Autopsy

Revisión del 00:03 20 jun 2019 de Javiermartin jc (discusión | contribuciones) (Texto reemplazado: «<div align="justify">» por «»)
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Autopsy
Información sobre la plantilla
Autopsy logo.gif
Software para el análisis forense informático, mediante herramientas de líneas de comandos.
Última versión estable2.24
Sistemas Operativos compatiblesMac, Solaris, Open & FreeBSD y Linux.
LicenciaGPL
Sitio web
http://www.sleuthkit.org/autopsy/

Autopsy. Es una interfaz gráfica para el análisis forense informático, mediante herramientas de líneas de comandos. El cual permite a los investigadores lanzar auditorías forenses no intrusivas en los sistemas a investigar. Estos análisis se centran en análisis genérico de sistemas de archivos y líneas temporales de ficheros. Se puede analizar los discos de Windows y UNIX y sistemas de archivos (NTFS, FAT, UFS1 / 2, Ext2 / 3).

Debido a que este software se basa en HTML, se puede conectar con el servidor de Autopsy de cualquier plataforma con un navegador HTML. Autopsy proporciona un "Administrador de archivos"-como el interfaz y muestra detalles acerca de los datos eliminados y estructuras del sistema de archivos.

Modos de análisis

  • Un análisis de muerte se produce cuando un sistema de análisis específicos se utiliza para examinar los datos de un sistema sospechoso. En este caso, la autopsia y las herramientas Sleuth se ejecutan en un entorno de confianza, por lo general en un laboratorio. Autopsy y TSK apoyo básico testigo, perito, y los formatos de archivo AFF.
  • Un análisis en directo se produce cuando el sistema sospechoso está siendo analizada, mientras que se está ejecutando. En este caso, Autopsy y las herramientas Sleuth se ejecuta desde un CD en un entorno de confianza. Se utiliza con frecuencia durante la respuesta a incidentes, mientras que el incidente está siendo confirmado. Después de que se confirme, el sistema puede ser adquirido y realizado un análisis de muerte.

Técnicas de Búsqueda de la evidencia

  • Listado de archivos: Analizar los archivos y directorios, incluyendo los nombres de los archivos borrados y los archivos con nombres basados ​​en Unicode.
  • Contenido del archivo: El contenido de los archivos pueden ser vistos en hexadecimal, raw, o los caracteres ASCII; los que se puede extraer. Cuando se interpretan los datos, se desinfecta para evitar daños en el sistema de análisis local. El software no se utiliza ningún tipo de lenguajes de script del lado del cliente.
  • Bases de datos de Hash: Búsqueda de archivos desconocidos en una base de datos de hash para identificar rápidamente como bueno o malo. Autopsy utiliza el NIST Biblioteca Nacional de Referencia de Software (NSRL) y bases de datos creadas por el usuario de los archivos más conocidos.
  • Clasificación de tipos de archivos: Clasificar los archivos basándose en sus firmas internas para identificar los archivos de un tipo conocido. La autopsia puede también extraer solamente imágenes gráficas (incluyendo miniaturas). La extensión del archivo también se puede comparar con el tipo de archivo para identificar los archivos que pueden haber tenido su extensión cambiada para ocultarlos.
  • Cronología de la actividad de archivo: En algunos casos, tener una línea de tiempo de actividad de los archivos puede ayudar a identificar las áreas de un sistema de archivos que pueden contener pruebas. La autopsia puede crear líneas de tiempo que contiene entradas para la modificación, acceso, y el cambio (MAC).
  • Buscar palabra clave: búsquedas de palabras clave de la imagen del sistema de archivos se puede realizar utilizando cadenas de caracteres ASCII y expresiones regulares grep. Las búsquedas se pueden realizar en cualquiera de la imagen completa del sistema de archivos o simplemente el espacio no asignado. Un archivo de índice pueden ser creadas para agilizar las búsquedas. Las cadenas que son buscados de manera frecuente se puede configurar fácilmente para la búsqueda automatizada.
  • Análisis de metadatos: Los metadatos estructuras contienen los detalles sobre los archivos y directorios. La autopsia le permite ver los detalles de cualquier estructura de metadatos en el sistema de archivos. Esto es útil para recuperar el contenido eliminado. La autopsia buscará los directorios para identificar la ruta completa del archivo que ha asignado a la estructura.
  • Análisis de datos de unidades: la unidad de datos es donde el contenido del archivo se almacena. La autopsia le permite ver el contenido de cualquier unidad de datos en una variedad de formatos, incluyendo ASCII, hexdump, y cuerdas. El tipo de archivo también se da y la autopsia buscará los metadatos para identificar las estructuras que ha asignado la unidad de datos.
  • Detalles de la imagen: Pueden ser vistos los detalles del sistema de archivos, incluyendo el diseño en el disco y el tiempo de actividad. Este modo proporciona información que es útil durante la recuperación de datos.

Galería de imágenes

  • Autopsy listado archivos1.gif
  • Autopsy contenido archivo1.gif
  • Autopsy base datos1.gif
  • Autopsy tipo archivo1.gif
  • Autopsy cronologia1.gif
  • Autopsy busqueda1.gif
  • Autopsy metadatos1.gif
  • Autopsy datos unidad1.gif
  • Autopsy detalle Imagen1.gif

Fuentes

Sitio Oficial Autopsy

Obtenido de «https://www.ecured.cu/index.php?title=Autopsy&oldid=3416144»