Autopsy3 ReYDeS

Alonso Eduardo Caballero Quezada - ReYDeS
Consultor en Hacking tico & Informtica Forense
Traducido por:
Alonso Eduardo Caballero Quezada

Consultor en Hacking tico e Informtica Forense
Correo Electrnico: reydes@gmail.com
Sitio Web: http://www.reydes.com
Versin 1.5 Diciembre del 2013

Versin 1.0 Noviembre del 2013
Puede obtener la versin ms actual de este documento en: http://www.reydes.com/d/?q=node/2
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS

Autopsy 3
Toda la informacin presentada a continuacin, ha sido traducida de la informacin oficial en ingls
sobre Autopsy 3, la cual ha sido publicada en: http://www.sleuthkit.org/autopsy/index.php
Autopsy es una plataforma forense digital e interfaz grfica para The Sleuth Kit y otras
herramientas forenses digitales. Puede ser utilizada por fuerzas del orden, militares, y examinadores
corporativos para investigar lo que ocurri en una computadora. Aunque se puede utilizar para
recuperar las fotos desde la tarjeta de memoria de una cmara digital.
1. Facilidad de Uso
Autopsy ha sido diseada para ser intuitivo. Su instalacin es sencilla y un asistente gua a travs de
cada paso. Todos los resultados se encuentran en un nico rbol.
Intuitivo
Las herramientas de forense digital deben ser intuitivas y accesibles, de tal manera que puedan ser
utilizadas efectivamente por investigadores no tcnicos. Autopsy 3 utiliza asistentes para ayudar a
los investigadores a conocer cual es el siguiente paso, usando tcnicas de navegacin comunes para
ayudarlos a encontrar resultados, e intentar a automatizar tanto como sea posible para reducir
errores.
Varias caractersticas fueron aadidas para asegurar que Autopsy sea sencillo de utilizar para
usuarios no tcnicos.
Los Asistentes son utilizados en varios lugares para guiar al usuario a travs de pasos
comunes.
El Historial es mantenido de tal manera que el usuario pueda utilizar los botones de
adelantar o retroceder para rastrear despus de haber seguido una ruta de investigacin.
Las Configuraciones Previas son algunas veces utilizadas con los mdulos de tal manera que
se puede ms fcilmente analizar la siguiente imagen con la misma configuracin de la
ltima imagen.
La vista por defecto de Autopsy es una sencilla interfaz donde todos los resultados del anlisis
pueden ser siempre encontrados en un nico rbol sobre el lado izquierdo. Cuando el examinar est
buscando algo, puede inmediatamente revisar el rbol. No tienen que ir a travs de mens o capas
de pestaas para encontrar la informacin.

2. Ampliable
Autopsy ha sido diseado para ser una plataforma con mdulos. Algunos de estos mdulos
proporcionan:
Anlisis de Cronologa: Interfaz grfica para visualizar eventos
Filtrar hash : Se marcan los archivos conocidos como dainos y se ignoran los conocidos
como buenos.
Anlisis Forense del Sistema de Archivos: Recupera archivos desde los formatos ms
comunes.
Bsqueda de palabras: Bsqueda indexada de palabras para encontrar archivos que

mencionan trminos relevantes.
Artefactos Web: Extraer historial, bookmarks, y cookies de Firefox, Chrome, IE y Safari.
Multimedia: Extraer EXIF de imgenes y visualizar videos.
Se recomienda revisar la pgina de caractersticas para mayor informacin. Los desarrolladores

puede referirse a la pgina de desarrollo de mdulos para detalles sobre como construir mdulos. El
wiki contiene una lista de mdulos de terceros.
2.1 Anlisis de Cronologa
El anlisis de la cronologa es muy til para una variedad de tipos de investigacin y es
frecuentemente utilizada para responder a una variedad de preguntas; sin embargo, el corazn de
cada una de estas preguntas es: Como fue que el dispositivo lleg al estado actual?
Adems, en el nombre de la reduccin de datos, los investigadores desean conocer si hay alguna
manera de reducir el nmero de archivos que necesitan ser revisados de manera manual. El
componente grfico para el anlisis de cronologa de Autopsy, puede ayudar a identificar
rpidamente archivos y fechas de importancia en el disco duro bajo investigacin, d esta manera los
investigadores pueden identificar algn archivo relacionado con periodos activos sobre el
dispositivo y enfocarse primero en estos.
Caractersticas:
Habilidad para acercar o alejar la granularidad de un rango de fechas con u solo clic o botn.
Visualizar una lista de archivos asociado con u rango de fechas (Basadas e la informacin
MAC)
Utilizar visores de contenido para cada archivo listado e la vista de cronologa directamente

