Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
ING.GILBERT JAIR SANCHEZ AVILA-INFORMATICA FORENSE- ESPECIALIZACIÓN SEGURIDAD INFORMATICA UNAD USO DEL AUTOPSY EN CAINE Una vez instalado caine en la maquina virtual, procedemos a ejecutar el programa de autopsy, lo buscamos en menú donde dice forensy tools, dice autopsy 2.24 , le damos clic y nos sale la siguiente imagen : Esto nos indica que el proceso y el programa se va ejecutando como interfaz web , ver donde dice http://localhost:9999/autopsy y luego sale la interfaz web: http://localhost:9999/autopsy Si vemos la imagen anterior con detenimiento, le vamos a dar clic en new case para crear un nuevo caso (ver recuadro borde azul) ,ahora veamos esta imagen: Si la vemos con calma ahí le colocamos el nombre del caso y la descripción y le damos clic donde dice new case, ahora veamos la siguiente imagen: Vemos en que directorio esta el caso y el archivo de configuración , luego le damos clic para agregar un host , donde dice add host , si vemos la imagen siguiente le colocamos un nombre al host , Un host o anfitrión es un ordenador que funciona como el punto de inicio y final de las transferencias de datos. Más comúnmente descrito como el lugar donde reside un sitio web, dejamos los otros parámetros como están y le damos clic en add host Ahora vamos agregar la imagen , una vez que se ha configurado el host le damos clic en add image , ver siguiente imagen: Ahora si vemos esta imagen le damos clic donde dice add image file (recuadro borde azul) , podemos decir si vemos esta foto que es la de menú principal de la interfaz web: En este caso yo Baje la imagen a analizar de la misma página UNAD donde está el link de la Práctica, y coloque el archivo en desktop o escritorio del sistema operativo caine, le damos clic derecho al archivo y en properties o propiedades vemos las características del archivo, miro donde dice location que es la ruta de ubicación del archivo. ver siguiente imagen: Porque revisamos la sección location de la imagen anterior, porque necesitamos la ruta del archivo, poder montarla (toca escribir la ruta como esta en la foto, donde dice location), dejamos el parámetro disk donde dice type ,donde dice import method dejamos el parámetro symlink como esta, luego damos clic en next , ver siguiente imagen: Si vemos la siguiente foto dice image file details , vemos que dice local name que es donde esta almacenada la imagen , data integrity o integridad de datos le podemos calcular el valor de la imagen de disco , ignoramos el valor hash a esa imagen de disco si queremos o le damos add the following MD5 hash value for this image ,por si queremos colocarle un valor hash para proteger la integridad de la imagen , por ahora le vamos a dar ignore the hash for this image , luego donde dice file system details miramos la partición de la imagen , entoces vamos a dar clic en add: Ahora le damos clic en ok para agregar la imagen de la evidencia al caso: Si vemos esta foto que viene le damos clic donde dice c:/ flashevidencia.dd-63- 2511775 , que es la imagen a analizar , luego le damos clic donde dice analyze: Si vemos esta foto que viene, le damos clic donde está el recuadro borde azul que dice file analysis, para empezar el proceso de análisis de la evidencia: Como podemos ver en esta foto que viene a continuación vemos los diversos archivos de la imagen de disco y sus características, los que están en rojo son los que están borrados, si damos clic donde está el recuadro azul donde dice all deleted files, para ver archivos los archivos borrados, ver siguiente foto: Ahora si vemos esta foto, dentro de esta en el recuadro de borde verde podemos los archivos borrados más recientes, cuando fueron escritos (writen) , accedidos (accesed) , creados (created): Ahora si vemos esta foto podemos ver en el recuadro azul los archivos borrados más antiguos si seguimos bajando: Si vemos la siguiente foto , vemos el recuadro de borde verde donde dice expand directories o ampliar directorios podemos ver todos los archivos: Ahora si le damos clic donde está el recuadro borde azul en esta foto donde dice meta data nos permite analizar los metadatos de la imagen de disco a analizar, si le damos clic donde esta el recuadro borde rojo donde dice filetype podemos saber las características o tipos de archivos de la imagen de disco , si damos clic en image details donde está el recuadro de borde naranja podemos tener mas detalles de la imagen de disco: Si vemos la imagen con detalle en la parte de abajo sale información cuando le damos clic en meta data, ahora si le damos clic algún número sale lo siguiente: Vemos en esta foto de arriba características de los metadatos de archivos,si le damos close vamos al menú principal donde dice file activity time line , podemos crear la línea de tiempo de la evidencia : Si vemos esta foto en detalle podemos ver los pasos para crear la linea de tiempo de la evidencia, primero le damos clic donde dice create data file, seguimos los pasos que nos indiquen , luego le damos clic create timeline y llenamos los campos que nos pidan y por ultimo para ver la linea de tiempo le damos clic en view timeline , si queremos agregar notas a la investigación le damos clic en view notes. Aquí podemos observar la linea de tiempo del caso o imagen de disco investigada empezando de lo mas antiguo y si bajamos vemos lo mas reciente. Bueno esto es una guía básica para usar autopsy en caine y espero que sea de utilidad para todos y sirva de guía para analizar los casos de informática forense aplicando cada una de las fases y metodologías vistas durante el curso.
Compartir