Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
Vista previa del material en texto
ING.GILBERT JAIR SANCHEZ AVILA-INFORMATICA FORENSE- ESPECIALIZACIÓN SEGURIDAD INFORMATICA UNAD USO DEL AUTOPSY Para empezar una vez descargada la aplicación procederemos a instalar y nos sale la siguiente imagen: Le damos next y procedemos con los parámetros de instalación que nos vaya ir pidiendo el sistema en la imagen siguiente vemos la ruta de instalación del programa, queda por defecto instalado en la raíz C del disco duro por defecto: Le damos next , nos sale un resumen de la instalacion y al seguirle dando next pues vemos la barra que nos indica que el programa se esta instalando: Una vez instalado nos sale el siguiente cuadro de dialogo, le damos clic en create new case: Una vez hecho eso colocamos el nombre del caso en case name, elegimos el directorio base o base directory donde guardaremos el caso y le damos next, ver siguiente imagen: Luego nos sale una ventana donde colocamos el número del caso o case number y el nombre del investigador o examiner: Si vemos esta imagen con mas detalle donde dice select source type to add ,escogemos la opción de image file para poder probar la imagen dada en la práctica , mas abajo donde dice browse for an image file nos indica la ruta de la imagen , si le damos clic al botón que dice browse podemos buscar donde tenemos la imagen guardada a examinar , mas abajo sale la zona horaria ,buscamos la respectiva imagen y una vez buscada le damos next : Si vemos la imagen que viene el programa configura los módulos de búsqueda o lo que se quiere buscar en la imagen de disco a analizar como recent activity o actividad reciente de los archivos, file type identification o identificación del tipo de archivos, hash lookup o archivos con tablas de encriptación, claves o keyword search , extensión mismatch detector o detector de archivos iguales ,archivo extractor o extracción de archivos entre otros y le damos next : Si vemos esta imagen en la esquina inferior derecha vemos que el programa está analizando la imagen de disco: Si vemos esta imagen donde está la flecha con borde rojo donde dice flashevidencia.dd esa es la imagen de disco que vamos analizar, si le damos clic en el símbolo(+) veremos lo que contiene esa imagen en detalle: Vamos a ver la imagen siguiente con detalle: Donde esta la flecha verde esta el símbolo views o vistas, si le damos al signo (+) vemos que salemas abajo unas carpetas donde están almacenadas las imágenes , videos , archivos , audio , donde está el rectángulo de borde rojo vemos cuales archivos están borrados , en el rectángulo azul de mas abajo vemos que hay 3 archivos de correo del mismo tipo y en la parte de la derecha donde está el rectángulo de borde azul alargado vemos información de ese tipo de archivos: Ahora veamos la imagen siguiente: Si vemos la imagen donde está el rectángulo de borde rojo hay nos mostrara más información de los archivos como modified file o tiempo en que fue modificado, acces time o tiempo de acceso, file path ruta de la carpeta donde están: Ahora si vemos esta imagen veremos carpetas donde están contenidos diversos archivos de la evidencia: Aquí en esta imagen veremos con más detalle la evidencia, ver rectángulo de borde rojo con más detalle: Si vemos esta imagen (ver en detalle el rectángulo borde naranja donde sale un triangulo de advertencia) vemos un resumen de la actividad hecha por el sistema: En esta imagen veamos donde está el rectángulo azul aquí nos muestra los archivos o acciones recientes, donde está el rectángulo borde rojo nos muestra propiedades como location o localización del archivo , modified time (fecha en la que fue modificado) , Access time (tiempo o fecha que fue accedido el archivo): Aquí si vemos donde está el rectángulo borde marrón dice acces time o tiempo de acceso al archivo, created time fecha en que fue creado, size o tamaño Archivos borrados: Vamos a ver con detalle la imagen siguiente pero antes voy a mencionar algunos aspectos a tener en cuenta: ✓ donde está el rectángulo con borde verde nos indica los archivos eliminados que son 257 ✓ donde está el rectángulo con borde rojo donde dice metadata podemos ver característica de un archivo seleccionado donde esta el rectagulo azul, ese fue el archivo borrado mas reciente y es del año 2008 y era una carpeta donde se almacenaba música y fue modificada a las 9:13:32 .2008-01- 05,fue creada 2008-01-05 con 9:13:31 y accedida el 2008-01-05 a las 00:00:00 horas. Ahora si seguimos bajando vemos que el archivo borrado mas antiguo esta en la parte de abajo y lo demarcamos con el rectángulo rojo alargado y en el rectángulo con borde verde vemos sus datos de modificación, acceso , encriptación MD5 y el ID interno del archivo que es 314 o sea que es muy antiguo, ver imagen siguiente: Ahora si le damos donde dice media podemos ver que era esta imagen una foto de un paisaje: Otras utilidades: Ahora si vemos esta imagen con detenimiento donde está el recuadro de borde verde donde dice thumbnail veremos las fotos o archivos multimedia que tiene la imagen de disco a analizar , donde esta el recuadro azul podemos agregar un origen de datos (add data source) que puede ser una imagen de disco(image file) , o la unidad C del computador (local disk) y configuramos como hicimos en un principio y en el recuadro borde rojo podemos generar un reporte del caso (generate report) en diversos formatos como Excel , html o texto plano: Ahora si vemos el ovalo borde verde en la siguiente imagen donde dice tools podemos generar reporte , ejecutar una línea de tiempo (time line) o buscar un archivo con atributos (file search by atributes): Aquí en esta imagen podemos ver si le damos clic a la opción de tools y luego donde dice timeline: Esto fue una explicación de cómo se usa autopsy y más adelante resumiremos otras características y capacidades de esta herramienta para informática forense.
Compartir