En esta práctica vamos a aprender a usar Autopsy. Así pues, dicho programa nos permite realizar un análisis forense de discos duros, imágenes de disco, teléfonos móviles, archivos lógicos, etc. Además, este programa nos permite conocer el historial web, los archivos usados más recientes, los programas instalados en un dispositivo, recuperar los archivos borrados, etc.
Ejercicio 1
En primer lugar, descargué el programa en mi ordenador, pero tras realizar el análisis del primer archivo, había algún error y me salían 32 correos en vez de 38. Así pues, decidí usar el programa que se encuentra en el escritorio de criminología de MyApps. Aún así, debo decir que sigue habiendo algún error, ya que el programa solo localiza 35 correos. Sin embargo, lo importante es saber hacerlo y comprender el funcionamiento del programa así que he decidido sacar los informes a pesar de los errores.
De esta manera lo primero que debemos hacer es crear un nuevo caso. Seguidamente le doy el nombre de “Prácticas de análisis forense”. También debo asignarle un número al caso así que lo número según la fecha de hoy: 15052021. A continuación, debo señalar que el tipo de fuente de datos que voy a analizar es una imágen de disco. Una vez indicado el tipo de fuente, deberemos señalar el directorio en el que hemos guardado el archivo “nps-2010-emails.E01”, en mi caso lo he guardado en descargas. Así pues, una vez señalemos que queremos aplicar todos los módulos de ingesta y le demos a “Next”, empezará el análisis.
Finalizado el análisis vemos que como comentaba solo se hallan 35 emails. Lo interesante es que si analizamos los emails podemos ver los documentos adjuntos de los mismo y si pulsamos sobre ellos veremos quién es su autor, cuándo se creó el archivo, cuándo se modificó, etc. Además, vemos que hay un lugar donde podemos observar que se han borrado varios archivos, 3 en concreto.
Para señalar que hemos realizado el ejercicio correctamente, debemos generar un informe pulsando en “Generate report”. Así pues, se nos proporcionará un enlace con el informe. A continuación podemos ver el resumen del mismo:
Ejercicio 2
En este ejercicio analizaremos la carpeta “directorios_ficheros”. Para ello no debemos crear un caso nuevo, sino que debemos pulsar en “Add Data Source” y señalar que “Logical Files” como fuente de los nuevos datos. Así pues, debemos señalar la ruta en la que se encuentra dicha carpeta y a continuación debemos seleccionar la aplicación de todos los módulos de ingesta. Una vez que le demos a "Next", el programa analizará la carpeta seleccionada.
De esta manera, sin nos dirigimos a “View → File Types”, podemos buscar los archivos por la extensión de los mismos o por su MIME Type. Así pues, en el caso de que la extensión sea JPEG podemos ver de qué imágenes se tratan. De la misma manera, podemos analizar qué documentos se encuentran tras el análisis como archivos ofimáticos o PDF.
Tal y como hemos hecho en el ejercicio anterior, generaremos un informe para dejar constancia del análisis. Como vemos en el informe, en este salen los resultados del análisis del ejercicio anterior (la imagen de disco) y los de este:
Ejercicio 3
Este ejercicio consistirá en realizar el análisis de dos imágenes, una de un Sistema Operativo Windows y la otra de una cámara de fotos. Puesto que en la captura del informe proporcionada en las instrucciones de la práctica salen las 4 fuentes analizadas a lo largo de todos los ejercicios, he decidido no crear un nuevo caso y realizar el análisis de todos los archivos en un mismo caso.
Así pues, en primer lugar vamos a añadir la imagen “nps-2008-jean.E01.” Para ello, una vez hemos seleccionado “Add Data Source”, indicaremos que la fuente se trata de una imagen de disco. A continuación debemos indicar la ruta en la que se encuentra dicha imagen. En mi caso se encuentra en “R:\Downloads\imagenes_practicas\nps-2008-jean.E01” y así lo indico. Al igual que hemos hecho las otras veces, seleccionamos todos los módulos de ingesta y le damos a “Next”. A diferencia de los demás análisis, este parece tardar mucho más, lo cual se pueda deber a que su peso es mayor, ya que se trata de una imagen de un Sistema Operativo.
Una vez finalizado el análisis, podemos observar que la imagen tiene 3 volúmenes. El primero y el tercero se tratan de “Unallocated Space”. Esto quiere decir que contienen todo aquello que no se usa incluidos archivos eliminados.
Así pues, generaremos un informe para dejar constancia del progreso de la práctica. Creo que ha habido algún error, ya que a pesar de que el análisis ha finalizado, no puedo ver ni las búsquedas de web, ni las cookies, ni el historial, etc. A pesar de que intenté rehacer la práctica varias veces para que me salieran los mismos resultados que se proporcionan en las instrucciones, el resultado era el mismo, así que tuve que optar por seguir a pesar de los errores:
Finalmente, pulsaremos “Add Data Source” para proceder con el análisis de la imagen “nps-2009-canon2-gen2.E01”. Así pues, volveremos a indicar que se trata de una imagen de disco. Además señalaremos que la ruta en la que se encuentra es “R:\Downloads\imagenes_camara\nps-2009-canon2-gen2.E01”. Tras volver a seleccionar que queremos aplicar todos los módulos de ingesta, le daremos a “Next” para que se lleve a cabo el análisis. Esta vez vemos que la imagen contiene dos volúmenes, uno de los cuales se trata de un Unallocated Space. El volumen 2 contiene una carpeta llamada “100CANON” en la que podemos hallar una serie de imágenes. Lo interesante es que no solo podemos ver de qué imagen se trata sino que podemos ver cuando se creó, con que modelo de cámara se tomó, etc. Además, vemos que en esa carpeta se borraron 3 imágenes.
Una vez hemos realizado el análisis pertinente, generaremos un informe para dejar constancia de lo encontrado. Como veremos a continuación, ha habido algún fallo en los análisis, ya que el informe conjunto de todas las fuentes está incompleto, Sin embargo, espero haber reflejado que me he familiarizado con el programa y que he dedicado bastante tiempo para comprender e indagar en los resultados del análisis y en su funcionamiento:
No hay comentarios:
Publicar un comentario