Buenas a todos, como muchos ya sabréis, este verano ha sido publicada la versión 3 de Autopsy, uno de los software más utilizados por los Analistas Forenses a la hora de analizar un disco duro.
Esta nueva versión ha cambiado totalmente el concepto de presentar la información y ha ganado enteros en simplificación, facilidad de uso y una cosa muy importante y que en muchas ocasiones dejamos de lado, diseño.
A nivel técnico tiene también cambios interesantes que procedo a listaros a continuación:
File system analysis and recovery using The Sleuth Kit™, which has support for NTFS, FAT, Ext2/3/4, Yaffs2, UFS, HFS+, ISO9660
Indexed Keyword Search using Apache SOLR (More…)
Hash database support for EnCase, NSRL, and HashKeeper hashsets.
Registry analysis using RegRipper
Web browser analysis for Firefox, Chrome, Safari, and IE including automated discovery of bookmarks, history, and web searches
Thumbnail views and video playback
MBOX Email analysis
Visual Timeline analysis (More…)
Tagging and Reporting in HTML and Excel
- Coming Soon: 64-bit support and Scalpel integration for carving
Como veréis a continuación, Autopsy 3 a nivel visual es muy parecida a FTK Imager. Ambas nos permitirán abrir una clonación de un disco duro y visualizar su contenido como un explorador de Windows, pero además Autopsy 3 ha hecho mucho hincapié en facilitar el acceso a la información recuperada y nos muestra un listado muy cómodo de archivos recuperados, que nos permitirá visualizar e incluso reproducir sin salir de la herramienta.
A pesar de todos estos cambios, Autopsy 3 continúa siendo libre, y podéis acceder a sus fuentes y binarios desde el siguiente enlace:
https://github.com/sleuthkit/autopsy
La instalación de Autopsy 3 en Windows no os generará ningún problema, ya que se basa en el clásico "siguiente, siguiente...".
Una vez instalada, haremos doble clic sobre su icono y comenzará a cargarnos los distintos módulos que contiene:
El siguiente paso será pulsar sobre "Create New Case":
Ahora introduciremos el nombre del caso y seleccionaremos la ruta donde se almacenará toda la información de configuración y reportes que generará la herramienta:
Ahora indicaremos el número del caso y el nombre del investigador forense:
Finalmente nos falta lo más importante, seleccionar el origen de la información, donde podremos seleccionar discos tanto en formatos de imagen, como en discos duros físicos mapeados:
El siguiente paso es seleccionar el tipo de archivos que intentará extraer:
Si todo ha ido bien veremos la siguiente ventana:
Tras finalizar el análisis nos presentará la información recuperada:
En el próximo post de la cadena Herramientas forense para ser un buen CSI destriparemos la herramienta y analizaremos toda la información que ha sido capaz de recuperar en nuestra investigación.
Saludos!