Autopsy 4 permite realizar una investigación forense digital. Es una interfaz gráfica para The Sleuth Kit y otras herramientas.

Las características principales de Autopsy 4 incluyen: importar fuentes de datos (imagen, disco, archivos) y explorar estos sistemas de archivos, ejecutar módulos de análisis (asimilación), visualizar resultados de asimilación, visualizar contenido y generar reportes.

Autopsy 4 es una aplicación ampliable, proporciona un framework el cual permite a otros proporcionar plug-ins y proveer asimilación adicional de la imagen y archivo para nuevos tipos de análisis, visores de contenido variado y diferentes tipos de reportes. Estos plug-ings para varios módulos de asimilación, visores y reportes son incluidos por defecto con Autopsy 4.

Todos los datos están organizados alrededor del concepto de un caso. Un caso puede tener cargada uno o más fuentes de datos en él. A continuación se detalla el procedimiento para la creación de un caso en Autopsy 4.

Ejecutar Autopsy 4, para luego hacer clic en la opción “Create New Case” o Crear Nuevo Caso.

Ingresar la información del nuevo caso. Nombre del caso, directorio base, tipo de caso (usuario único o múltiples usuarios), y el directorio en el cual se almacenarán los datos del caso. Luego hacer clic en el botón “Next” o Continuar.

Opcionalmente ingresar el número del caso, y el nombre del examinador. Luego hacer clic en el botón de nombre “Finish” o Finalizar.

El asistente solicitada ingresar la información sobre la fuente de datos. El tipo de fuente de datos a agregar, para nuestro caso será “File Image” o un Archivo de Imagen. Definir la ubicación del archivo de imagen. Seleccionar la zona horario de la entrada. Y adicionalmente se puede optar por ignorar o no los archivo huérfanos en caso se trate de un sistema de archivos FAT, lo cual puede dar resultados más rápidos, pero algunos datos podrían no ser buscados. Hacer clic en el botón “Next” o Continuar.

El asistente ahora solicita configurar los módulos de asimilación los cuales se ejecutarán sobre la fuente de datos. También se puede optar por procesar o no el espacio sin asignar. Luego hacer clic en el botón “Next” o Continuar.

La fuente de datos ha sido añadida a la base de datos local. Y los archivos están siendo analizados. Hacer clic en el botón de nombre “Finish” o Finalizar.

El caso ha sido creado satisfactoriamente y la fuente de datos ha sido añadida correctamente. Ahora es factible iniciar el análisis forense utilizando Autopsy 4.

Fuentes:

http://www.sleuthkit.org/autopsy/
http://sleuthkit.org/autopsy/docs/user-docs/4.0/quick_start_guide.html