17 sept 2013

Herramientas forense para ser un buen CSI. Parte XXXV: Autopsy 3 (Parte I)

Buenas a todos, como muchos ya sabréis, este verano ha sido publicada la versión 3 de Autopsy, uno de los software más utilizados por los Analistas Forenses a la hora de analizar un disco duro.

Esta nueva versión ha cambiado totalmente el concepto de presentar la información y ha ganado enteros en simplificación, facilidad de uso y una cosa muy importante y que en muchas ocasiones dejamos de lado, diseño.

A nivel técnico tiene también cambios interesantes que procedo a listaros a continuación:

  • File system analysis and recovery using The Sleuth Kit™, which has support for NTFS, FAT, Ext2/3/4, Yaffs2, UFS, HFS+, ISO9660

  • Indexed Keyword Search using Apache SOLR (More…)

  • Hash database support for EnCase, NSRL, and HashKeeper hashsets.

  • Registry analysis using RegRipper

  • Web browser analysis for Firefox, Chrome, Safari, and IE including automated discovery of bookmarks, history, and web searches

  • Thumbnail views and video playback

  • MBOX Email analysis

  • Visual Timeline analysis (More…)

  • Tagging and Reporting in HTML and Excel

  • Coming Soon: 64-bit support and Scalpel integration for carving

Como veréis a continuación, Autopsy 3 a nivel visual es muy parecida a FTK Imager. Ambas nos permitirán abrir una clonación de un disco duro y visualizar su contenido como un explorador de Windows, pero además Autopsy 3 ha hecho mucho hincapié en facilitar el acceso a la información recuperada y nos muestra un listado muy cómodo de archivos recuperados, que nos permitirá visualizar e incluso reproducir sin salir de la herramienta.

A pesar de todos estos cambios, Autopsy 3 continúa siendo libre, y podéis acceder a sus fuentes y binarios desde el siguiente enlace:

https://github.com/sleuthkit/autopsy

La instalación de Autopsy 3 en Windows no os generará ningún problema, ya que se basa en el clásico "siguiente, siguiente...".

Una vez instalada, haremos doble clic sobre su icono y comenzará a cargarnos los distintos módulos que contiene:

El siguiente paso será pulsar sobre "Create New Case":

Ahora introduciremos el nombre del caso y seleccionaremos la ruta donde se almacenará toda la información de configuración y reportes que generará la herramienta:

Ahora indicaremos el número del caso y el nombre del investigador forense:

Finalmente nos falta lo más importante, seleccionar el origen de la información, donde podremos seleccionar discos tanto en formatos de imagen, como en discos duros físicos mapeados:

El siguiente paso es seleccionar el tipo de archivos que intentará extraer:

 Si todo ha ido bien veremos la siguiente ventana:

Tras finalizar el análisis nos presentará la información recuperada:

En el próximo post de la cadena Herramientas forense para ser un buen CSI destriparemos la herramienta y analizaremos toda la información que ha sido capaz de recuperar en nuestra investigación.

Saludos!

2 comentarios: