5 USO DEL AUTOPSY EN CAINE_INFORMATICA FORENSE

Vista previa del material en texto

ING.GILBERT JAIR SANCHEZ AVILA-INFORMATICA FORENSE-
ESPECIALIZACIÓN SEGURIDAD INFORMATICA UNAD 
USO DEL AUTOPSY EN CAINE 
Una vez instalado caine en la maquina virtual, procedemos a ejecutar el programa 
de autopsy, lo buscamos en menú donde dice forensy tools, dice autopsy 2.24 
, le damos clic y nos sale la siguiente imagen : 
 
Esto nos indica que el proceso y el programa se va ejecutando como interfaz web , 
ver donde dice http://localhost:9999/autopsy y luego sale la interfaz web: 
http://localhost:9999/autopsy
 
Si vemos la imagen anterior con detenimiento, le vamos a dar clic en new case 
para crear un nuevo caso (ver recuadro borde azul) ,ahora veamos esta imagen: 
 
Si la vemos con calma ahí le colocamos el nombre del caso y la descripción y le 
damos clic donde dice new case, ahora veamos la siguiente imagen: 
 
Vemos en que directorio esta el caso y el archivo de configuración , luego le 
damos clic para agregar un host , donde dice add host , si vemos la imagen 
siguiente le colocamos un nombre al host , Un host o anfitrión es un ordenador que 
funciona como el punto de inicio y final de las transferencias de datos. Más 
comúnmente descrito como el lugar donde reside un sitio web, dejamos los otros 
parámetros como están y le damos clic en add host 
 
Ahora vamos agregar la imagen , una vez que se ha configurado el host le damos 
clic en add image , ver siguiente imagen: 
 
Ahora si vemos esta imagen le damos clic donde dice add image file (recuadro 
borde azul) , podemos decir si vemos esta foto que es la de menú principal 
de la interfaz web: 
 
En este caso yo Baje la imagen a analizar de la misma página UNAD donde está 
el link de la Práctica, y coloque el archivo en desktop o escritorio del sistema 
operativo caine, le damos clic derecho al archivo y en properties o propiedades 
vemos las características del archivo, miro donde dice location que es la ruta de 
ubicación del archivo. ver siguiente imagen: 
 
 
Porque revisamos la sección location de la imagen anterior, porque necesitamos 
la ruta del archivo, poder montarla (toca escribir la ruta como esta en la foto, 
donde dice location), dejamos el parámetro disk donde dice type ,donde dice 
import method dejamos el parámetro symlink como esta, luego damos clic en 
next , ver siguiente imagen: 
 
Si vemos la siguiente foto dice image file details , vemos que dice local name 
que es donde esta almacenada la imagen , data integrity o integridad de datos le 
podemos calcular el valor de la imagen de disco , ignoramos el valor hash a esa 
imagen de disco si queremos o le damos add the following MD5 hash value for 
this image ,por si queremos colocarle un valor hash para proteger la integridad de 
la imagen , por ahora le vamos a dar ignore the hash for this image , luego 
donde dice file system details miramos la partición de la imagen , entoces 
vamos a dar clic en add: 
 
Ahora le damos clic en ok para agregar la imagen de la evidencia al caso: 
 
 
 
Si vemos esta foto que viene le damos clic donde dice c:/ flashevidencia.dd-63-
2511775 , que es la imagen a analizar , luego le damos clic donde dice analyze: 
 
Si vemos esta foto que viene, le damos clic donde está el recuadro borde azul 
que dice file analysis, para empezar el proceso de análisis de la evidencia: 
 
Como podemos ver en esta foto que viene a continuación vemos los diversos 
archivos de la imagen de disco y sus características, los que están en rojo son los 
que están borrados, si damos clic donde está el recuadro azul donde dice all 
deleted files, para ver archivos los archivos borrados, ver siguiente foto: 
 
 
 
 
Ahora si vemos esta foto, dentro de esta en el recuadro de borde verde podemos 
los archivos borrados más recientes, cuando fueron escritos (writen) , accedidos 
(accesed) , creados (created): 
 
Ahora si vemos esta foto podemos ver en el recuadro azul los archivos borrados 
más antiguos si seguimos bajando: 
 
Si vemos la siguiente foto , vemos el recuadro de borde verde donde dice expand 
directories o ampliar directorios podemos ver todos los archivos: 
 
 
 
Ahora si le damos clic donde está el recuadro borde azul en esta foto donde dice 
meta data nos permite analizar los metadatos de la imagen de disco a analizar, si 
le damos clic donde esta el recuadro borde rojo donde dice filetype podemos 
saber las características o tipos de archivos de la imagen de disco , si damos clic 
en image details donde está el recuadro de borde naranja podemos tener mas 
detalles de la imagen de disco: 
 
Si vemos la imagen con detalle en la parte de abajo sale información cuando le 
damos clic en meta data, ahora si le damos clic algún número sale lo 
siguiente: 
 
Vemos en esta foto de arriba características de los metadatos de archivos,si le 
damos close vamos al menú principal donde dice file activity time line , podemos 
crear la línea de tiempo de la evidencia : 
 
Si vemos esta foto en detalle podemos ver los pasos para crear la linea de tiempo 
de la evidencia, primero le damos clic donde dice create data file, seguimos los 
pasos que nos indiquen , luego le damos clic create timeline y llenamos los 
campos que nos pidan y por ultimo para ver la linea de tiempo le damos clic en 
view timeline , si queremos agregar notas a la investigación le damos clic en view 
notes. 
 
 
 
Aquí podemos observar la linea de tiempo del caso o imagen de disco 
investigada empezando de lo mas antiguo y si bajamos vemos lo mas 
reciente. 
Bueno esto es una guía básica para usar autopsy en caine y espero que sea 
de utilidad para todos y sirva de guía para analizar los casos de informática 
forense aplicando cada una de las fases y metodologías vistas durante el 
curso.