desde la interfaz del mdulo.
Visualizar aos, meses, y das de actividad de archivos en una representacin de histograma

del nmero de lo eventos en un rango.
2.2 Indexacin y Bsqueda de Palabras Clave

Autopsy utiliza el poderoso motor de indexacin Apache SOLR para que la caractersticas de
bsquedas de palabras sea rpida y robusta. Las lista predefinidas de palabras claves y expresiones
regulares puede ser configuradas para ejecutarse mientras la imagen est siendo procesada. Por
defecto, Autopsy incluye expresiones regulares de bsqueda para:
Direcciones de correo electrnicos
Nmero de telfono
Direcciones IP
URLs
Adems, las bsquedas de palabras ad-hoc pueden ser ejecutadas directamente desde la barra de
contenido durante una investigacin antes (o durante) el procesamiento de la imagen del disco. Las
bsquedas de palabras concurrentes pueden ser ejecutadas contra el indice de bsqueda.
En lugar de buscar datos en bruto, la bsqueda de palabras en Autopsy es realizada sobre la salida
de los mdulos de extraccin de texto. Autopsy utiliza Tika y otras libreras para extraer texto
desde HTML, Microsoft Office, PDF, RTF y dems. Esta aproximacin es ms efectiva para
encontrar texto que la bsqueda nivel de byte para los archivos PDF y docx que no estn en ingls
donde los datos estn comprimidos.
Cualquier resultado de las bsquedas que est habilitadas (expresiones regulares o listas definidas
de usuario), aparecern en el nodo de Coincidencias de palabras en el rbol de navegacin de
Autopsy.
Gracias a Apache SOLR, todos los archivos que Autopsy identifica que tienen contenido de texto en
ellos, sern indexados para bsqueda ya sea mediante listas de expresiones regulares predefinidas,
listas de palabras definidas por el usuario, o consultas ad-hoc.
2.3 Anlisis de Artefactos Web
Autopsy est configurado para buscar por artefactos web comunes de los principales navegadores
de la actualidad, incluyendo:
Firefox

Chrome
Internet Explorer
Safari
Autopsy extrae la siguiente informacin y lo enva a la pizarra:
Bookmarks
Cookies
History
Downloads
Search Queries
Para facilitar el encontrar estos datos, los resultados de todos los navegadores son mezclados juntos.
De esta manera, si se desea ver el historial del usuario, se va al nodo historia. No se necesita ir a
travs de las carpetas de los diferentes navegadores antes de encontrar el historial.
Todos los resultados son categorizados y se muestran automticamente en la vista de rbol de
Autopsy bajo el nodo Resultados. Esta caracterstica proporciona al investigador acceso rpido y
automtico a los detalles a nivel de la aplicacin de lo el usuario estuvo haciendo mediante los
navegadores web, y puede conducir a bsquedas adicionales de palabras clave e hiptesis de
investigacin a explorar.
Caractersticas de Anlisis
A continuacin una lista de las caractersticas de Autopsy
Anlisis de Cronologa: Muestra los eventos del sistema en una interfaz grfica para ayudara
a identificar actividad
Bsqueda de palabras: Extraccin de texto y mdulos de bsqueda indexada que permite

encontrar archivos que mencionan trminos especficos y encontrar patrones de expresiones
regulares.
Artefactos Web. Extraccin de actividad web de los navegadores ms comunes para ayudar
a identificar actividad del usuario.
Anlisis del Registro: Utiliza RegRipper para identificar documentos recientemente

accedidos y dispositivos USB.
Anlisis de Archivos LNK: Identifica atajos y documentos accedidos
Anlisis de Correos Electrnicos: Interpreta mensajes en formato MBOX, tal como

