El forense digital implica la recuperación y adquisición de cualquier tipo de evidencia de dispositivos como discos duros, computadoras, teléfonos móviles que pueden almacenar cualquier tipo de datos. Una autopsia es una herramienta utilizada por el ejército, la aplicación de la ley y las diferentes agencias cuando existe una necesidad forense. Una autopsia es básicamente una interfaz gráfica para el muy famoso El kit de detectives Se utiliza para recuperar evidencia de una unidad física y muchas otras herramientas. El kit de detectives solo toma instrucciones de línea de comandos. Por otro lado, la autopsia hace que el mismo proceso sea fácil y fácil de usar. La autopsia proporciona varias características que ayudan a adquirir y analizar datos críticos y también utiliza diferentes herramientas para trabajos como Análisis de línea de tiempo, Filtrar hashes, tallar datos, Datos exif,Adquirir artefactos web, búsqueda de palabras clave, etc. La autopsia utiliza múltiples núcleos y ejecuta los procesos de fondo en paralelo y le indica tan pronto como aparece algo de su interés, lo que lo convierte en una herramienta extremadamente rápida y confiable para forenses digitales.
Instalación:
En primer lugar, ejecute el siguiente comando en su sistema Linux para actualizar sus repositorios de paquetes:
ubuntu@ubuntu: ~ $ sudo apt-get actualización
Ahora ejecute el siguiente comando para instalar el paquete de autopsia:
ubuntu@ubuntu: ~ $ sudo apt instalación de instalación
Esto se instalará Autopsia de kit de detectives En su sistema Linux.
Para sistemas basados en Windows, simplemente descargue Autopsia Desde su sitio web oficial https: // www.sleuthkit.org/autopsia/.
Uso:
Encendamos la autopsia escribiendo $ Autopsia en la terminal. Nos llevará a una pantalla con información sobre la ubicación del casillero de evidencia, la hora de inicio, el puerto local y la versión de la autopsia que estamos utilizando.
Podemos ver un enlace aquí que puede llevarnos a autopsia. Al navegar a http: // localhost: 9999/autopsia En cualquier navegador web, la página de inicio nos daremos la bienvenida, y ahora podemos comenzar a usar Autopsia.
Creando un caso:
Lo primero que debemos hacer es crear un nuevo caso. Podemos hacerlo haciendo clic en una de las tres opciones (caso abierto, caso nuevo, ayuda) en la página de inicio de la autopsia. Después de hacer clic en él, veremos una pantalla como esta:
Ingrese los detalles como se mencionó, yo.mi., El nombre del caso, los nombres del investigador y la descripción del caso para organizar nuestra información y evidencia utilizando esta investigación. La mayoría de las veces, hay más de un investigador que realiza un análisis forense digital; Por lo tanto, hay varios campos para llenar. Una vez que esté listo, puede hacer clic en el Nuevo caso botón.
Esto creará un caso con información dada y le muestra la ubicación donde se crea el directorio de casos i.mi./var/lab/autopsia/ y la ubicación del archivo de configuración. Ahora haga clic en Agregar host, Y aparecerá una pantalla como esta:
Aquí no tenemos que completar todos los campos dados. Solo tenemos que completar el campo del nombre de host donde se ingresa el nombre del sistema que se está investigando y la breve descripción del mismo. Otras opciones son opcionales, como especificar rutas donde se almacenarán los hashes malos o las que otras irán o establecerán la zona horaria de nuestra elección. Después de completar esto, haga clic en el Agregar host botón para ver los detalles que ha especificado.
Ahora se agrega el host y tenemos la ubicación de todos los directorios importantes, podemos agregar la imagen que se analizará. Haga clic en Añadir imagen Para agregar un archivo de imagen y una pantalla como esta aparecerá:
En una situación en la que debe capturar una imagen de cualquier partición o unidad de ese sistema informático en particular, la imagen de un disco se puede obtener utilizando dcfldd utilidad. Para obtener la imagen, puede usar el siguiente comando,
ubuntu@ubuntu: ~ $ dcfldd if = de BS = 512 recuento = 1 hash =
si =el destino de la unidad que desea tener una imagen de
de =el destino donde se almacenará una imagen copiada (puede ser cualquier cosa, e.gramo., disco duro, USB, etc.)
