domingo, 2 de octubre de 2016

Autopsy - Herramienta Forense Open Source - CÓMPUTO FORENSE CON OPEN SOURCE




Esta vez queremos compartir la potencia de Autopsy, que es una herramienta para el computo forense.

Es Open Source y es un excelente ejemplo en donde el OpenSource puede tener una gran calidad.

La versión 4 en su version para windows cuenta con una muy buena interface gráfica, es posible descargarlo desde la siguiente URL: http://www.sleuthkit.org/autopsy/download.php , también existen versiones para linux y mac.

Data Source

Su uso es muy sencillo solo hay que agregar un archivo forense, acepta diversos tipos de archivos forenses.



Módulos

Dentro de lo mas util de esta herramienta se encuentran los módulos, los cuales nos han sido muy utiles, estos módulos incorporados son:

  • Resent Activity
    • Extrae la actividad resiente del usuario, buscando y analizando diversos artefactos de navegadores, programas y sistema operativo.
  • Hash Lookup
    • Para la identificación de archivos mediante HASH, es util para cuando se busca encontrar un archivos previamente identificados y buscarlos dentro de la imagen forense
  • File type Identification
    • Identifica los archivos mediante un análisis de estructura interna y no por su extensión, lo cual es util si es que se cambio la extensión de un archivo confundir el análisis.
  • Embebed File Extractor
    • Busca dentro de archivos zip y office para mostrar las imágenes o archivos embebidos, esto ayuda para no estar abriendo archivo por archivo para ver las imágenes y archivos que contiene.
  • Exif Parser
    • Extracción de la metadata de los archivos, lo cual es util para obtener los autores, cámaras, coordenadas GPS, y otra información sumamente util durante el analisis.
  • Keyword Search
    • Busca en la imagen forense a partir de un diccionario de texto para encontrar archivos o textos relacionados con el caso, para encontrar archivos sospechosos.
  • Email Parser
    • Los emails generalmente se guardan dentro de bases de datos, de los que hay que extraer los correos electrónicos, este modulo ayuda en esa tarea.
  • Extension Mismatch Detector
    • Ayuda a identificar cambios de extensión.
  • E01 Verifier
    • Verifica el checksum
  • Android Analyzer
    • Identifica y parsea artefactos comunes en imágenes Android
  • Interesting File Identifier
    • Se puede generar alertas para que nos envíe un mensaje cuando encuentre algo que estábamos buscando mientras realiza el procesamiento de la imagen
  • PhotoRec Carver
    • Realiza data recovery de la imagen para encontrar archivos eliminados.
Con tan solo el procesamiento de estos módulos podemos hacer un triage de la imagen forense, para realizar un análisis mas a fondo.


Existen otros módulos muy interesantes externos, los cuales se pueden ver desde la wiki: http://wiki.sleuthkit.org/index.php?title=Autopsy_3rd_Party_Modules



Time Line


Dentro del análisis forense es muy importante todo lo relativo a las fechas, es por ello que algo que siempre se aprecia en este ámbito es una linea de tiempo que ayude a hacer un análisis.

Conclusión:

Autopsy es una de nuestras herramientas favoritas, para asuntos complejos así como sencillos ha demostrado ser muy util, ya sea como punto de partida para hacernos una idea de la información contenida dentro de una imagen forense (hacer un triage) y para realizar un análisis de la información.




Publicadas por a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)