Thunderbird.
EXIF: Extraccin de geolocalizacin e informacin de la cmara desde archivos JPEG
Orden por tipo de Archivo: Archivos agrupados por su tipo para encontrar todas las
imgenes o documentos.
Visor de Medios: Visualizar videos e imgenes en la aplicacin y no requiere un visor

externo.
Visor de Miniaturas: Muestra las miniaturas de imgenes para ayudar a verlas rpidamente.
Anlisis Robusto del Sistema de Archivos: Soporta los sistemas de archivos ms comunes,
incluyendo NTFS, FAT12, FAT16, FAT32, HFS+, ISO9660 (CD-ROM), Ext2, Ext3, y UFS
de The Sleuth Kit.
Filtrar por Conjunto de Hash: Filtra archivos conocidos como buenas utilizando NSRL, y
marca los archivos conocidos como dainos, utilizando conjuntos de hash personalizados en
formatos HashKeeper, md5sum, y EnCase.
Etiquetas: Etiqueta archivos con nombres de etiquetas arbitrarios, como bookmark o

sospechoso, y aade comentarios.
Extraccin de Cadenas Unicode: Extrae cadenas desde el espacio sin asignar y tipos de
archivos desconocidos en varios lenguajes (Arbigo, Chino, Japons, etc.)
Formato de Entrada
Autopsy analiza imgenes de disco, dispositivos locales, o carpetas de archivos locales. Las
imgenes de disco pueden estar en formato raw/dd o E01. El soporte E01 es proporcionado por
libewf.
Reporte
Autopsy tienen una infraestructura de reporte ampliable que permite tipos adicionales de reporte
para ser creadas por los investigadores. Por defecto estn disponibles archivos de reporte HTML,
XLS, y de cuerpo. Cada uno se puede configurar dependiendo de cual es la informacin que el
investigador desea incluir en su reporte:
HTML y Excel: Los reportes HTML y Excel estn hechos para ser reportes completamente

empaquetados y que puedan ser compartidos. Estos pueden incluir referencias a archivos
etiquetados con comentarios y anotaciones insertadas por el investigador, como tambin
otras bsquedas automticas que Autopsy realiza durante el procesamiento. Estos incluyen
bookmarks, historial web, dispositivos adjuntos, cookies, descargas, y consultas de
bsqueda.
Archivo Body: Principalmente para ser usado en el anlisis de cronologa, este archivo
puede incluir tiempos MAX para cada archivos en un formato XML, para ser importado por
herramientas externas, como mactime en The Sleuth Kit.
Un investigador puede generar uno o ms reportes a la vez, as mismo editar uno existente o crear
un nuevo mdulo de reporte para personalizar el comportamiento para una necesidad especfica.
3. Rpido
Todos desean resultados para ayer. Autopsy ejecuta tareas en segundo plano en paralelo utilizando
varios ncleos y proporcionando resultados tan pronto como son encontrados. Puede tomar horas
buscar completamente una unidad, pero se podran conocer en minutos si las palabras son
encontradas en las carpetas del usuario. Revise la pgina de resultados rpidos para mayor detalle.
Resultados Rpidos
As como los medios crecen en tamao, se torna ms amplio analizarlos. La fsica nos impide
obtener toda la evidencia antes de tomar una taza de caf, pero Autopsy nos mostrar la evidencia
tan pronto como se conozco e intentar encontrar primero la mayor cantidad de evidencia relevante.
Autopsy tiene varias caractersticas para obtener la evidencia ms rpido:
Varios mdulos de procesamiento se ejecutan en paralelo para aprovechar los sistemas con
varios ncleos.
Pasos intensivos de tiempo puede ser deshabilitados para un anlisis ms rpido, pero menos
exhaustivo (un triage). Por ejemplo, se puede saltar la bsqueda de archivos FAT hurfanos
y saltar el anlisis de espacio sin asignar.
Las carpetas y archivos de usuario son priorizadas sobre las carpetas y archivos del sistema.
Los resultados de los mdulos de procesamiento, en general, son mostrados tan pronto como
son encontrados. La bandeja de entrada de procesamiento proporciona informacin sobre
cuales mdulos estn reportando.