BS = Tamaño del bloque (número de bytes para copiar a la vez)
hash =Tipo de hash (E.G MD5, SHA1, SHA2, etc.) (opcional)
También podemos usar dd utilidad para capturar una imagen de una unidad o partición utilizando
ubuntu@ubuntu: ~ $ dd if = de = BS = 512 count = 1 hash =
Hay casos en los que tenemos algunos datos valiosos en RAM Para una investigación forense, entonces lo que tenemos que hacer es capturar la RAM física para el análisis de memoria. Lo haremos usando el siguiente comando:
ubuntu@ubuntu: ~ $ dd if =/dev/fmem of = BS = 512 recuento = 1 hash =
Podemos echar un vistazo a dd Varias otras opciones importantes de la utilidad para capturar la imagen de una partición o RAM física utilizando el siguiente comando:
ubuntu@ubuntu: ~ $ dd --help Opciones de ayuda DD bs = bytes leer y escribir a bytes bytes a la vez (predeterminado: 512); anula el SII y OBS cbs = bytes convierte bytes bytes a la vez Conv = Convs Convertir el archivo según la lista de símbolos separados por comas count = n copiar solo n bloques de entrada Ibs = bytes leídos a bytes bytes a la vez (predeterminado: 512) if = archivo lee desde el archivo en lugar de stdin iflag = banderas leídos según la lista de símbolos separados por comas Obs = bytes Escribir bytes bytes a la vez (predeterminado: 512) de = archivo escribir en archivo en lugar de stdout OfLAg = Flags escribe según la lista de símbolos separados por comas buscar = n omitir n bloqueos obsoletos al comienzo de la salida Skip = n Skip N Bloques del tamaño de IBS al comienzo de la entrada estado = nivel El nivel de información para imprimir a stderr; 'Ninguno' suprime todo menos mensajes de error, 'noxfer' suprime las estadísticas de transferencia finales, 'Progress' muestra estadísticas de transferencia periódica N y bytes pueden ser seguidos por los siguientes sufijos multiplicativos: c = 1, w = 2, b = 512, kb = 1000, k = 1024, mb = 1000*1000, m = 1024*1024, xm = M, GB = 1000*1000*1000, G = 1024*1024*1024, y así sucesivamente para T, P, E, Z, Y. Cada símbolo de convivir puede ser: ASCII de Ebcdic a ASCII Ebcdic de ASCII a Ebcdic IBM de ASCII a Ebcdic alternativo Block Pad Newline Terminados de registros con espacios para CBS-Size El desbloqueo reemplaza los espacios finales en los registros de tamaño CBS con una nueva línea Cambio de mayúsculas y minúsculas Cambio de UCase en minúscula a la caja superior Es escaso intente buscar en lugar de escribir la salida para bloques de entrada NUL SwaB intercambia cada par de bytes de entrada Almohadilla de sincronización cada bloque de entrada con NULS al tamaño del IBS; cuando se usa con un bloque o desbloqueo, almohadilla con espacios en lugar de nuls excluyendo si el archivo de salida ya existe nocreat no cree el archivo de salida NotRunc no trunce el archivo de salida NoError continúa después de los errores de lectura FDatasync escribe físicamente los datos del archivo de salida antes de terminar FSYNC también, pero también escribe metadatos Cada símbolo de bandera puede ser: Agregar el modo de apertura (tiene sentido solo para la salida; Conv = NotRunc sugerido) Uso directo de E/S directa para datos fallas en el directorio a menos que un directorio DSYNC Use E/S sincronizado para datos Sincronización igualmente, pero también para metadatos Fullblock acumule bloques completos de entrada (solo iflag) Uso sin bloqueo de E/S sin bloqueo Noatime no actualiza el tiempo de acceso Solicitud de nocache para dejar caer caché.
Usaremos una imagen llamada 8-JPEG-Search-DD Hemos guardado en nuestro sistema. Esta imagen fue creada para los casos de prueba por Brian Carrier para usarla con autopsia y está disponible en Internet para casos de prueba. Antes de agregar la imagen, debemos verificar el hash MD5 de esta imagen ahora y compararla más tarde después de meterla en el casillero de evidencia, y ambos deberían coincidir. Podemos generar la suma MD5 de nuestra imagen escribiendo el siguiente comando en nuestro terminal:
ubuntu@ubuntu: ~ $ md5sum 8-jpeg-search-dd
Esto hará el truco. La ubicación donde se guarda el archivo de imagen es /ubuntu/escritorio/8-jpeg-search-dd.
