Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
-
▼
septiembre
(Total:
50
)
- Estafadores bancarios ya usan IA para replicar la ...
- Infostealers evitan las nuevas defensas contra el ...
- Multa a Meta por almacenar millones de contraseñas...
- Microsoft bloqueará keyloggers en Windows, aunque ...
- Una vulnerabilidad en el portal y APIs de KIA perm...
- Intel localiza la raíz de los fallos de estabilida...
- El Proyecto Tor y Tails se fusionan: «unidos por l...
- Múltiples vulnerabilidades en OpenPrinting CUPS
- Orion: las primeras gafas de realidad aumentada de...
- Meta presenta Llama 3.2, su IA de código abierto c...
- Ordenan a Google que desinstale de forma remota la...
- Disney abandona Slack tras haber sufrido un hackeo...
- Google Earth y Maps se actualiza para poder retroc...
- Vulnerabilidad crítica en GNU/Linux en espera de d...
- Google TV Streamer, análisis: el sucesor del Chrom...
- Ransomware RansomHub
- Cómo convertir una partición de Windows de MBR a G...
- Explotan vulnerabilidad Zero-Day en Windows ya par...
- Un malware chino ha infectado 2.000 dispositivos e...
- Operación Kaerb: cae red criminal de phishing en A...
- Repsol sufre un ciberataque a con filtración de su...
- Un padre instala una cámara en la cabeza de su hij...
- Ransomware llamado "Hazard" ha llamado la atención...
- PKfail compromete la seguridad de Secure Boot en P...
- YouTube anuncia novedades, incluyendo comunidades ...
- Lynx Ransomware activo en Latinoamérica
- Explosión simultánea de centenares de 'buscas' de ...
- Microsoft publica Office LTSC 2024
- Google One Lite: de 15GB a 30GB por menos dinero
- Google Photos: convertir fotos y vídeos a calidad ...
- Arrestado adolescente de 17 años involucrado en el...
- Fortinet confirma robo de 440 GB de datos
- Signal vs. Session vs. Telegram vs. WhatsApp. ¿Cuá...
- Una vulnerabilidad SQLi compromete la seguridad de...
- Mitigar ataques DDoS en un servidor web usando Fai...
- Avis sufre un ciberataque que expone información p...
- El Tribunal de la UE confirma una multa de 2.424 m...
- Autopsy: herramienta forense
- Google leerá los mensajes SMS recibidos para entre...
- 50 años de SQL
- Vulnerabilidad crítica en el complemento LiteSpeed...
- Telegram permitirá reportar conversaciones con con...
- Acusan a un productor musical de utilizar cancione...
- Mejores herramientas para redactar textos con inte...
- El Nothing Phone (2a) Plus llega a España con un p...
- Acer presenta una nueva consola portátil, la Nitro...
- Bluetooth 6 ya es oficial, trae mejoras de eficien...
- Troyano NGate de Android clona datos NFC de tarjet...
- Microsoft Recall no podrá ser desinstalado de Wind...
- Una empresa socia de Facebook admite que pueden es...
-
▼
septiembre
(Total:
50
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Autopsy: herramienta forense
Autopsy es una herramienta de código abierto que se utiliza para realizar operaciones forenses en la imagen de disco de las evidencias. Aquí se muestra la investigación forense que se realiza sobre la imagen de disco. Los resultados obtenidos aquí son de ayuda para investigar y localizar información relevante. Esta herramienta es utilizada por las fuerzas del orden, la policía local y también se puede utilizar en las empresas para investigar las pruebas encontradas en un delito informático. También se puede utilizar para recuperar información que ha sido borrada.
Creación de un nuevo caso
Ejecuta la herramienta de Autopsia en tu sistema operativo Windows y haz clic en “New Case” (“Nuevo Caso“) para crear un nuevo caso.
A continuación, rellena toda la información necesaria del caso, como el nombre del mismo, y elige un directorio base para guardar todos los datos del caso en un solo lugar.
También puedes añadir información adicional opcional sobre el caso si es necesario.
Ahora vamos a añadir el tipo de fuente de datos. Hay varios tipos para elegir.
- Disk Image or VM file: Esto incluye el archivo de imagen que puede ser una copia exacta de un disco duro, una tarjeta multimedia o incluso una máquina virtual.
- Local Disk: Esta opción incluye dispositivos como discos duros, pen drives, tarjetas de memoria, etc.
- Logical Files: Incluye la imagen de cualquier carpeta o archivo local.
- Unallocated Space Image File: Incluyen archivos que no contienen ningún sistema de archivos y se ejecutan con la ayuda del módulo Ingest.
- Autopsy Logical Imager Results: Incluyen la fuente de datos de la ejecución del generador de imágenes lógicas.
- XRY Text Export: Incluyen la fuente de datos de la exportación de archivos de texto desde XRY.
A continuación, se te pedirá que configures el módulo Ingest.