4. Rentable
Autopsy es Libre. As como los presupuestos se reducen, las soluciones de forense digital rentables
son esenciales. Autopsy ofrece las mismas caractersticas centrales de otras herramientas forenses
digitales y ofrece otras caractersticas esenciales, como anlisis de artefactos web y anlisis del
registro, que otras herramientas comerciales no proporcionan.
5. Descarga
Existen seis archivos para descargar en cada publicacin.
autopsy-X.X.X-32bit.msi: Instalador de Windows de 32-bit
autopsy-X.X.X-64bit.msi: Instalador de Windows de 64 bits
autopsy-X.X.X-devplatform.zip: Una plataforma para que los desarrolladores escriban

mdulos.
Varios archivos .asc conteniendo las firmas GPG para los archivos anteriores.
Para utilizar Autopsy en windows, se debe descargar un msi y ejecutarlo. Estos es todo lo que se
necesita hacer. La versin de 64 bit, puede utilizar ms memoria RAM y podra ser ms rpida.
Autopsy 3 es solo para Windows y viene con un instalador. No se necesita descargar o instalar nada
ms. Todo est contenido en el instalador.

Gua de Inicio Rpido de Autopsy 3

Fuente: http://www.sleuthkit.org/autopsy/docs/quick/index.html
1. Instalacin
La versin actual de Autopsy 3 se ejecuta nicamente sobre Microsoft Windows. Se ha conseguido
que se ejecute en otras plataformas, como Linux y OS X, pero no se le tiene en u estado que sea
fcil distribuirlos y encontrar las libreras necesarias.
El instalado de Windows crear un directorio para Autopsy y colocar todos los archivos necesarios
dentro de este. El instalador incluye todas las dependencias, incluyendo Sleuth Kit y Java.
Se debe anotar que Autopsy 3 es una completa reescritura de Autopsy 2 y nada de este documento
es relevante par Autopsy 2.
2. Aadir una Fuente de Datos (imagen, disco local, archivos lgicos)

Las fuentes de datos son aadidos a un caso. Un caso puede tener una nica fuente de datos o esta
puede tener varias fuentes de datos si estas estn relacionadas. Actualmente se genera un nico
reporte par un caso completo, de esta manera si se necesita reportar sobre una fuente de datos
individual, entonces se puede utilizar una fuente de datos por caso.
2.1 Crear un Caso
Para crear un caso, se utiliza ya sea la opcin Create New Case de la pantalla de bienvenida o
desde el men File. Esto iniciar el Asistente de Nuevo Caso. Ser necesario proporcionar el
nombre del caso y un directorio para almacenar los resultados del caso. Se puede proporcionar
opcionalmente nmeros de caso y otros detalles.
2.2 Aadir una Fuente de Datos
El siguiente pago es aadir una fuente de datos de entrada. El Asistente para Aadir una Fuente de
Dato se iniciar automticamente despus de que sea creado el caso o se puede iniciar manualmente
desde el men File o la barra de herramientas. Se necesitar escoger el tipo de fuente de datos de
entrada a aadir (imagen, disco local o archivos y carpetas lgicos). A continuacin, proporcionar la
ubicacin de la fuente a aadir.
Para una imagen de disco, navegar al primer archivo del conjunto (Autopsy encontrar los
archivos restante). Autopsy actualmente soporta archivos E01 y raw (dd).

