SERVICIO NACIONAL DE APRENDIZAJE SENA

iNiN




Centro de Teleinformtica y Produccin Industrial Sena Regional Cauca
Analizando Imgenes de un Disco Duro




Tenemos ya extrada un imagen de disco duro la cual ser necesario analizarlo para buscar las respectivas
evidencias, para ello tenemos 3 programas que veremos para dicho anlisis en Autopsy Browse Forensic que se
instala en sistemas operativos Linux o que podemos usarlo desde un live cd como el Helix, el CAINE, adems
tenemos el FTK y el Encase.

Autopsy Browser Forensic
El Autopsy Forensic Browser es una interfaz grfica con herramientas forenses de lnea de comando y utilitarios
estndares de UNIX, que le permite realizar un anlisis del disco duro y del sistema de archivos de Windows y
Linux.

Autopsy trabaja de dos maneras, en el modo normal carga una imagen de disco para su anlisis o tambin puede
realizar anlisis a sistemas vivos sin gravar ningn dato dentro del disco duro.

El browser de Autopsy tiene las siguientes opciones:

File Anlisis.- Esta opcin permite analizar la imagen desde la perspectiva de directorios y archivos.
Proporciona la misma interfaz que usamos en un computador aunque este modo tambin nos muestra
informacin que haya sido eliminada.

Metadata Analysis: Este modo es til para examinar las estructuras no localizadas y conseguir todos los detalles
sobre archivos localizados.

Data Unit: Permite desplegar por nmero de bloque. El contenido del bloque se puede visualizar en ASCII,
hexadecimal o cadenas de caracteres.

Keyword Search : Busca archivos que estn dentro de la imagen analizada que coincidan con una cadena de
caracteres.

Image Details: Enumera los detalles sobre el sistema de archivos del volumen analizado

Image Integrity: verifica la integridad de los datos validando en cualquier momento el valor md5.

File Activity Timelines: Autopsy Puede crear lneas de tiempo para determinar todos los cambios realizados
SERVICIO NACIONAL DE APRENDIZAJE SENA
Material de Curso




2
sobre la imagen o explicar procesos utilizados que haya podido afectar la integridad de la imagen.

File Type Categories: Autopsy puede clasificar los archivos por tipo. Por ejemplo, todos los ficheros del JPEG y
del GIF seran identificados como imgenes y todos los ficheros ejecutables seran identificados.

Report Generation: Autopsy genera un reporte de todas las actividades antes dichas o que hayamos realiza
durante el proceso de anlisis.

Proceso de instalacin
Inicialmente como requisitos previos para la instalacin de autopsy browse forensic necesitamos instalar el
conjunto de herramientas Sleutkit que la podemos descargar de nuestro sitio o desde la pagina del autor, Una vez
descargado la herramienta procedemos a desempacar en el sitio donde vamos a compilarla.


Ingresamos a la carpeta donde fue desempaquetada y ejecutamos el comando Make.

[root@grupo_trabajo sleuthkit-2.07]# cd /usr/local/sleuthkit-2.07/
[root@grupo_trabajo sleuthkit-2.07]# make

En esta instancia, la aplicacin se instalara en nuestro equipo y al final de la instalacin nos visualizara la
siguiente informacin.

Checking Tools
Done
[root@grupo_trabajo sleuthkit-2.07]#

Esto nos indicara que la instalacin se ha realizado con xito. Con esto hemos cumplido la primera parte de la
instalacin de autopsy browse forensic.

Ahora nos toca descargar el paquete de autopsy de nuestro sitio o de la pgina del autor Una vez descargado el
paquete desempaquetamos en el lugar que deseamos compilar, Luego ingresamos al directorio y ejecutamos el
comando make, que confirma que el proceso se est realizando correctamente.

Sleuth Kit bin directory was found
Version 2.07 found
Required version found
---------------------------------------------------------------
The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
http://www.nsrl.nist.gov
Have you purchased or downloaded a copy of the NSRL (y/n) n
Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.
Enter the directory that you want to use for the Evidence Locker:
/var/morgue

Esta pregunta debemos digitar un directorio donde almacenaremos la evidencia, este directorio debemos crearlo
con anterioridad dentro de la carpeta de autopsy. Para este ejemplo lo hemos llamado evidencia.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Material de Curso




3
Una vez realizado este paso nos aparecer la parte final que nos pide ejecutar el ./autopsy conjuntamente con el
puerto y el host.

Settings saved to conf.pl.
Execute the './autopsy' command to start with default settings.
[root@grupo_trabajo autopsy-2.08]# ./autopsy 9999 localhost
use <ctrl-c> to exit

Es importante presionar <ctrl-c>solo al terminar de trabajar con autopsy.

Con esto estamos listos para iniciar y trabajar con autopsy browse forensic, solo copiamos la direccin que nos
indica en cualquier navegador.

Debemos tomar en cuenta que cada vez que deseemos trabajar con autopsy, necesitamos ejecutar ./autopsy (sin
el puerto ni el host) teniendo que estar previamente dentro del directorio del programa.

Figura1: Una vez arrancado el programa tendremos la siguiente pantalla:



Figura2:

Aqu debemos asignarle un nombre al caso e ingresar una descripcin sobre la investigacin y nombres de los
investigadores. Una vez digitado estos datos presionamos New Case. Apareciendo los datos de lo creado y
presionamos Add Host.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Material de Curso




4


Figura 3:

una vez creado el caso, en esta pantalla presionamos Add Host.



Figura 4:En el siguiente cuadro en la opcin Host Name ingresamos el nombre del computador o dispositivo a
investigar adicionalmente ingresamos en el punto 2 una descripcin acerca del dispositivo o del computador y
presionamos Add host.

SERVICIO NACIONAL DE APRENDIZAJE SENA
Material de Curso




5


Figura 5:

La siguiente pantalla agregamos la imagen del dispositivo que sacamos anteriormente presionando Add Imagen
File.



Figura 6:

Aqu tenemos 3 preguntas que debemos ir llenando, en la primera debemos indicar la ruta donde tenemos
almacenada la imagen en la y segunda el tipo de imagen y la tercera el mtodo que por defecto usamos el
primero. Presionamos Next.

SERVICIO NACIONAL DE APRENDIZAJE SENA
Material de Curso




6


Figura 7:

En esta nueva pantalla recomendamos escoger la opcin Calculate que nos permitir calcular el valor hash(md5)
de la imagen. Presionamos la opcin Add.



Figura 8:

Visualizndonos la siguiente pantalla para luego presionar la opcin OK.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Material de Curso




7


Figura 9:

Aqu escogemos la imagen a ser analizada y presionamos ANALYZE. En este punto nos puede presentar varias
imgenes que ya hemos examinado.



Figura 10:

Para iniciar el anlisis del volumen debemos presionar la opcin File Analisis.

SERVICIO NACIONAL DE APRENDIZAJE SENA
Material de Curso




8


Figura 11: Tendremos a nuestra vista toda la informacin que cuidadosamente debemos indagar e investigar para
encontrar evidencias del caso en cuestin.