Análisis Básico utilizando Autopsy 4

  • Posted on: 15 August 2019
  • By: ReYDeS

Después de haber iniciado los módulos de asimilación para analizar las fuentes de datos, se visualizará la interfaz principal de análisis. Se puede seleccionar buscar elementos específicos, buscar carpetas específicas, o revisar los resultados de los módulos de asimilación.

Es factible iniciar con todas las técnicas de análisis utilizando la estructura de árbol ubicado en el lado izquierdo de Autopsy.

  • El nodo de Fuentes de Datos raíz muestra todos los datos del caso.
    • Los nodos de imágenes individuales muestran la estructura del sistema de archivos de las imágenes de los discos, o discos locales en el caso
    • Los nodos de Conjuntos de Archivos Lógicos muestran los archivos lógicos en el caso.
  • El nodo Vista muestra los mismos datos desde la perspectiva de un tipo de archivo o cronología
  • El nodo Resultado muestra la salida desde los módulos de asimilación.

Cuando se selecciona un nodo desde la estructura de árbol ubicado en el lado izquierdo de Autopsy, será mostrado un listado de archivos en la parte superior derecha. Se puede utilizar la vista en Miniaturas de la parte superior derecha para visualizar las imágenes. Cuando se seleccione un archivo de la parte superior derecha, su contenido será mostrado en la parte inferior derecha. Se pueden utilizar las pestañas ubicadas en la parte inferior derecha para visualizar el texto del archivo, una imagen o datos en hexadecimal.

Si se está visualizando archivos desde los nodos Vistas o Resultados, se puede hacer clic derecho en un archivo para ir hacia su ubicación en el sistema de archivos. Esta funcionalidad es útil para visualizar aquello lo cual un usuario almacenó en la misma carpeta del archivo el cual se está visualizando. También se puede hacer clic derecho en un archivo para extraerlo hacia el sistema local.

Si se requiere buscar por palabras claves simples, entonces se puede utilizar la caja de búsqueda ubicado en la parte superior derecha de Autopsy. Los resultados serán mostrados en una tabla ubicada en la parte superior derecha.

La estructura de árbol de la izquierda y la tabla de la derecha tienen una funcionalidad de búsqueda rápida, la cual puede ser utilizada para encontrar rápidamente un nodo visible.

Se pueden etiquetar (marcar) archivos arbitrarios, de tal manera sea factible encontrarlos de manera rápida posteriormente, o para incluirlos específicamente en el reporte.

Bandeja de Entrada de Asimilación

Conforme se avanza a través de los resultados en la estructura de árbol, los módulos de asimilación son ejecutados en segundo plano. Los resultados son mostrados en la estructura de árbol tan pronto como los módulos de asimilación los encuentran y los reportan.

La bandeja de entrada de asimilación recibe los mensajes desde los módulos de asimilación conforme encuentran los resultados. Se puede abrir la bandeja de entrada para ver aquello encontrado recientemente. Este mantiene un rastro de los mensajes leídos.

La utilización prevista para esta bandeja de entrada, es enfocarse en algunos datos por un tiempo y luego volver a revisar la bandeja de entrada en el momento conveniente. Se puede ver aquello lo cual se encontró mientras se estaba enfocado en una tarea previa. Se puede conocer como se encontraron archivos dañinos conocidos o el archivo encontrado es relevante para una palabra clave, y luego decidir enfocarse en esto por un tiempo.

Cuando se selecciona un mensaje, se puede luego ir hacia el árbol de Resultados donde serán encontrados más detalles, o saltar hacia la ubicación del archivo en el sistema de archivos.

Otras Interfaces de Análisis

Cronología

Esta cronología o línea de tiempo mostrará el sistema de archivos y otros eventos organizados por tiempo, utilizando diversas técnicas de visualización. Demandará algunos minuto crear la cronología para el análisis.

Galería de Imágenes

La Galería de Imágenes se enfoca en mostrar las imágenes y videos desde las fuentes de datos organizadas por carpetas. Mostrará los archivos tan pronto hayan sido “hasheados” y sus datos EXIF extraídos.

Comunicaciones

La interfaz Comunicaciones se enfoca en mostrar cuales cuentas se han comunicado más y cuales mensajes enviaron. Esto permite enfocarse en ciertas relaciones o comunicaciones dentro de un cierto rango de fechas.

Fuentes:

http://sleuthkit.org/autopsy/docs/user-docs/4.12.0/quick_start_guide.html
https://www.autopsy.com/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete