Análisis de la fuente de datos mediante autopsia

Sleuth Kit es una biblioteca y una colección de herramientas de línea de comandos que se utilizan para investigar imágenes de disco. Autopsy es el programa GUI para TSK. Los resultados de la búsqueda forense realizada sobre las imágenes se muestran aquí. Estos resultados ayudan al investigador a localizar secciones relevantes de datos en su investigación. Es utilizado por examinadores policiales, militares y corporativos para investigar las acciones que tuvieron lugar en la computadora de evidencia, sin embargo, también se puede usar para recuperar datos eliminados de dispositivos digitales.

Autopsy realiza operaciones en imágenes de disco que se pueden crear utilizando herramientas como FTK Imager. Aquí se utiliza una imagen ya creada. Puede descargar Autopsy desde aquí y la imagen de disco utilizada en este artículo desde aquí .

1. Primeros pasos

Abra Autopsy y cree un nuevo caso.

Haga clic en Finalizar después de completar ambos pasos.

2. Agregue una fuente de datos.

Seleccione el tipo de origen de datos apropiado.

• Imagen de disco o archivo de máquina virtual: incluye imágenes que son una copia exacta de un disco duro o una tarjeta de medios, o una imagen de máquina virtual.
• Disco Local: Incluye Disco Duro, Pendrive, tarjeta de memoria, etc.
• Archivos Lógicos. : incluye carpetas o archivos locales.
• Archivo de imagen de espacio no asignado : incluye archivos que no contienen un sistema de archivos pero que deben ejecutarse a través de ingesta.

La fuente de datos utilizada aquí es una imagen de disco. Agregue el destino de la fuente de datos.

Configurar módulos de ingesta.

Los módulos de ingesta determinan los factores para los cuales se analizarán los datos en la fuente de datos. Aquí hay una breve descripción de cada uno de ellos.

• Actividad reciente : descubra las operaciones recientes realizadas en el disco, por ejemplo, los archivos que se vieron por última vez.
• Búsqueda hash : identifica archivos usando valores hash.
• Identificación del tipo de archivo: identifique los archivos en función de sus firmas internas en lugar de solo las extensiones de archivo.
• Detector de discrepancias de extensión: identifique archivos cuyas extensiones se hayan manipulado/cambiado posiblemente para ocultar pruebas.
• Extractor de archivos integrados:  extrae archivos integrados como .zip, .rar, etc. y utiliza el archivo derivado para el análisis. Otro ejemplo podría ser una imagen PNG guardada dentro de un documento para que aparezca como un documento y así ocultar información crucial.
• Analizador EXIF ​​(formato de archivo de imagen intercambiable): se utiliza para recuperar metadatos sobre los archivos, por ejemplo, fecha de creación, geolocalización, etc.
• Búsqueda de palabras clave: Busque una palabra clave/patrón en particular en la fuente de datos.
• Analizador de correo electrónico: si el disco contiene algún tipo de base de datos de correo electrónico, por ejemplo, archivos pst/ost de Outlook, la información de estos archivos se puede extraer mediante un analizador de correo electrónico.
• Detección de cifrado: detecta e identifica archivos cifrados/protegidos con contraseña.
• Identificador de archivo interesante: establezcamos reglas personalizadas con respecto al filtrado de datos. Se notifica al examinador cuando se encuentran resultados relacionados con estas reglas.
• Motor de correlación: permite guardar propiedades y luego recuperarlas del repositorio central. Ayuda a mostrar propiedades correlacionadas.
• PhotoRec Carver: Recupera archivos, fotos, etc. del espacio no asignado.
• Extractor de máquinas virtuales: extraiga y analice cualquier máquina virtual que se encuentre en la fuente de datos.
• Integridad de la fuente de datos: calcula los valores hash y los almacena en la base de datos en caso de que aún no estén presentes. De lo contrario, verificará los valores hash asociados con la base de datos. 
• Plaso: Extrae la marca de tiempo para varios tipos de archivos.
• Analizador de Android: analice SQLite y otros archivos recuperados de un dispositivo Android.

Seleccione todo lo que sirva para el propósito de su investigación y haga clic en Siguiente. Una vez que se agrega la fuente de datos, haga clic en Finalizar. Tomará algún tiempo de búfer para extraer y analizar los datos dependiendo del tamaño de la fuente de datos.

3. Explorando la fuente de datos:

La información de la fuente de datos: aquí se muestran los metadatos básicos. Un análisis detallado se muestra en la sección inferior. Estos detalles se pueden extraer en forma de valores hexadecimales, resultados, metadatos de archivos, etc.

Luego, la imagen del disco se desglosa en función de sus particiones de volumen.

Cada volumen se puede buscar por su contenido, cuyos resultados se muestran en la sección en la parte inferior. Por ejemplo, el contenido que se muestra a continuación pertenece a Fuentes de datos -> Mantooth.E01 -> MSOCache-> [Carpeta principal].

Vistas (Determina el factor de clasificación de archivos)

• Tipo de archivo : aquí los archivos se clasifican según su tipo. La clasificación se puede hacer sobre la base de la extensión del archivo o del tipo MIME. Si bien ambos proporcionan una pista sobre cómo manejar un archivo, el sistema operativo suele utilizar las extensiones de archivo para decidir qué programa se utilizará para abrir un archivo y el navegador utiliza los tipos MIME para decidir cómo presentar los datos. (o por el servidor sobre cómo interpretar los datos recibidos). Los archivos que se muestran aquí también incluyen los archivos eliminados.

