PDF de programación - Autopsy 3

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético & Informática Forense

Traducido por:
Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético e Informática Forense

Correo Electrónico: [email protected]
Sitio Web: http://www.reydes.com

Versión 1.6 – Abril del 2015
Versión 1.5 – Diciembre del 2013
Versión 1.0 – Noviembre del 2013

Puede obtener la versión más actual de este documento en: http://www.reydes.com/d/?q=node/2

Sitio Web: www.ReYDeS.com -:- e-mail: [email protected] -:- Teléfono: 949304030 -:- @Alonso_ReYDeS

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético & Informática Forense

Autopsy 3

Toda la información presentada a continuación, ha sido traducida de la información oficial en inglés
sobre Autopsy 3, la cual ha sido publicada en las siguientes página:

http://www.sleuthkit.org/autopsy/

Autopsy es una plataforma digital forense e interfaz gráfica para The Sleuth Kit y otras
herramientas digitales forenses. Puede ser utilizada por fuerzas del orden, militares, y examinadores
corporativos para investigar lo ocurrido en una computadora. Aunque también se puede utilizar para
recuperar las fotos desde la tarjeta de memoria de una cámara digital.

1. Facilidad de Uso

Autopsy ha sido diseñado para ser intuitivo. Su instalación es sencilla y un asistente guía a través de
cada paso. Todos los resultados se encuentran en un único árbol.

Intuitivo

Las herramientas de forense digital deben ser intuitivas y accedibles, de tal manera puedan ser
utilizadas efectivamente por investigadores no técnicos. Autopsy 3 utiliza asistentes para ayudar a
los investigadores a conocer cual es el siguiente paso, utiliza técnicas comunes de navegación para
ayudar a encontrar resultados, e intenta automatizar tanto como sea posible para reducir errores.

Varias características fueron añadidas para asegurar que Autopsy sea sencillo de utilizar para
usuarios no técnicos.

• Los Asistentes son utilizados en varios lugares para guiar al usuario a través de pasos

comunes.

• El Historial es mantenido de tal manera el usuario pueda utilizar los botones de adelantar o

retroceder para volver hacia atrás después de haber seguido una ruta de investigación.

• Las Configuraciones Previas son algunas veces salvadas con los módulos de tal manera se

pueda más fácilmente analizar la siguiente imagen con los mismos ajustes de la última
imagen.

La vista por defecto de Autopsy es una sencilla interfaz donde todos los resultados del análisis
pueden ser siempre encontrados en un único árbol sobre el lado izquierdo. Cuando el examinador
está buscando algo, puede inmediatamente revisar el árbol. No debe ir a través de menús o capas de
pestañas para encontrar la información.

Autopsy trata de no ser invasivo con popups y mensajes desde las tareas en segundo plano en

Sitio Web: www.ReYDeS.com -:- e-mail: [email protected] -:- Teléfono: 949304030 -:- @Alonso_ReYDeS

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético & Informática Forense

ejecución. La motivación para esto es enfocarse sobre una ruta de investigación basado en alguna
actividad web o resultados de búsquedas de palabras clave. El enfrentar mensajes desde los
módulos de asimilación en segundo plano, podría distraer la atención. La bandeja de Entrada de
Asimilación es donde los módulos envían mensajes. Se puede abrir la bandeja de entrada cuando se
esté listo para ver los resultados, revisar lo encontrado desde su última apertura, y seleccionar en
cuales resultados empezar a enfocarse.

2. Ampliable

Autopsy ha sido diseñado para ser una plataforma con módulos los cuales vienen incluidos y otros
están disponible desde terceros. Algunos de estos módulos proporcionan:

• Análisis de Cronología: Una avanzada interfaz gráfica para visualizar eventos.

•

Filtrado de Hash: Se marcan los archivos conocidos como dañinos y se ignoran los
conocidos como buenos.

• Búsqueda de Palabra Clave: Búsqueda indexada de palabras clave para encontrar archivos

mencionando términos relevantes.

• Artefactos Web: Extraer historial, marcadores, y cookies desde Firefox, Chrome, e IE.

• Minería de Datos. Recupera archivos borrados desde el espacio sin asignar utilizando

Photorec.

• Multimedia: Extraer EXIF desde imágenes y visualiza videos.

•

Indicadores de Compromiso: Escaneo una computadora utilizando STIX.

Se recomienda revisar la página de características para mayor información. Los desarrolladores
deben referirse a la página de desarrollo de módulos para detalles sobre la construcción de módulos.

2.1 Análisis de Cronología

El análisis de la cronología es muy útil para una variedad de tipos de investigación y es
frecuentemente utilizado para responder preguntas sobre cuando una computadora fue utilizada o
cuales eventos ocurrieron antes o después de un evento dado. Autopsy contiene una interfaz
avanzada de cronología construida con financiamiento de DHS S&T. Pone la información sobre las
marcas de tiempo desde los siguientes lugares.