Para discos locales, seleccionar uno de los discos detectados. Autopsy aadir la vista actual
del disco al caso (captura de metadatos). Sin embargo, el contenido individual del archivo
(no metadatos) se actualizar con los cambios hechos al disco. Anotar, que se necesitar
ejecutar Autopsy como administrador para detectar todos los discos.
Para archivos lgicos (un nico archivo o carpetas de archivos), utilizar el botn Add para
aadir uno o ms archivos o carpetas del sistema al caso. Las carpetas sern aadidas de
manera recursiva al caso.
Existen un par de opciones en el asistente que permitirn hacer el procesamiento ms rpido. Estos
se ocupan normalmente de los archivos eliminados. Esto se alargar si el espacio sin asignar es
analizado y el dispositivo completo es buscado por archivos borrados. En algunos escenarios, estos
pasos de recuperacin deben ser realizados y en otros escenarios estos pasos no son necesarios y en
lugar son necesarios resultados rpidos sobre los archivos sin asignar. Utilizar estas opciones para
controlar el tiempo que tomar el anlisis.
Autopsy empezar a analizar estas fuentes de datos y los aadir al caso y base de datos interna.
Mientras hace esto, consultar para configurar los Mdulos de Asimilaci.
2.3 Mdulos de Asimilacin
El siguiente paso ser consultar los Mdulos de Asimilacin. Los mdulos de asimilacin se
ejecutarn en segundo plano y realizarn tareas especficas. Los Mdulos de Asimilacin analizan
archivos en un orden priorizado de tal manera que los archivos en el directorio del usuario son
analizados antes que los archivos en otras carpetas. Los mdulos de asimilacin pueden ser
desarrollados por terceros. A continuacin se detallan los mdulos de asimilacin estndar que
vienen con Autopsy:
La Actividad Reciente extrae la actividad del usuario como la guardada por el navegador
web y el Sistema Operativo. Tambin ejecuta regripper sobre la colmena del registro.
La Consulta de Hash utiliza una base de datos de hash para ignorar archivos conocidos
desde NIST NSRL y etiquetar los archivos conocidos dainos. Utilizar el botn Advanced
para aadir y configurar las bases de datos hash a ser utilizadas durante este proceso.
Tambin se puede obtener actualizacin sobre coincidencias de archivos conocidos dainos
mientras ocurre la asimilacin. Se puede luego aadir bases de datos de hash mediante el
men Tools -> Options en la interfaz de usuario principal. Tambin se puede descargar un
indice de NIST NSRL.
La Bsqueda de Palabras Clave utiliza listas de palabras claves para identificar archivos con
palabras especficas en ellas. Tambin se puede seleccionar la listas de palabras claves a
buscar automticamente y se puede crear nuevas listas utilizando el botn Advanced. Se
debe anotar que con la bsqueda de palabras clave, se puede siempre realizar bsquedas
despus de que la asimilacin ha finalizado. Las listas de palabras clave que se seleccionan
durante la asimilacin pueden sern buscadas a intervalos regulares y se obtendrn los

resultados e tiempo real. No se necesita esperar a que todos los archivos sean indexados.
El Extractor de Archivos apertura formatos de archivos ZIP, RAR, y otros, adems enva los
archivos desde estos de regreso a travs de fuentes de informacin para anlisis.
El Interprete EXIF de Imgenes extrae la informacin EXIF desde los archivos JPEG y
enva los resultados al rbol de la interfaz de usuario principal.
El Interprete Thunderbird identifica archivos MBOX de Thunderbird y extrae los correos

electrnicos desde estos.
Cuando se selecciona un mdulo, se tendr la opcin de cambiar estas configuraciones. Por

ejemplo, se puede configurar cuales listas de palabras clave utilizar durante la asimilacin y cuales
bases de datos hash utilizar. En la ayuda del sistema dentro de Autopsy se puede encontrar ms
detalles sobre como realizar la configuracin de cada mdulo.
Mientras la asimilacin de mdulos se ejecutan en segundo plano, se puede ver una barra de
progreso en la parte inferior derecho. Se puede utilizar la Interfaz Grfica de Usuario para revisar
los resultados entrantes y realizar otras tareas mientras la asimilacin ocurre en este momento.
3. Anlisis Bsico
Se puede iniciar todas las tcnicas de anlisis desde el rbol ubicado a la izquierda.
El nodo raz de Fuente de Datos muestra todos los datos en el caso

- Los nodos de imagen individual muestra la estructura del sistema de archivo de las
imgenes de disco o discos locales en el caso.
- El nodo LogicalFileSet muestra los archivos lgicos en el caso.
El nodo de Vista muestra los mismos datos desde la perspectiva de tipo de archivo o
cronologa.
El nodo de Resultado muestra la salida desde los mdulos de asimilacin.
Cuando se selecciona un nodo desde el rbol sobre la izquierda, una lista de archivos ser mostrado
en la parte superior derecha. Se puede utilizar la vista de Miniaturas en la parte superior derecha
para visualizar las fotos. Cuando se selecciona un archivo desde la parte superior derecha, estos
contenidos sern mostrados en la parte inferior derecha. Tambin se puede utilizar las pestaas e la
parte inferior derecha para visualizar el texto del archivo, una imagen, o los datos en hexadecimal.
Si se est visualizando archivos desde los nodos de Vistas o resultados, se puede hacer clic derecho
sobre el archivo para ir a la ubicacin en el sistema de archivos. Esta caracterstica es til para ver

