En este video tutorial, cubrimos el análisis de disco con Autopsy. Realizamos análisis forenses en el disco para extraer artefactos. El escenario está tomado de Autopsia TryHackMe habitación.
Aprenda a utilizar Autopsy para investigar artefactos de una imagen de disco. Utilice sus conocimientos para investigar a un empleado acusado de filtrar datos privados de la empresa.
Obtenga notas de informática forense
El curso completo y práctico de pruebas de penetración de aplicaciones web
Vídeos destacados
Autopsy es una potente plataforma forense digital de código abierto. Varias funciones de Autopsy han sido desarrolladas con fondos del Departamento de Ciencia y Tecnología de Seguridad Nacional. Puedes leer más sobre esto. aquí.
La descripción oficial: “Autopsy es la principal plataforma forense de código abierto, rápida, fácil de usar y capaz de analizar todo tipo de dispositivos móviles y medios digitales. Su arquitectura de complemento permite la extensibilidad desde módulos desarrollados por la comunidad o personalizados. Autopsy evoluciona para satisfacer las necesidades de cientos de miles de profesionales en aplicación de la ley, seguridad nacional, apoyo en litigios e investigación corporativa.”
Antes de sumergirse en la autopsia y analizar los datos, hay que realizar algunos pasos; como identificar la fuente de datos y qué acciones de autopsia realizar con la fuente de datos.
Básico flujo de trabajo:
- Cree/abra el caso para la fuente de datos que investigará
- Seleccione la fuente de datos que desea analizar
- Configure los módulos de ingesta para extraer artefactos específicos de la fuente de datos
- Revisar los artefactos extraídos por los módulos de ingesta.
- Crear el informe
Autopsy puede analizar múltiples formatos de imágenes de disco. Antes de profundizar en el paso del análisis de datos, cubramos brevemente las diferentes fuentes de datos que Autopsy puede analizar. Puede agregar fuentes de datos utilizando el "Agregar fuente de datos" botón. Las opciones disponibles se muestran en la siguiente imagen.
Formatos de imagen de disco admitidos:
- Soltero crudo (Por ejemplo: *.img, *.dd, *.raw, *.bin)
- División cruda (Por ejemplo: *.001, *.002, *.aa, *.ab, etc.)
- Encerrar (Por ejemplo: *.e01, *.e02, etc.)
- Maquinas virtuales (Por ejemplo: *.vmdk, *.vhd)
Si hay varios archivos de imagen (por ejemplo, E01, E02, E03, etc.), Autopsy solo necesita que apunte al primer archivo de imagen y Autopsy se encargará del resto.
Respuestas a las preguntas
¿Cuál es el número de archivos "eliminados" detectados?
¿Cuál es el nombre del archivo que se encuentra en la sección "Archivos interesantes"?
¿Cuál es el nombre completo de la versión del sistema operativo?
¿Qué porcentaje del disco son documentos? Incluye el % en tu respuesta.
Genere un informe HTML como se muestra en la tarea y vea la sección "Resumen del caso".
¿Cuál es el número de trabajo del módulo “Identificador de archivos interesantes”?
¿En qué fecha ocurrieron la mayoría de los eventos del archivo? (MES DD, AAAA)
¿Cómo se llama un programa instalado con el número de versión 6.2.0.2962?
Un usuario tiene una sugerencia de contraseña. ¿Cuál es el valor?
Se accedió a numerosos archivos SECRETOS desde una unidad de red. ¿Cuál era la dirección IP?
¿Qué término de búsqueda web tiene más entradas?
¿Cuál fue la búsqueda web realizada el 25/03/2015 21:46:44?
¿Qué binario aparece como archivo interesante?
¿En qué fecha ocurrieron la mayoría de los eventos del archivo? (MES DD, AAAA)
Tutorial en vídeo