Lo importante es que tenemos que entrar en todo el camino donde se encuentra la imagen.riñonal /ubuntu/escritorio/8-jpeg-search-dd en este caso. Enlace simbólico se selecciona, lo que hace que el archivo de imagen no sea vulnerable a los problemas asociados con la copia de archivos. A veces obtendrá un error de "imagen no válida", verifique la ruta al archivo de la imagen y asegúrese de que la pizca hacia adelante "/" está ahí. Haga clic en Próximo nos mostrará los detalles de nuestra imagen que contienen Sistema de archivos tipo, Montura, y el MD5 valor de nuestro archivo de imagen. Haga clic en Agregar Para colocar el archivo de imagen en el casillero de evidencia y haga clic en DE ACUERDO. Aparecerá una pantalla como esta:
Aquí obtenemos con éxito la imagen y nos quitamos a nuestro Analizar porción para analizar y recuperar datos valiosos en el sentido de los forenses digitales. Antes de pasar a la parte "Analizar", podemos verificar los detalles de la imagen haciendo clic en la opción Detalles.
Esto nos dará detalles del archivo de imagen como el sistema de archivos utilizado (NTFS En este caso), la partición de montaje, el nombre de la imagen y permite hacer búsquedas de palabras clave y recuperación de datos más rápido al extraer cadenas de volúmenes enteros y también espacios no asignados. Después de pasar por todas las opciones, haga clic en el botón Atrás. Ahora, antes de analizar nuestro archivo de imagen, tenemos que verificar la integridad de la imagen haciendo clic en el botón de integridad de la imagen y generando un hash MD5 de nuestra imagen.
Lo importante a tener en cuenta es que este hash coincidirá con el que habíamos generado a través de la suma MD5 al comienzo del procedimiento. Una vez que esté listo, haga clic en Cerca.
Análisis:
Ahora que hemos creado nuestro caso, le dimos un nombre de host, agregó una descripción, hicimos la verificación de integridad, podemos procesar la opción de análisis haciendo clic en el Analizar botón.
Podemos ver diferentes modos de análisis, yo.mi., Análisis de archivos, búsqueda de palabras clave, tipo de archivo, detalles de imagen, unidad de datos. En primer lugar, hacemos clic en los detalles de la imagen para obtener la información del archivo.
Podemos ver información importante sobre nuestras imágenes como el tipo de sistema de archivos, el nombre del sistema operativo y la cosa más importante, el número de serie. El número de serie de volumen es importante en el tribunal de justicia, ya que muestra que la imagen que analizó es la misma o una copia.
Echemos un vistazo al Análisis de archivo opción.
Podemos encontrar un montón de directorios y archivos presentes dentro de la imagen. Se enumeran en el orden predeterminado, y podemos navegar en un modo de navegación de archivos. En el lado izquierdo, podemos ver el directorio actual especificado, y la parte inferior, podemos ver un área donde se pueden buscar palabras clave específicas.
Frente al nombre del archivo, hay 4 campos nombrados escrito, accedido, cambiado, creado. Escrito significa que la fecha y hora en que el archivo se escribió por última vez en, Accedido significa que se accedió al último archivo (en este caso la única fecha es confiable), Cambió significa la última vez que se modificaron los datos descriptivos del archivo, Creado significa la fecha y la hora en que se creó el archivo, y Metadatos muestra la información sobre el archivo que no sea la información general.
En la parte superior, veremos una opción de Generando hashes MD5 de los archivos. Y nuevamente, esto asegurará la integridad de todos los archivos generando los hashes MD5 de todos los archivos en el directorio actual.
El lado izquierdo del análisis de archivo La pestaña contiene cuatro opciones principales, yo.mi., Se busque del directorio, búsqueda del nombre de archivo, todos los archivos eliminados, expandir directorios. Directorio buscar Permite a los usuarios buscar en los directorios que uno quiere. Búsqueda de nombre de archivo Permite buscar archivos específicos en el directorio dado,
Todos los archivos eliminados contener los archivos eliminados de una imagen que tiene el mismo formato, yo.mi., Escritos, accedidos, creados, metadatos y modificados y se muestran en rojo como se da a continuación:
Podemos ver que el primer archivo es un jpeg archivo, pero el segundo archivo tiene una extensión de "Mmm". Veamos los metadatos de este archivo haciendo clic en metadatos en la mayoría de.