lo que un usuario guard en la misma carpeta as como el archivo que se est actualmente
visualizando. Se puede tambin hacer clic derecho sobre el archivo para extraerlo en el sistema
local.
Si se desea buscar por palabras claves nicas, entonces se puede utilizar la caja de bsqueda en la
parte superior derecha del programa. Los resultados sern mostrados en una tabla e la parte superior
derecha.
Se puede etiquetar (o bookmark) archivos arbitrarios de tal manera que puedan ser encontrados ms
rpidamente despus o para ser incluidos especficamente en un reporte.
3.1 Bandeja de Entrada de Asimilacin

As como se puede ir a travs de los resultados en el rbol, los mdulos de asimilacin estn
ejecutndose en segundo plano. Los resultados son mostrados en el rbol tan pronto como los
mdulos de asimilacin los encuentran y reportan.
La Bandeja de Entrada recibe mensajes desde los mdulos de asimilacin cuando encuentra
resultados. Se puede abrir la bandeja de entrada en el momento que sea conveniente. Se puede
adems visualizar que es lo que fue encontrado mientras se enfocaba la atencin en una tarea

previa. Se puede conocer que se encontr un archivo conocido como daino o que se encontr un
archivo con una palabra clave relevante, para luego decidir enfocarse por un momento en este.
Cuando se selecciona un mensaje, se puede saltar al rbol de Resultados donde se pueden encontrar
ms detalles o saltar a la ubicacin de los archivos en el sistema de archivos.
3.1 Cronologa (Beta)
Existe una vista sencilla de la cronologa que puede ser accedida mediante la caracterstica Tools
-> Make Timeline. Tomar unos minutos crear una cronologa para el anlisis. Esta caracterstica
an est bajo desarrollo.
4. Ejemplos de Casos de Uso

En esta seccin se proporcionarn ejemplos de como hacer tareas comunes de anlisis.
4.1 Artefactos Web
Si se desea visualizar la actividad web reciente del usuario, se debe primero asegurar que el mdulo
de asimilacin de Actividad Reciente est habilitada. Tambin se puede ir al nodo Results en el
rbol sobre el lado izquierdo y luego al nodo Extracted Data. Aqu, se puede encontrar
bookmarks, cookies, downloads, e historial.
4.2 Hash de Archivos Conocidos como Dainos
Si se desea ver si la fuente de datos tiene archivos conocidos como dainos, se debe asegurar que el
mdulo de asimilacin Hash Lookup est habilitado. Luego se podr visualizar la seccin Hashset
Hits en el rea Results del rbol sobre la izquierda. Anotar que la consulta de hash puede tomar
un largo tiempo, as que est seccin ser actualizada tan pronto como ocurra el procesamiento de
asimilacin. Utilizar la Bandeja de Entrada de Asimilacin para mantener una pista de cuales son
los archivos conocidos como dainos encontrados.
Cuando se encuentran un archivo conocido como daino en esta interfaz, se puede hacer clic
derecho sobre el archivo para visualizar la ubicacin original del archivo. Se puede encontrar
archivos adicionales que sean relevantes y almacenadas en la misma carpeta que este archivos.
4.3 Media: Imgenes y Videos
Si se desea ve todas las imgenes y videos en le imagen del disco, entonces se puede ir a la seccin
Vistas en el rbol sobre el lado izquierdo y luego en File Types. Se debe seleccionar ya sea
Images o Videos. Se puede utilizar la opcin miniaturas en el lado superior derecho para
visualizar las miniaturas de todas las imgenes.

Nota: Se est trabajando para hacer esto ms eficiente cuando existen una gran cantidad de
imgenes y se est trabajando en esta caracterstica para mostrar miniaturas de videos.
Se puede seleccionar una imagen o video desde la parte superior derecha y visualizar el video o
imagen e la parte inferior derecha, Los videos sern reproducidos con audio.
5. Reportar
Un reporte final puede ser generado que incluya todos los resultados del anlisis. Se debe utilizar el
botn Generate Report para crearlo. Esto crear un reporte HTML o XLS en la carpeta de
reportes de la carpeta del caso. Si se olvida la ubicacin de la carpeta del caso, esta puede ser
determinada utilizando la opcin Case Properties en el men File. Existe tambin una opcin
para exportar archivos de reporte a una carpeta separada fuera de la carpeta del caso.

