Post27 nn

Plataforma de análisis forense para imágenes de discos duros (Autopsy)


Charly face
José Guzmán

Informática Forense



Autopsy, es un software que se utiliza para el análisis forense de imágenes de discos duros, es una herramienta que funciona en diferentes sistemas operativos, como:

Linux, Window, Mac OSx y Free BSD.

Está creada en lenguaje Perl y actualmente tiene la versión en código JAVA. Esta plataforma de análisis forense digital es usada por gobiernos y entidades públicas como privadas, fuerzas de seguridad como policías y militares, profesionales y peritos informáticos para investigar lo ocurrido en un ordenador después de algún incidente (como un ataque o una falla), intentando recuperar archivos o buscar manipulaciones del sistema.



Nota: Si desea descargar e instalar esta herramienta en Windows se les deja el siguiente enlace:

http://www.solvetic.com/descargas/file/858-autopsy/



Ahora, procedemos a instalar Autopsy en Linux, abrimos una terminal y escribimos lo siguiente:

  1. Instalar el framework TSK (The Sleuth Kit)


    sudo apt-get install sleuthkit



El framework TSK contiene el conjunto de librerías y módulos que se pueden utilizar para desarrollar plugins y comandos para pericias de informática forense.


  1. Instalar Autopsy


sudo apt-get install autopsy



  1. Para iniciar la herramienta, escribir en el terminal: sudo autopsy



  1. Paso siguiente, ir al navegador y escribir: http://localhost:9999/autopsy , esto hará que Autopsy funcione como un servidor mientras se está ejecutando.






  1. Procedemos a crear un nuevo caso: New Case


Autopsy nos permite organizar el análisis de las diferentes imágenes de diferentes discos duros por casos, en los cuales tendremos la opción de colocar:


Nombre del caso (Case Name): En este caso, se colocó “TestCompany”

Descripción del caso (Description): En este caso, se colocó “Recuperar Archivos” Nombre de los Investigadores (Investigator Names): En este caso, se colocó “Joseph King”


NOTA: El nombre del caso no debe contener espacios ya que, se convertirá en una carpeta donde se almacenará la información recolectada de la investigación.



  1. Luego procedemos a hacer clic en el botón “New Case”


Donde se nos muestra información de que la carpeta ha sido creada para el caso y sus configuraciones.



  1. Ahora, hacer clic en “Add Host” para colocar los detalles del host que se va a analizar posteriormente




En esta ventana, se nos permite colocar:


Nombre del Host (Name Host): para este caso, se colocó “DiscoXP”


Descripción del Host (Description): para este caso, se colocó “Disco de la compañia”


También, se permite escribir la hora, por lo general la toma del sistema, pero si te encuentras en otro país o no tienes configurada bien la hora de tu ordenador, te permite colocar el desfase.




  1. Ahora, hacemos clic en “Add Host”



Mostrándonos que se ha creado el directorio para este host dentro de la carpeta del caso creado con anterioridad.


  1. Ahora procedemos a hacer clic en “Add Image”




En esta ventana, si tuviéramos algunos hosts creados con anterioridad aparecería una lista de los mismo.


  1. Procedemos hacer clic en “Add Image File”


Para este caso, utilizamos una imagen de un disco duro de prueba que se descargó de la siguiente ruta:  http://dftt.sourceforge.net/test7/index.html


NTFS Undelete: Esta imagen es un sistema de archivos NTFS de 6MB con ocho archivos borrados, dos directorios eliminados y una secuencia de datos alternativa eliminados. No hay estructuras de datos ya que fueron modificados para frustrar la recuperación.


NOTA: Si desean descargar imágenes para aprender a manejar mejor la herramienta les dejo el siguiente link: http://dftt.sourceforge.net/


También, se puede crear una imagen de nuestro disco, utilizando en primera instancia


Sudo fdisk -l  Nos mostrará las particiones que tenemos en el disco duro


Y luego para realizar una copia exacta de la partición deseada, utilizamos o escribimos:


dd if = /dev/partición_a_copiar of = /home/directorios/copia-de-la-partición.img


Una vez descargada la imagen a utilizar para el análisis, buscamos el archivo con extensión .dd y copiamos la ruta del mismo



La escribimos en el cuadro de texto donde dice “Location”



En este caso cómo estamos trabajando con una partición, seleccionamos “Partition”

y donde dice: “Import Method”


Si colocamos “Symlink” pudiéramos tener problemas en dañar la imagen original, por eso seleccionamos “Copy” para que se cree una copia del mismo donde podamos trabajar sin problemas.


  1. Hacemos clic en “Next” y se nos muestra la siguiente ventana


En esta ventana, tenemos la opción de calcular o ignorar la integridad de la imagen mediante checksum MD5 y luego procedemos hacer clic en “ADD”.


  1. La ventana que se nos muestra a continuación nos dice que el disco o el host ha sido creado exitosamente y hacemos clic en “OK”.



  1. Ahora, procedemos a analizar el dico comprometido, entonces, seleccionamos el disco o el host pertinente y hacemos clic en “Analyze”.


  1. Se nos muestra esta ventana de que comenzó el análisis.



  1. Hacemos clic en “Image Details” (Detalles de la imagen)



Aquí, podemos observar que estamos trabajando sobre una partición NTFS con un sistema operativo Windows XP, nos muestra también el tamaño del disco y demás detalles de los sectores.



  1. Hacemos clic en “File Analysis” y se nos mostrará una ventana que contiene la estructura de archivos y directorios que se encuentran en el disco analizado.




Al moverse por los directorios que nos muestra la herramienta, encontramos uno con nombre “Boot” que contiene los log de arranque de esa partición, al hacer click en el mismo, se nos mostraran opciones de cómo queremos verlos, como ASCII, hexadecimal o texto, dándonos también la opción de exportar dicho archivo para su posterior análisis.



Aquí podemos observar que ocurrió un error o no se encuentra el archivo NTDLR, el archivo NTLDR de Windows XP, es un componente esencial del sector de arranque, si el mismo se encuentra dañado, el ordenador no se iniciará, no terminará de arrancar.


  1. Al hacer clic en “dir” en la columna de “Type” nos mostrará los archivos que han sido eliminados



  1. Al finalizar el análisis del disco comprometido, procedemos a cerrar el host y a cerrar el caso para un posterior uso o análisis si se llega a requerir.







Con esto podemos observar que la herramienta nos permite identificar y descubrir información relevante en fuentes de datos que se encuentran en la imagen de un disco que ha sido comprometido.



Artículos que te pueden interesar


Wordpress es uno de los CMS más utilizado a nivel mundial cuenta con 37% del mercado de todos los sitios web en el mundo según Kinsta, uno de lo... José Moreno


Continuar Leyendo

Compartiendo con unos colegas del grupo Purple Team UTP al cual pertenezco, hemos estado desarrollando una investigación sobre herramientas que ... José Moreno


Continuar Leyendo

Este articulo pretende desarrollar el uso de Enum4linux para realizar la enumeración de información a través del Protocolo SMB a un equipo en Wi... Cristian Jose Acuña Ramirez


Continuar Leyendo