Hemos descubierto que los metadatos contienen un Jfif Entrada, lo que significa Formato de intercambio de archivos JPEG, Así que entendemos que es solo un archivo de imagen con una extensión de "Mmm". Expandir directorios expande todos los directorios y permite que un área más grande trabaje con directorios y archivos dentro de los directorios dados.
Ordenar los archivos:
El análisis de los metadatos de todos los archivos no es posible, por lo que tenemos que clasificarlos y analizarlos clasificando los archivos existentes, eliminados y no asignados utilizando el Tipo de archivo pestaña.'
Para ordenar las categorías de archivos para que podamos inspeccionar los que tienen la misma categoría con facilidad. Tipo de archivo tiene la opción de ordenar el mismo tipo de archivos en una categoría, yo.mi., Archivos, audio, video, imágenes, metadatos, archivos exec, archivos de texto, documentos, archivos comprimidos, etc.
Una cosa importante sobre ver archivos ordenados es que la autopsia no permite ver archivos aquí; En cambio, tenemos que navegar en la ubicación donde se almacenan y verlos allí. Para saber dónde están almacenados, haga clic en el Ver archivos ordenados opción en el lado izquierdo de la pantalla. La ubicación que nos dará será la misma que la que especificamos al crear el caso en el primer paso I.mi./var/lib/autopsy/.
Para reabrir el caso, simplemente abra la autopsia y haga clic en una de las opciones "Caso abierto."
Caso: 2
Echemos un vistazo al análisis de otra imagen utilizando la autopsia en un sistema operativo de Windows y descubramos qué tipo de información importante podemos obtener de un dispositivo de almacenamiento. Lo primero que debemos hacer es crear un nuevo caso. Podemos hacerlo haciendo clic en una de las tres opciones (caso abierto, caso nuevo, caso abierto reciente) en la página de inicio de la autopsia. Después de hacer clic en él, veremos una pantalla como esta:
Proporcione el nombre del caso y la ruta donde almacenar los archivos luego ingrese los detalles como se mencionó, yo.mi., El nombre del caso, los nombres del examinador y la descripción del caso para organizar nuestra información y evidencia utilizando esta investigación. En la mayoría de los casos, hay más de un examinador haciendo la investigación.
Ahora proporcione la imagen que desea examinar. E01(Formato de testigos expertos), Aflicción(formato forense avanzado), formato sin procesar (Dd), y las imágenes forenses de memoria son compatibles. Hemos guardado una imagen de nuestro sistema. Esta imagen se utilizará en esta investigación. Deberíamos proporcionar el camino completo a la ubicación de la imagen.
Solicitará seleccionar varias opciones como análisis de línea de tiempo, filtrado de hashes, tallado de datos, datos exif, adquisición de artefactos web, búsqueda de palabras clave, analizador de correo electrónico, extracción de archivos integrados, verificación de actividad reciente, etc. Haga clic en Seleccionar todo para obtener la mejor experiencia y haga clic en el botón Siguiente.
Una vez hecho, haga clic en Finalizar y esperar a que el proceso complete.
Análisis:
Hay dos tipos de análisis, Análisis muerto, y Análisis en vivo:
Un examen muerto ocurre cuando se utiliza un marco de investigación comprometido para ver la información de un marco especulado. En el momento en que esto sucede, La autopsia del kit de detectives puede correr en un área donde se erradica la posibilidad de daño. La autopsia y el kit de detectives ofrecen ayuda para formatos Raw, Expert Testing y AFF.
Una investigación en vivo ocurre cuando el marco de la presencia se está desglosando mientras se ejecuta. En este caso, La autopsia del kit de detectives puede correr en cualquier área (cualquier otra cosa que no sea un espacio confinado). Esto a menudo se utiliza durante la reacción de ocurrencia mientras se afirma el episodio.