Contenidos de Ayuda de Autopsy 3

Fuente: Contenidos de ayuda que puede ser accedidos ingresando a Autopsy 3 y luego haciendo clic
izquierdo en Help -> Help Contents.
Visin General
Autopsy permite realizar una investigacin forense digital. Es una interfaz grfica para The Sleuth
Kit y otras herramienta. Esta pgina delinea los conceptos bsicos del programa. Lo restante de esta
gua de ayuda est organizada alrededor de estos conceptos.
Las caractersticas principales de Autopsy incluyen: importar fuentes de datos (imagen, disco,
archivos) y explorar estos sistemas de archivos, ejecutar mdulos de anlisis (asimilacin),
visualizar resultados de asimilacin, visualizar contenido y generar reportes.
Autopsy es una aplicacin que se puede expandir, proporciona un framework que permite a otros
proporcionar plug-ins y proveer asimilacin adicional de imagen y archivo para nuevos tipos de
anlisis, visores de contenido variado y diferentes tipos de reportes a ser soportados. Estos son plugings para varios mdulos de asimilacin, visores y reportes que son incluidos por defecto con
autopsy.
Toda la data est organiza alrededor del concepto de un caso. Un caso puede tener cargada uno o
ms fuentes de datos en el.
La ventana principal tiene tres reas principales.
rbol Explorador de Datos: Esta rea es donde se encuentra las funcionalidad de anlisis
principal. Permite iniciar el hallazgo de archivos relevantes rpidamente.
Visores de Resultados: Esta rea es donde los archivos y directorios que fueron
encontrados desde la ventana de exploracin pueden ser visualizados. Existen diferentes
opciones de formateo para los archivos.
Visores de Contenido: Esta rea es donde el contenido del archivo puede ser visualizado
despus de haber sido seleccionado desde el rea del Visor de Resultados.
Lo principal de esto es que las tcnicas de anlisis y categoras de resultados pueden ser
encontrados sobre el lado izquierdo, los resultados de seleccionar algo sobre el lado izquierdo son
siempre listados en la parte superior derecha, y el contenido de los archivos son mostrados en la
parte inferior derecha.

1. Manejo del Caso

1.1 Caso
1.1.1 Sobre los Casos
En Autopsy, un caso es un concepto contenedor para un conjunto de fuentes de datos (imgenes
de disco, dispositivos de disco, archivos lgicos). Este conjunto de datos podra ser de varias
unidades en una computadora o de varias computadores. Cuando se hace un caso, se crear un
directorio para mantener toda la informacin. El directorio contendr el archivo de configuracin
principal de Autopsy, archivos de configuracin de otros mdulos, algunas bases de datos, reportes
generados, y alguna otra informacin (archivos temporales, archivos cache). El archivo de
configuracin principal del caso e Autopsy tiene una extensin .aut - este es archivo que debe ser
utilizado para Abrir el caso. En general, se recomienda al usuario no modificar ningn archivo en
el directorio del caso y dejar que Autopsy lo maneje.
Crear un Caso
Referirse al punto de Crear un Caso para ms detalles

Abrir un Caso
Para abrir un caso, seleccionar Open Case del Men File o utilizar Ctrl + O. Navegar al
directorio del caso y seleccionar el archivo .aut.
1.1.2 Crear un Caso
Existen varias maneras para crear un caso:
Ir a File y seleccionar New Case...
Presionar Ctrl + N en el teclado.
Se abrir el asistente del New Case y ser necesario ingresar el nombre del caso y el directorio
base. Cada caso tendr su propio directorio y se crea la uta del directorio para combinar el
Directorio Base con el Nombre del Caso. Si el directorio ya existe, se necesitar borrar el
directorio existente o seleccionar una combinacin diferente de nombres.
Ejemplo:
A continuacin se presenta u ejemplo del asistente para el Nuevo Caso,

