7/30/2019 Guia Autopsy Rapida

1/6

Tutorial de Autopsy

Autopsy es Tal vez la mevidencia digital. Su inteherramientas en lnea d

diversos tipos de eviden

Ejecutando Autopsy

El programa autopsy co

hasta en el sistema oper

Al ejecutar autopsy, inm

estar configurado para n

work offline, desde la b

manera accedemos a la

Fig 1. Deshabilitando W

Iniciando el caso

Para iniciar por primera

importante previamente

jor herramienta libre que existe para elrfaz grfica es un browser que basado e

comandos del Sleuth Kit, permite un an

ia mediante una captura de una imagen

re en diversos sistemas operativos com

ativo Microsoft.

ediatamente se abre el navegador(bro

avegar en line, es decir debemos desha

arra de men, opcin archivo(ver figur

primera presentacin de en case.

rk Offline

vez una recoleccin y anlisis de evid

haber obtenido la rplica o imagen d

nlisis delas

lisis de

de disco.

o Linux, Unix y

se), que debe

bilitar la opcin

1) y de esta

ncia digital, es

l disco donde

7/30/2019 Guia Autopsy Rapida

2/6

reside la evidencia. Una vez iniciada la interfaz grfica de autopsy, se procede

a la creacin de un nuevo caso.

Figura 2 Iniciando el caso.

Al dar click a newcase, se despliega un formulario para diligenciar los datos

bsicos del nuevo caso (Nombre del caso, descripcin, investigador), como se

observa en la siguiente figura.

Fig 3. Formulario de datos .

Agrando la Imagen Obtenida

7/30/2019 Guia Autopsy Rapida

3/6

Como se expres al inici

rplica o imagen bit a

hemos creado un arch

/adquisicin/imagen.dd(

y nombre del archivo, la

Recolectando evidenci

Una vez efectuado pa

obtienen los volmene

respectiva exploracin.

o de este manual, previamente se debe

bit del disco donde reside la evidenci

ivo de imagen llamado imagen.dd, e

sando Guymager). Se introduce la rut

dems opciones permanecen por defe

Figura 4 Obteniendo Imagen.

as para el anlisis.

o a paso los procesos anteriormente

s que fueron encontrados en la im

Figura 5. Volumenes encontrados

contar con una

. Previamente

n la ubicacin

a de ubicacin

to.

descritos, se

gen, para su

7/30/2019 Guia Autopsy Rapida

4/6

Al ingresar a la opcin de anlisis, podemos evidencia cada uno de los archivos

tanto temporales, permanentes, eliminados o averiados, que residen en la

imagen o replica extrada del medio de almacenamiento original.

Figura 6. Evidencias Obtenidas

Como se observa en la figura anterior, los archivos que no son permanentes o

que han sido borrados, se encuentra en color rojo, los dems archivo de color

azul son permanentes. Teniendo en cuenta que la cantidad de archivos

encontrados en la imagen puede ser demasiadamente extensa, autopsy cuenta

con una barra de menus, que tienen la opcin de buscar archivos o evidencias,

por palabras claves, iniciales, tipo de archivos, matadatos, sectores especficos

del disco y otras series de opciones, que permiten optimizar al mximo la

bsqueda de evidencia.

Como ejemplo del uso de opciones para la bsqueda de archivos,

introduciremos una palabra clave como boot.

7/30/2019 Guia Autopsy Rapida

5/6

Figura 7

Autopsy genera una lis

caso 64 y como podem

informacin que contien

Figura 8

Analizando Metadatos

Los metadatos son un

acerca del dato o ar

caractersticas relevant

longitud, tamao y otros

usqueda de evidencia por palabra clave

ta con todos los resultados encontrad

os observar en la siguiente figura, se

la palabra clave boot.

. Evidencia encontrad por palabra clave

conjunto de datos del dato, es decir u

hivo localizado como evidencia. Est

s como el nombre, la fecha y hor

atributos relevantes en una investigaci

s, en nuestro

ha encontrado

a informacin

os almacenan

de creacin,

.

7/30/2019 Guia Autopsy Rapida

6/6

Figura 9 Anlisis de Metadato

Generando Reportes

Por cada evidencia encontrada Autopsy genera un completo reporte sobre el

estado, atributos, caractersticas y contenido de dicha evidencia. Estos

reportes son de gran ayuda en el momento del anlisis de la evidencia y como

elemento probatorio, en caso de que exista un proceso legal llevado a juicio. El

reporte permite visualizar el estado de MD5 y SHDA1, con el fin de comprobar

que la evidencia examinada desde una copia no ha sido modificada o alterada

con respecto a la evidencia que reside originalmente.