Ejecutando Autopsy
El programa autopsy corre en diversos sistemas operativos como Linux, Unix y hasta en el sistema operativo Microsoft.
Al ejecutar autopsy, inmediatamente se abre el navegador(browse), que debe estar configurado para navegar en line, es decir debemos deshabilitar la opción work offline, desde la barra de menú, opción archivo(ver figura 1) y de esta manera accedemos a la primera presentación de en case.
Iniciando el caso
Para iniciar por primera vez una recolección y análisis de evidencia digital, es importante previamente haber obtenido la réplica o imagen del disco donde reside la evidencia. Una vez iniciada la interfaz gráfica de autopsy, se procede a la creación de un nuevo caso.
Figura 2 Iniciando el caso.
Al dar click a newcase, se despliega un formulario para diligenciar los datos básicos del nuevo caso (Nombre del caso, descripción, investigador), como se observa en la siguiente figura.
Fig 3. Formulario de datos .
Agrando la Imagen Obtenida
Como se expresó al inicio de este manual, previamente se debe contar con una réplica o imagen bit a bit del disco donde reside la evidencia. Previamente hemos creado un archivo de imagen llamado imagen.dd, en la ubicación /adquisición/imagen.dd(Usando Guymager). Se introduce la ruta de ubicación y nombre del archivo, las demás opciones permanecen por defecto.
Figura 4 Obteniendo Imagen.
Recolectando evidencias para el análisis.
Una vez efectuado paso a paso los procesos anteriormente descritos, se obtienen los volúmenes que fueron encontrados en la imagen, para su respectiva exploración.
Figura 5. Volumenes encontrados
Al ingresar a la opción de análisis, podemos evidencia cada uno de los archivos tanto temporales, permanentes, eliminados o averiados, que residen en la imagen o replica extraída del medio de almacenamiento original.
Figura 6. Evidencias Obtenidas
Como se observa en la figura anterior, los archivos que no son permanentes o que han sido borrados, se encuentra en color rojo, los demás archivo de color azul son permanentes. Teniendo en cuenta que la cantidad de archivos encontrados en la imagen puede ser demasiadamente extensa, autopsy cuenta con una barra de menus, que tienen la opción de buscar archivos o evidencias, por palabras claves, iniciales, tipo de archivos, matadatos, sectores específicos del disco y otras series de opciones, que permiten optimizar al máximo la búsqueda de evidencia.
Como ejemplo del uso de opciones para la búsqueda de archivos, introduciremos una palabra clave como “boot”.
Figura 7 Busqueda de evidencia por palabra clave
Autopsy genera una lista con todos los resultados encontrados, en nuestro caso 64 y como podemos observar en la siguiente figura, se ha encontrado información que contiene la palabra clave boot.
Figura 8. Evidencia encontrad por palabra clave
Analizando Metadatos
Los metadatos son un conjunto de datos del dato, es decir una información acerca del dato o archivo localizado como evidencia. Estos almacenan características relevantes como el nombre, la fecha y hora de creación, longitud, tamaño y otros atributos relevantes en una investigación.
Figura 9 Análisis de Metadato
Generando Reportes
Por cada evidencia encontrada Autopsy genera un completo reporte sobre el estado, atributos, características y contenido de dicha evidencia. Estos reportes son de gran ayuda en el momento del análisis de la evidencia y como elemento probatorio, en caso de que exista un proceso legal llevado a juicio. El reporte permite visualizar el estado de MD5 y SHDA1, con el fin de comprobar que la evidencia examinada desde una copia no ha sido modificada o alterada con respecto a la evidencia que reside originalmente.