Ahora, antes de analizar nuestro archivo de imagen, tenemos que verificar la integridad de la imagen haciendo clic en el botón de integridad de la imagen y generando un hash MD5 de nuestra imagen. Lo importante a tener en cuenta es que este hash coincidirá con el que tuvimos para la imagen al comienzo del procedimiento. La imagen hash es importante, ya que dice si la imagen dada ha manipulado o no.
Mientras tanto, Autopsia ha completado su procedimiento y tenemos toda la información que necesitamos.
En primer lugar, comenzaremos con información básica como el sistema operativo utilizado, la última vez que el usuario inició sesión y la última persona que accedió a la computadora durante el tiempo de un accidente. Para esto, iremos a Resultados> Contenido extraído> Información del sistema operativo En el lado izquierdo de la ventana.
Para ver el número total de cuentas y todas las cuentas asociadas, vamos a Resultados> Contenido extraído> Cuentas de usuario del sistema operativo. Veremos una pantalla como esta:
La información como la última persona que accede al sistema, y frente al nombre de usuario, hay algunos campos nombrados accedido, cambiado, creado.Accedido significa la última vez que se accedió a la cuenta (en este caso, la única fecha es confiable) y Crelacionado significa la fecha y hora en que se creó la cuenta. Podemos ver que se llamó el último usuario en acceder al sistema Señor. Demonio.
Vamos a ir a la Archivos de programa carpeta C unidad ubicada en el lado izquierdo de la pantalla para descubrir la dirección física e internet del sistema informático.
Podemos ver el IP (Protocolo de Internet) Dirección y el MAC Dirección del sistema informático enumerada.
Vamos a Resultados> Contenido extraído> Programas instalados, Podemos ver aquí hay el siguiente software utilizado para llevar a cabo tareas maliciosas relacionadas con el ataque.
Cain & Abel: una potente herramienta de rastreo de paquetes y herramienta de agrietamiento de contraseña utilizada para olfatear paquetes.
Anonimizador: una herramienta utilizada para ocultar pistas y actividades que realiza el usuario malicioso.
Ethereal: una herramienta utilizada para monitorear el tráfico de la red y capturar paquetes en una red.
Lindo FTP: un software FTP.
NetStumbler: una herramienta utilizada para descubrir un punto de acceso inalámbrico
WinPCAP: una herramienta de renombre utilizada para el acceso a la red de la capa de enlace en los sistemas operativos de Windows. Proporciona acceso de bajo nivel a la red.
En el /Windows/System32 Ubicación, podemos encontrar las direcciones de correo electrónico que usó el usuario. Podemos ver MSN Correo electrónico, hotmail, direcciones de correo electrónico de Outlook. También podemos ver el Smtp dirección de correo electrónico aquí.
Vayamos a un lugar donde Autopsia almacena posibles archivos maliciosos del sistema. Navegar a Resultados> elementos interesantes, y podemos ver una bomba postal presente llamada unix_hack.tgz.
Cuando navegamos al /Reciclador Ubicación, encontramos 4 archivos ejecutables eliminados llamados DC1.exe, DC2.exe, DC3.exe y dc4.exe.
Etéreo, un reconocido olfato También se descubre la herramienta que se puede utilizar para monitorear e interceptar todo tipo de tráfico de red cableado e inalámbrico. Reensamblamos los paquetes capturados y el directorio donde se guarda es /Documentos, El nombre del archivo en esta carpeta es Interceptación.
Podemos ver en este archivo los datos como la víctima del navegador estaba usando y el tipo de computadora inalámbrica y descubrimos que era Internet Explorer en Windows CE. Los sitios web a la que accedía la víctima era Yahoo y MSN .com, y esto también se encontró en el archivo de intercepción.
Al descubrir el contenido de Resultados> Contenido extraído> Historial web,
Podemos ver explorando metadatos de archivos dados, el historial del usuario, los sitios web que visita y las direcciones de correo electrónico que proporcionó para iniciar sesión.
Recuperación de archivos eliminados:
En la parte anterior del artículo, hemos descubierto cómo extraer información importante de una imagen de cualquier dispositivo que pueda almacenar datos como teléfonos móviles, discos duros, sistemas informáticos, etc. Entre los talentos necesarios más básicos para un agente forense, la recuperación de registros borrados es presumiblemente el más esencial. Como probablemente sepa, los documentos que se "borran" permanecen en el dispositivo de almacenamiento a menos que esté sobrescribido. Borrar estos registros básicamente hace que el dispositivo sea accesible para ser sobrescribido. Esto implica que si el sospechoso borró los registros de prueba hasta que el marco del documento lo sobrescribió, se mantiene accesible para que recuperemos.
