interesantes como analizadores de Virus Total o chequeadores del registro de Windows . De los módulos de terceros os hablaremos en el próximo artículo de esta cadena:


En los módulos nativos, de arriba a abajo (según su orden de aparición) nos encontraremos con los siguientes módulos:

Módulo de análisis de actividad reciente

A grandes rasgos, su misión más importante es la de recopilar la actividad del usuario de los navegadores web y el Sistema Operativo, entre otras labores.

Módulo de consultas de Hashes

Detecta archivos conocidos peligrosos mediante una lista de hashes conocidos de NIST NSRL. Esta base de datos puede ser configurada para ampliar los hashes.

Módulo de identificación de archivos

Detecta la tipología de los archivos mediante la librería Tika. Se pueden definir tipos diferentes que no se encuentren incluidos.

Modulo de extracción de ficheros empotrados

Abre archivos de formatos como Rar, Zip, Doc/Docx, Ppt/pptx, Xls/Xlsx, etc, para después analizarlos.

Módulo interprete EXIF

Extrae información EXIF de imágenes.

Módulo de palabras clave

Mediante una lista de palabras clave, y sobre los archivos previamente indexados, permite identificar palabras clave (muy útil para buscar ciertos tags en un forense).

Módulo de correos electrónicos

Identifica emails de Thunderbird y PST, y extrae los emails con toda su información vinculada.

Módulo detector de incoherencias de extensión

Como el titulo indica, identifica ficheros con una extensión no asociada con los tipos de archivos detectados.

Módulo verificador E01

Calcula el checksum de los archivos de encase para confirmar si se encuentran en correcto estado.

Módulo analizador de Android

Interpreta archivos de dispositivos Android.

Módulo identificador de archivos "Interesantes"

Literalmente, buscar archivos y carpetas mediante reglas especificadas en la configuración.

Módulo photorec carver

Rastrea ficheros en el espacio "no asignado" del disco y los indexa para su análisis. Muy interesante para recuperar archivos eliminados.



Eso es todo por hoy, en el siguiente post os hablaremos de los módulos de terceros.

Saludos!

No hay comentarios:

Publicar un comentario