El contenido del módulo Ingest se encuentra en la siguiente lista:
Módulo Ingest | Descripción |
---|---|
Recent Activity | Se utiliza para descubrir las operaciones recientes que se realizaron en el disco, como los archivos que se vieron recientemente. |
Hash Lookup | Se utiliza para identificar un archivo concreto mediante su valor hash. |
File Type Identification | Se utiliza para identificar los archivos basándose en sus firmas internas y no sólo en las extensiones de los archivos. |
Extension Mismatch Detector | Se utiliza para identificar los archivos cuyas extensiones han sido manipuladas o han sido modificadas para ocultar las pruebas. |
Embedded File Extractor | Se utiliza para extraer archivos incrustados como .zip, .rar, etc. y utilizar esos archivos para su análisis. |
Keyword Search | Se utiliza para buscar una palabra clave concreta o un patrón en el archivo de imagen. |
Email Parser | Se utiliza para extraer información de los archivos de correo electrónico si el disco contiene alguna información de la base de datos de correo electrónico. |
Encryption Detection | Esto ayuda a detectar e identificar los archivos encriptados protegidos por contraseña. |
Interesting File Identifier | Mediante esta función, el examinador recibe una notificación cuando los resultados corresponden al conjunto de reglas definidas para identificar un tipo de archivo concreto. |
Central Repository | Guarda las propiedades en el repositorio central para su posterior correlación. |
PhotoRec Carver | Esto ayuda al examinador a recuperar archivos, fotos, etc. del espacio no asignado en el disco de imagen. |
Virtual Machine Extractor | Ayuda a extraer y analizar si se encuentra alguna máquina virtual en la imagen de disco. |
Data Source Integrity | Ayuda a calcular el valor hash y a almacenarlo en la base de datos. |
La información de la fuente de datos (Data Source) muestra los metadatos básicos. Su análisis detallado se muestra en la parte inferior. Se puede extraer uno tras otro.
Vistas
File Type (Tipo de archivo): Se puede clasificar en forma de extensión de archivo o tipo MIME.
Proporciona información sobre las extensiones de archivo que suelen ser utilizadas por el sistema operativo, mientras que los tipos MIME son utilizados por el navegador para decidir qué datos representar. También muestra los archivos eliminados.
Nota
Estos tipos de archivo se pueden clasificar en función de la extensión (Extension), los documentos (Documents) y los ejecutables (Executables).
Por extensión
En la categoría Tipos de archivo por extensión (By Extension), puedes ver que se ha subdividido en tipos de archivo como imágenes, vídeo, audio, archivos, bases de datos, etc.
Vamos a hacer clic en las imágenes y explorar las imágenes que se han recuperado.
También podemos ver la miniatura de las imágenes.
Al ver la miniatura, se pueden ver los metadatos del archivo y los detalles de la imagen.
Aquí también podemos ver algunos archivos del tipo “Archives” que se han recuperado. Podemos extraer estos archivos del sistema y visualizarlos utilizando varios programas.
Documentos
Los documentos se clasifican en 5 tipos: HTML, Office, PDF, Texto sin formato (Plain Text) y Texto enriquecido (Rich Text).
Al explorar la opción de documentos, puedes ver todos los documentos PDF presentes, puedes hacer clic en los importantes para verlos.
Al explorar la opción de PDF, también puedes encontrar el PDF importante en la imagen del disco.
Del mismo modo, los diversos archivos de texto plano también se puede ver. También puedes recuperar los archivos de texto plano eliminados.
Ejecutables
Estos tipos de archivos se subdividen en .exe, .dll, .bat, .cmd y .com.
Por tipo MIME
En este tipo de categoría, hay cuatro subcategorías como aplicación, audio, imagen y texto. Estas se dividen a su vez en más secciones y tipos de archivo.
Archivos eliminados
(Deleted Files) Muestra información sobre el archivo eliminado que luego se puede recuperar.
Archivos de tamaño MB
(MB Size Files) En esta sección, los archivos se clasifican en función de su tamaño, a partir de 50 MB. Esto permite al examinador buscar archivos de gran tamaño.
Resultados
En esta sección, obtenemos información sobre el contenido que fue extraído.
Contenido extraído
(Extracted Content) Todo el contenido que fue extraído, es segregado en detalle. Aquí hemos encontrado metadatos, papelera de reciclaje y descargas web. Veamos más a fondo cada uno de ellos.
Metadatos (Metadata): Aquí podemos ver toda la información sobre los archivos como la fecha de creación, de modificación, el propietario del archivo, etc.
Descargas Web (Web Downloads): Aquí se pueden ver los archivos que fueron descargados de internet.
Palabras clave
(Keyword Hits) Aquí se puede buscar cualquier palabra clave específica en la imagen de disco. La búsqueda se puede realizar con respecto a la coincidencia exacta, coincidencias de subcadena, correos electrónicos, palabras literales, expresiones regulares, etc.
Puedes ver las direcciones de correo electrónico disponibles.
Se puede optar por exportar a un formato CSV.
Línea de tiempo (Timeline)
Mediante esta función puedes obtener información sobre el uso del sistema en forma de estadística (statistical), detallado (detailed) o lista (list).
Descubrimiento (Discovery)
Esta opción permite encontrar medios utilizando diferentes filtros que están presentes en la imagen de disco.
Según las opciones seleccionadas, se pueden obtener los resultados deseados.
Imágenes/Vídeos
Esta opción permite encontrar imágenes y vídeos a través de varias opciones y múltiples categorías.
Añadir etiqueta de archivo
El etiquetado se puede utilizar para crear marcadores, seguimiento, marcar como cualquier elemento notable, etc.
Ahora cuando veas las opciones de etiquetas, verás que los archivos fueron etiquetados de acuerdo a varias categorías.
Generar Informe
Una vez terminada la investigación, el examinador puede generar el informe en varios formatos según su preferencia.
Comprueba la fuente de datos cuyo informe debe generarse.
Aquí elegimos crear el informe en formato HTML.
Autopsy es una herramienta forense digital de código abierto desarrollada por Basis Technology, lanzada por primera vez en 2000. Es una herramienta de uso gratuito y bastante eficiente para la investigación del disco duro con características como casos de múltiples usuarios, análisis de línea de tiempo, análisis de registro, búsqueda de palabras clave, análisis de correo electrónico, reproducción de medios, análisis EXIF, detección de archivos maliciosos y mucho más.
Esta publicación está inspirada en Vishva Vaghela, una entusiasta de la Forense Digital que disfruta escribiendo contenido técnico.
Fuente:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.