Ahora veremos cómo recuperar los archivos o registros eliminados usando La autopsia del kit de detectives. Siga todos los pasos de arriba, y cuando se importe la imagen, veremos una pantalla como esta:
En el lado izquierdo de la ventana, si ampliamos aún más el Tipos de archivo Opción, veremos un montón de categorías nombradas Archivos, audio, video, imágenes, metadatos, archivos exec, archivos de texto, documentos (html, pdf, palabra, .PPX, etc.), archivos comprimidos. Si hacemos clic en imágenes, Mostrará todas las imágenes recuperadas.
Un poco más abajo, en la subcategoría de Tipos de archivo, Veremos un nombre de opción Archivos eliminados. Al hacer clic en esto, veremos algunas otras opciones en forma de pestañas etiquetadas para el análisis en la ventana inferior derecha. Las pestañas se nombran Hex, resultado, texto indexado, cuerdas, y Metadatos. En la pestaña de metadatos, veremos cuatro nombres escrito, accedido, cambiado, creado. Escrito significa que la fecha y hora en que el archivo se escribió por última vez en, Accedido significa que se accedió al último archivo (en este caso la única fecha es confiable), Cambió significa la última vez que se modificaron los datos descriptivos del archivo, Creado significa la fecha y la hora en que se creó el archivo. Ahora para recuperar el archivo eliminado que queremos, haga clic en el archivo eliminado y seleccione Exportar. Solicitará una ubicación donde se almacenará el archivo, seleccione una ubicación y haga clic en DE ACUERDO. Los sospechosos con frecuencia se esforzarán por cubrir sus pistas borrando varios archivos importantes. Sabemos como persona forense que hasta que esos documentos sean sobrescribidos por el sistema de archivos, se pueden recuperar.
Conclusión:
Hemos analizado el procedimiento para extraer la información útil de nuestra imagen objetivo utilizando La autopsia del kit de detectives en lugar de herramientas individuales. Una autopsia es una opción de referencia para cualquier investigador forense y debido a su velocidad y confiabilidad. La autopsia utiliza múltiples procesadores centrales que ejecutan los procesos de fondo en paralelo, lo que aumenta su velocidad y nos da resultados en una menor cantidad de tiempo y muestra las palabras clave buscadas tan pronto como se encuentran en la pantalla. En una era en la que las herramientas forenses son una necesidad, la autopsia proporciona las mismas características centrales sin costo que otras herramientas forenses pagadas.
La autopsia precede a la reputación de algunas herramientas pagas, así como proporciona algunas características adicionales como el análisis de registro y el análisis de artefactos web, que las otras herramientas no. Una autopsia es conocida por su uso intuitivo de la naturaleza. Un rápido clic derecho abre el documento significativo. Eso implica un tiempo de duración casi cero para descubrir si los términos de búsqueda explícitos están en nuestra imagen, teléfono o PC que se está mirando. Los usuarios también pueden retroceder cuando las misiones profundas se convierten en callejones sin salida, utilizando capturas de historia hacia atrás y hacia adelante para ayudar a seguir sus medios. El video también se puede ver sin aplicaciones externas, acelerando el uso.
Las perspectivas de miniatura, el registro y el tipo de documento, el tipo de documento, la filtración de los buenos archivos y la señalización para horribles, utilizando la separación de set de hash personalizado son solo una parte de diferentes aspectos destacados que se encuentran en La autopsia del kit de detectives Versión 3 que ofrece mejoras significativas de la versión 2.La tecnología básica generalmente subsidiaba el trabajo en la versión 3, donde Brian Carrier, quien entregó una gran parte del trabajo sobre interpretaciones anteriores de Autopsia, es CTO y jefe de criminología avanzada. También es visto como un maestro de Linux y ha compuesto libros sobre el tema de la minería de información medible, y la tecnología base crea El kit de detectives. Por lo tanto, los clientes probablemente pueden sentirse realmente seguros de que están obteniendo un elemento decente, un elemento que no se desvanecerá en ningún momento en el futuro cercano, y uno que probablemente se mantendrá en lo que vendrá por venir.