• Archivos eliminados: aquí se puede encontrar información sobre los archivos que se eliminaron específicamente. Estos archivos eliminados también se pueden recuperar: haga clic con el botón derecho en el archivo que desea recuperar -> haga clic en Extraer archivo(s). -> Guarde el archivo en un destino apropiado.

•  Archivos de tamaño MB: aquí los archivos se clasifican según su tamaño. El rango comienza desde 50 MB. Esto permite al examinador determinar archivos exclusivamente grandes.

Nota: Por lo general, se recomienda no escanear ni extraer ningún archivo/disco sospechoso, como archivos de carga útil, etc., en el sistema principal, sino escanearlos en entornos seguros, como una máquina virtual, y luego extraer los datos, ya que contienen el posibilidad de estar corrupto y puede infectar el sistema del examinador con virus.

Resultados:

Todos los datos extraídos se visualizan en Vistas/Fuente de datos . En Resultados , obtenemos la información sobre estos datos.

• Contenido extraído: cada contenido extraído que se muestra a continuación se puede explorar más a fondo. A continuación se explica brevemente cada uno de ellos.

• Metadatos EXIF: contiene todas las imágenes .jpg que tienen metadatos EXIF ​​asociados, estos metadatos se pueden analizar más a fondo.
• Detección de cifrado: detecta archivos que están protegidos con contraseña/cifrados.
• Detección de discrepancia de extensión: como se explicó anteriormente, identifica los archivos cuyas extensiones no coinciden con sus tipos MIME y, por lo tanto, pueden ser sospechosos.
• Programas Instalados:  Da detalles sobre el software utilizado por el usuario. Esta información se extrae con la ayuda de la sección del registro de software.
• Información del sistema operativo: brinda información sobre el sistema operativo con la ayuda de la sección del Registro de Windows y la sección del Registro de software.
• Cuenta de usuario del sistema operativo:  enumera información sobre todas las cuentas de usuario, por ejemplo, las cuentas que pertenecen al dispositivo se extraen de Software Hive y las cuentas asociadas con Internet Explorer mediante archivos index.data.
• Documentos recientes: enumera todos los documentos a los que se accedió cerca del momento en que se capturó la imagen del disco.
• Papelera de reciclaje: Aquí se pueden ver los archivos que se almacenan temporalmente en el sistema antes de eliminarse de forma permanente.
• Unidad remota: muestra información sobre todas las unidades remotas a las que se accede mediante el sistema.
• Bolsas de shell: una bolsa de shell es un conjunto de claves de registro que almacena detalles sobre una carpeta que se está viendo, como su posición, icono y tamaño. Todas las bolsas Shell del sistema se pueden ver aquí.
• Dispositivo USB conectado: aquí se muestra toda la información sobre los dispositivos externos conectados al sistema. Estos datos se extraen del Registro de Windows, que en realidad es una base de datos mantenida sobre todas las actividades que tienen lugar en el sistema.
• Cookies web: las cookies guardan la información del usuario de los sitios y, por lo tanto, brindan mucha información sobre las actividades en línea del usuario.
• Historial web: aquí se muestran todos los detalles sobre el historial del navegador.
• Búsquedas web: aquí se muestran detalles sobre las búsquedas web realizadas.
• Keyword Hits:  Aquí se pueden buscar palabras clave específicas en la imagen del disco. Se pueden seleccionar múltiples fuentes de datos para la búsqueda. La búsqueda se puede restringir a coincidencia exacta, coincidencia de substring y expresión regular, por ejemplo, correos electrónicos/direcciones IP, etc.

• HashSet Hits:   aquí la búsqueda se puede realizar utilizando valores hash.
• Mensajes de correo electrónico:  Aquí se pueden explorar todos los archivos de Outlook.pst .

• Elementos interesantes:   como se discutió anteriormente, estos son los resultados del archivo basados ​​en las reglas personalizadas establecidas por el examinador.
• Cuentas: Aquí se muestran todos los detalles de las cuentas presentes en el disco. Este disco tiene las siguientes cuentas de CORREO ELECTRÓNICO.

• Informes: los informes sobre el análisis completo de la fuente de datos se pueden generar y exportar en muchos formatos.

Características adicionales:

• Agregar una fuente de datos: cada caso puede contener varias fuentes de datos.
• Imágenes/videos: las imágenes/videos en la fuente de datos se pueden ver en la Vista de galería. La información aquí se muestra en forma de pares de atributo-valor.

• Comunicaciones: Aquí se muestran todas las comunicaciones realizadas con el dispositivo fuente. Este dispositivo tenía comunicaciones únicamente en forma de correos electrónicos.

• Geolocalización: Esta ventana muestra los artefactos que tienen atributos de longitud y latitud como waypoints en un mapa. Aquí la fuente de datos no tiene waypoints.
• Línea de tiempo: se puede encontrar información sobre cuándo se usó la computadora o qué eventos tuvieron lugar antes o después de un evento determinado, esto es de gran ayuda para investigar eventos cercanos a un momento en particular.

Casi todas las características básicas y cómo funciona realmente Autopsy se han discutido en este artículo. Sin embargo, siempre se recomienda revisar diferentes fuentes de datos de muestra para explorar aún más.