Buenas a todos, en el post de hoy me gustaría hablaros de una de las características mas potentes que posee la herramienta de análisis forense digital Autopsy, a partir de la versión 3 para entornos Windows, los módulos de ingesta.
Actualmente en su versión 4.1.1, Autopsy es una de las herramientas gratuitas más potentes que se pueden utilizar en un proceso de estudio forense. Esta última versión, en concreto la de 32 bits, a mí no me ha funcionado en los equipos que he probado, produciéndose un error durante la fase de ingesta (si alguien ha experimentado problemas similares podéis comentarlo también al equipo de desarrollo). Sin embargo la versión 4.1.1 de 64 bits funciona sin problemas y la versión anterior 4.1.0 me ha funcionado sin problemas tanto en su versión de 32 bits como en 64 bits.
Los módulos de ingesta permiten procesar los datos contenidos en un disco que nos encontremos analizando, extrayendo la información de interés, clasificándola y permitiéndonos exportarla a numerosos formatos de una forma sencilla y cómoda. No es la herramienta más rápida, sobretodo si la comparamos con algunos de sus hermanos mayores como Encase Forensic, pero sí es una utilidad bastante efectiva.
En los módulos nativos, de arriba a abajo (según su orden de aparición) nos encontraremos con los siguientes módulos:
Módulo de análisis de actividad reciente
A grandes rasgos, su misión más importante es la de recopilar la actividad del usuario de los navegadores web y el Sistema Operativo, entre otras labores.
Módulo de consultas de Hashes
Detecta archivos conocidos peligrosos mediante una lista de hashes conocidos de NIST NSRL. Esta base de datos puede ser configurada para ampliar los hashes.
Módulo de identificación de archivos
Detecta la tipología de los archivos mediante la librería Tika. Se pueden definir tipos diferentes que no se encuentren incluidos.
Modulo de extracción de ficheros empotrados
Abre archivos de formatos como Rar, Zip, Doc/Docx, Ppt/pptx, Xls/Xlsx, etc, para después analizarlos.
Módulo interprete EXIF
Extrae información EXIF de imágenes.
Módulo de palabras clave
Mediante una lista de palabras clave, y sobre los archivos previamente indexados, permite identificar palabras clave (muy útil para buscar ciertos tags en un forense).
Módulo de correos electrónicos
Identifica emails de Thunderbird y PST, y extrae los emails con toda su información vinculada.
Módulo detector de incoherencias de extensión
Como el titulo indica, identifica ficheros con una extensión no asociada con los tipos de archivos detectados.
Módulo verificador E01
Calcula el checksum de los archivos de encase para confirmar si se encuentran en correcto estado.
Módulo analizador de Android
Interpreta archivos de dispositivos Android.
Módulo identificador de archivos "Interesantes"
Literalmente, buscar archivos y carpetas mediante reglas especificadas en la configuración.
Módulo photorec carver
Rastrea ficheros en el espacio "no asignado" del disco y los indexa para su análisis. Muy interesante para recuperar archivos eliminados.
Eso es todo por hoy, en el siguiente post os hablaremos de los módulos de terceros.
Saludos!
No hay comentarios:
Publicar un comentario