6 USO DEL AUTOPSY_INFORMATICA FORENSE

Vista previa del material en texto

ING.GILBERT JAIR SANCHEZ AVILA-INFORMATICA FORENSE-
ESPECIALIZACIÓN SEGURIDAD INFORMATICA UNAD 
USO DEL AUTOPSY 
Para empezar una vez descargada la aplicación procederemos a instalar y nos 
sale la siguiente imagen: 
 
Le damos next y procedemos con los parámetros de instalación que nos vaya ir 
pidiendo el sistema en la imagen siguiente vemos la ruta de instalación del 
programa, queda por defecto instalado en la raíz C del disco duro por defecto: 
 
Le damos next , nos sale un resumen de la instalacion y al seguirle dando next 
pues vemos la barra que nos indica que el programa se esta instalando: 
 
Una vez instalado nos sale el siguiente cuadro de dialogo, le damos clic en create 
new case: 
 
 
 
Una vez hecho eso colocamos el nombre del caso en case name, elegimos el 
directorio base o base directory donde guardaremos el caso y le damos next, ver 
siguiente imagen: 
 
Luego nos sale una ventana donde colocamos el número del caso o case number 
y el nombre del investigador o examiner: 
 
Si vemos esta imagen con mas detalle donde dice select source type to add 
,escogemos la opción de image file para poder probar la imagen dada en la 
práctica , mas abajo donde dice browse for an image file nos indica la ruta de la 
imagen , si le damos clic al botón que dice browse podemos buscar donde 
tenemos la imagen guardada a examinar , mas abajo sale la zona horaria 
,buscamos la respectiva imagen y una vez buscada le damos next : 
 
Si vemos la imagen que viene el programa configura los módulos de búsqueda o 
lo que se quiere buscar en la imagen de disco a analizar como recent activity o 
actividad reciente de los archivos, file type identification o identificación del tipo 
de archivos, hash lookup o archivos con tablas de encriptación, claves o 
keyword search , extensión mismatch detector o detector de archivos iguales 
,archivo extractor o extracción de archivos entre otros y le damos next : 
 
 
Si vemos esta imagen en la esquina inferior derecha vemos que el programa está 
analizando la imagen de disco: 
 
 
 
Si vemos esta imagen donde está la flecha con borde rojo donde dice 
flashevidencia.dd esa es la imagen de disco que vamos analizar, si le damos clic 
en el símbolo(+) veremos lo que contiene esa imagen en detalle: 
 
 
 
Vamos a ver la imagen siguiente con detalle: 
Donde esta la flecha verde esta el símbolo views o vistas, si le damos al signo 
(+) vemos que salemas abajo unas carpetas donde están almacenadas las 
imágenes , videos , archivos , audio , donde está el rectángulo de borde rojo 
vemos cuales archivos están borrados , en el rectángulo azul de mas abajo 
vemos que hay 3 archivos de correo del mismo tipo y en la parte de la derecha 
donde está el rectángulo de borde azul alargado vemos información de ese tipo 
de archivos: 
 
Ahora veamos la imagen siguiente: 
Si vemos la imagen donde está el rectángulo de borde rojo hay nos mostrara 
más información de los archivos como modified file o tiempo en que fue 
modificado, acces time o tiempo de acceso, file path ruta de la carpeta donde 
están: 
 
Ahora si vemos esta imagen veremos carpetas donde están contenidos diversos 
archivos de la evidencia: 
 
 
Aquí en esta imagen veremos con más detalle la evidencia, ver rectángulo de 
borde rojo con más detalle: 
 
 
 
Si vemos esta imagen (ver en detalle el rectángulo borde naranja donde sale un 
triangulo de advertencia) vemos un resumen de la actividad hecha por el sistema: 
 
En esta imagen veamos donde está el rectángulo azul aquí nos muestra los 
archivos o acciones recientes, donde está el rectángulo borde rojo nos muestra 
propiedades como location o localización del archivo , modified time (fecha en la 
que fue modificado) , Access time (tiempo o fecha que fue accedido el archivo): 
 
 
Aquí si vemos donde está el rectángulo borde marrón dice acces time o tiempo 
de acceso al archivo, created time fecha en que fue creado, size o tamaño 
 
 
Archivos borrados: 
 
Vamos a ver con detalle la imagen siguiente pero antes voy a mencionar algunos 
aspectos a tener en cuenta: 
✓ donde está el rectángulo con borde verde nos indica los archivos 
eliminados que son 257 
✓ donde está el rectángulo con borde rojo donde dice metadata podemos 
ver característica de un archivo seleccionado donde esta el rectagulo azul, 
ese fue el archivo borrado mas reciente y es del año 2008 y era una carpeta 
donde se almacenaba música y fue modificada a las 9:13:32 .2008-01-
05,fue creada 2008-01-05 con 9:13:31 y accedida el 2008-01-05 a las 
00:00:00 horas. 
 
Ahora si seguimos bajando vemos que el archivo borrado mas antiguo esta en la 
parte de abajo y lo demarcamos con el rectángulo rojo alargado y en el rectángulo 
con borde verde vemos sus datos de modificación, acceso , encriptación MD5 y el 
ID interno del archivo que es 314 o sea que es muy antiguo, ver imagen siguiente: 
 
Ahora si le damos donde dice media podemos ver que era esta imagen una foto 
de un paisaje: 
 
 
 
Otras utilidades: 
Ahora si vemos esta imagen con detenimiento donde está el recuadro de borde 
verde donde dice thumbnail veremos las fotos o archivos multimedia que tiene la 
imagen de disco a analizar , donde esta el recuadro azul podemos agregar un 
origen de datos (add data source) que puede ser una imagen de disco(image 
file) , o la unidad C del computador (local disk) y configuramos como hicimos en 
un principio y en el recuadro borde rojo podemos generar un reporte del caso 
(generate report) en diversos formatos como Excel , html o texto plano: 
 
 Ahora si vemos el ovalo borde verde en la siguiente imagen donde dice tools 
podemos generar reporte , ejecutar una línea de tiempo (time line) o buscar un 
archivo con atributos (file search by atributes): 
 
 
Aquí en esta imagen podemos ver si le damos clic a la opción de tools y luego 
donde dice timeline: 
 
Esto fue una explicación de cómo se usa autopsy y más adelante 
resumiremos otras características y capacidades de esta herramienta para 
informática forense.