• Archivos
• Artefactos Web
• Otros datos extraídos por Autopsy, como EXIF y GPS

Sitio Web: www.ReYDeS.com -:- e-mail: [email protected] -:- Teléfono: 949304030 -:- @Alonso_ReYDeS

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético & Informática Forense

Tiene dos modos de visualización. El primero es un gráfico de barras lo cual responde a preguntas
sobre la ocurrencia de la cantidad de datos en un marco de tiempo dado. Esta interfaz es menos
detallista sobre lo ocurrido, pero más sobre cuanto ocurrió.

La segunda interfaz proporciona detalles sobre los eventos. Tiene una única aproximación de juntar
los eventos similares en racimos para prevenir la sobrecarga de datos. Varias cronologías podrían
abrumar al usuario cuando proporcionan datos desde diversas fuentes debido a ser mucho más del
sentido común. Autopsy tiene una única aproximación de eventos en racimos de tal manera por
ejemplo todos los archivos en la misma carpeta son mostrados como un evento único y todas las
URLs del mismo dominio son mostrados como un único evento. Si el usuario requiere visualizar
más detalles sobre un carpeta o dominio, se puede hacer un acercamiento. De otra manera estará
oculto.

Sitio Web: www.ReYDeS.com -:- e-mail: [email protected] -:- Teléfono: 949304030 -:- @Alonso_ReYDeS

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético & Informática Forense

Sin importar el modo de visualización, se puede visualizar el contenido del archivo en una
diversidad de visores y tener acceso completo a las habilidades de etiquetado desde Autopsy.

Una pregunta común es si se integrará con Plaso. La respuesta corta es Si. La respuesta larga es la
necesidad de realizar algo más de investigación primero, debido a la aproximación de utilizar
racimos para agrupar ítemes similares, lo cual actualmente no funciona para cualquier tipo de
entrada arbitraria lo cual podría obtenerse desde Plaso. Actualmente es una codificación difícil para
los tipos de entrada producidos por Autopsy. Se está trabajando sobre una aproximación de racimos
más avanzada, aunque se puede aprovechar el soporte de interpretación desde Plaso.

2.2 Indexación y Búsqueda de Palabras Clave

Autopsy utiliza el poderoso motor de indexación Apache SOLR para dar poder a la velocidad y
robustez a las características de búsquedas de palabras claves. Las listas predefinidas de palabras
claves y expresiones regulares pueden ser configuradas para ejecutarse mientras la imagen está
siendo asimilada. Por defecto, Autopsy incluye expresiones regulares de búsqueda para:

• Direcciones de correo electrónicos
• Número de teléfono
• Direcciones IP
• URLs

Además, las búsquedas de palabras claves ad-hoc pueden ser ejecutadas directamente desde la barra
de contenido durante una investigación después (o durante) la asimilación de la imagen del disco.
Pueden ser ejecutados múltiples búsquedas concurrentes de palabras clave contra el indice de

Sitio Web: www.ReYDeS.com -:- e-mail: [email protected] -:- Teléfono: 949304030 -:- @Alonso_ReYDeS

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético & Informática Forense

búsqueda.

En lugar de buscar datos en bruto, la búsqueda de palabras clave en Autopsy es desempeñada sobre
la salida de los módulos de extracción de texto. Autopsy utiliza Tika y otras librerías para extraer
texto desde HTML, Microsoft Office, PDF, RTF y demás. Esta aproximación es más efectiva para
encontrar texto comparado con la búsqueda a nivel de byte para archivos PDF y docx los cuales no
están en inglés donde los datos están comprimidos.

Cualquier resultado de las búsquedas habilitadas (expresiones regulares o listas definidas de
usuario), aparecerán en el nodo de “Coincidencias de palabras” en el árbol de navegación de
Autopsy.

Gracias a Apache SOLR, todos los archivos identificados por Autopsy conteniendo texto en ellos
serán indexados para búsqueda ya sea mediante listas de expresiones regulares predefinidas, listas
de palabras claves definidas por el usuario, o consultas ad-hoc.

2.3 Análisis de Artefactos Web

Autopsy está configurado para buscar por artefactos web comunes de los principales navegadores
de la actualidad, incluyendo:

Firefox
•
• Chrome
•

Internet Explorer

Autopsy extrae la siguiente información y lo publica en la pizarra:

• Marcadores
• Cookies
• Historial
• Descargas
• Consultas de Búsqueda

Para facilitar el encontrar estos datos, los resultados desde todos los navegadores son mezclados
juntos. De esta manera, si se desea ver el historial del usuario, se debe ir al nodo historial. No se
necesita ir a través de las carpetas de los diferentes navegadores antes de encontrar el historial.

Todos los resultados son categorizados y se muestran automáticamente en la vista de árbol de
Autopsy bajo el nodo Resultados. Esta característica proporciona al investigador acceso rápido y
automático a los detalles a nivel de la aplicación de lo hecho por el usuario mediante los
navega