Luego de la creación de un caso o agregar manualmente una fuente de datos en Autopsy 4, este solicitará configurar los módulos de ingestión. Los módulos de ingestión se ejecutarán en segundo plano y realizarán tareas específicas. Los módulos de ingestión analizan archivos en un orden priorizado, de tal manera los archivos en un directorio de usuario sean analizados antes de los archivos ubicados en otras carpetas. Los módulos de ingestión pueden ser desarrollados por terceros. Los módulos de ingestión estándar incluidos en Autopsy 4 son:

Módulo de Actividad Reciente

Extrae actividad del usuario como el guardado por los navegadores web y el Sistema Operativo. También ejecuta RegRipper sobre la colmena del registro.

Módulo de Consultas a Base de Datos de Hash

Utiliza bases de datos de hash para ignorar archivos conocidos desde NIST NSRL y marca archivos conocidos dañinos. Utilizar el botón “Advanced” o Avanzado para añadir y configurar la base de datos de hash a utilizar durante este proceso. Se obtendrán actualizaciones sobre los aciertos de los archivos conocidos como dañinos conforme ocurre la ingestión. Luego se puede añadir bases de datos de hash mediante el menú “Tools -> Options ” o “Herramientas -> Opciones” en la interfaz de usuario principal. El indice de NIST NSRL puede ser descargado desde el sitio web de Autopsy 4.

Módulo de Identificación por Tipo de Archivo

Determina el tipo de archivo basado sobre firmas y los reporta basándose en el tipo MIME. Almacena los resultados en la pizarra y diversos módulos depende de este. Utiliza la librería de fuente abierta Tika. Se puede también definir tipos personalizados de archivos en “Tools, Options, File Types” o “Herramientas, Opciones, Tipos de Archivo”.

Modulo de Extracción de Archivos Incrustados

Abre archivos ZIP, RAR, otros formar de archivo, Doc, Docx, PPT, PPTX, XLS, y XLXS, además envía los archivos derivados desde estos archivos de retorno a través de la tubería de ingestión para su análisis.

Módulo Interprete EXIF

Extrae información EXIF desde archivos JPEG y envía los resultados dentro del árbol ubicado en la Interfaz de Usuario principal.

Módulo de Búsqueda de Palabras Clave

Utiliza una lista de palabras clave para identificar archivos con las palabras especificadas en ellos. Se puede seleccionar una lista de palabras para buscar automáticamente, y se puede crear nuevas listas utilizando el botón “Advanced” o Avanzado. Con las búsquedas de palabras clave, se puede siempre conducir búsquedas después de finalizada la ingestión. Las listas de palabras clave seleccionadas durante la ingestión serán buscadas en intervalos periódicos, y se obtendrán los resultados en tiempo real. No se necesita esperar por la indexación de todos los archivos antes de realizar una búsqueda de palabras clave, sin embargo únicamente se obtendrán resultados desde los archivos los cuales ya han sido indexados cuando se realice la búsqueda.

Módulo de Interpretación de Correos Electrónicos

Identifica formatos de archivo MBOX de Thunderbird y formato PST basándose en firmas de archivos, extrayendo los correos electrónicos desde estos, añadiendo los resultados hacia la pizarra.

Módulo Detector de No coincidencia de Extensión

Utiliza los resultados desde la identificación del tipo de archivo y marca los archivos teniéndo una extensión no asociada tradicionalmente con los tipos de archivos detectados. Ignora archivos “Conocidos” (NSRL). Se puede personalizar los tipos MIME y extensión por tipo MIME en “Tools, Options, File Extensión Mismatch” o Herramientas, Opciones, No Coincidencia de Extensión de Archivo.

Módulo Integridad de la Fuente de Datos

Calcula la suma de verificación sobre archivos E01 y los compara con la suma de verificación interna del archivo E01 para asegurar su coincidencia.

Módulo Analizador de Android

Permite interpretar ítemes comunes desde dispositivos Android. Coloca los artefactos dentro de la pizarra.

Módulo Identificador de Archivos Interesantes

Busca por archivos y directorios basándose sobre reglas especificadas por el usuario en “Tools, Options, Interesting Files” o “Herramientas, Opciones, Archivos Interesante”. Trabaja como un “Módulo de Alerta de Archivos”. Genera mensajes en la bandeja de entrada cuando se encuentran los archivos especificados.

Módulo Tallador Photorec

Reconstruye archivos desde el espacio sin asignar y los envía a través de la cadena de procesamiento

Módulo Motor de Correlación

Añade hashes de archivos y otras propiedades extraídas hacia un repositorio central para una correlación futura, y para resaltar previamente archivos notables.

Módulo Detector de Encriptación

Busca por archivos encriptados.

Módulo Extractor de Máquina Virtual

Extrae datos desde archivos correspondientes a máquinas virtuales.

Cuando se selecciona un módulo, se podrían tener opciones para cambiar sus ajustes. Por ejemplo configurar cuales listas de palabras claves utilizar durante la ingestión y cuales bases de datos utilizar.

Cuando los módulos de ingestión están ejecutándose en segundo plano, se visualizará una barra de progreso en la parte inferior. Se puede utilizar la Interfaz gráfica de usuario para revisar los resultandos entrantes y realizar otras tareas mientras se produce la ingestión a la misma vez.

Nota: Debido a la más recientes actualizaciones de Autopsy 4, esta publicación ha sido actualizada el 16 de agosto del año 2019.

Fuentes:

http://sleuthkit.org/autopsy/docs/user-docs/4.12.0/quick_start_guide.html
http://sleuthkit.org/autopsy/
https://github.com/keydet89/RegRipper2.8
https://sourceforge.net/projects/autopsy/files/NSRL/
https://www.nist.gov/software-quality-group/national-software-reference-...
https://tika.apache.org/
http://www.cgsecurity.org/wiki/PhotoRec