2.1 Fuente de Datos

2.1.1 Sobre la Fuente de Datos
Autopsy soporta tres tipos de fuentes de datos que pueden ser aadidos a un Caso.
Imagen de Disco (raw, EnCase, etc.). Imagen se refiere a una copia byte a byte de disco
duro u otro medio de almacenamiento.
Dispositivo de Disco (particin de disco lgico o fsico, conectada en la mquina del usuario
y detectada por Autopsy). Nota: Para detectar correctamente todos los dispositivos, Autopsy
necesita ejecutarse como Administrador.
Archivos Lgico (Archivos y carpetas del sistema de archivos en la mquina de usuario)
El usuario necesita seleccionar el tipo de fuente de datos desde el men desplegable en el asistente
para Aadir Fuente de Datos.
Para analizar una Fuente de Datos, el usuario deber utilizar el Asistente para Aadir Fuente de
Datos para aadirlo a un caso.
Autopsy puebla una base de datos incrustada para cada fuente de datos (imagen, dispositivo de
disco, archivos lgicos) que este importa. Esta es una base de datos SQLirte y contiene todos los
metadatos del sistema de archivos de la fuente de datos de entrada. Esta base de datos es
almacenada en el directorio del caso, pero la fuente de datos permanecer en su ubicacin original.
La fuente de datos debe permanecer accedible en toda la duracin del anlisis debido a que la base
de datos contiene solo la informacin bsica del sistema de archivos (metadatos, no el contenido
actual). La imagen / archivos son necesarios para recuperar el contenido del archivo.
Formatos Soportados de Imagen
Actualmente, Autopsy soporta estos formatos de imagen:
Raw Simple (Por ejemplo: *.img, *.dd, *.raw, etc)

Raw Dividido (Por ejemplo: *.001, *.002, *.aa, *.ab, etc)
EnCase (Por ejemplo: *.e01, *.e02, etc)
Eliminar una Fuente de Datos

Actualmente no puede ser eliminada una fuente de datos para un caso.

2.1.2 Aadir una Fuente de Datos

Existes dos maneras de aadir una fuente de datos a un caso actualmente abierto:
Ir a File y seleccionar Add Data Source...
Seleccionar el icono + en la barra de herramientas
Esto proporcionar el asistente para Aadir una Fuente de Datos. El cual guiar a travs del proceso.
Aqu hay algunas anotaciones sobre que es lo que pasar durante el proceso.
El primer panel consultar sobre seleccionar el tipo de fuente de datos y navegar por la
fuente de datos (imagen o archivos ubicados en la computadora, o seleccionar el dispositivo
detectado). En caso de aadir una imagen de disco, ser necesario especificar la zona horario
de la cual la imagen del disco proviene, de esta manera las horas y fechas podrn ser
adecuadamente mostradas y convertidas. Tan pronto como se haga clic en Next, Autopsy
empezar a analizar la imagen del disco y poblar la base de datos en segundo plano.

El segundo panel permite seleccionar cuales mdulos de asimilacin ejecutar sobre la

imagen. Refirase a la parte de la Asimilacin de la Imagen de la Gua de Ayuda para mayor
detalle.
El tercer panel proporciona una barra de progreso e informacin sobre la fuente de datos que
Autopsy est actualmente procesando. Si es suficientemente pequea, la entrada puede
haber finalizado de ser procesada, permitiendo continuar luego de este panel. Sin embargo,
puede ser necesario esperar por un corto tiempo mientras la base de datos es poblada.
Una vez que la fuente de datos de entrada finaliza de ser aadida, los mdulos de
asimilacin seleccionados se ejecutarn automticamente en segundo plano. Si la fuente de
dato es procesada antes de seleccionar los mdulos de asimilacin, Autopsy esperar hasta
que se haya realizado.

Hay que anotar que en el caso de una imagen, Autopsy almacenar la ruta la imagen en el archivo
de configuracin. Si se mueve la imagen, esto generar un error debido a que no se puede encontrar
el archivo de imagen y se consultar al usuario para apuntar a la nueva ubicacin de la imagen.
2.2 Ventana de Propiedades del Caso
La Ventana de Propiedades del Caso en sonde se puede verificar la informacin sobre el caso
actualmente abierto (nombre del caso, fecha de creacin del caso, directorio del caso, e imgenes
del caso.)
En esta ventana, tambin se pueden hacer las siguientes cosas:
Cambiar/Modificar el nombre del caso

Eliminar el caso actualidad
Como abrir la Ventana de Propiedades del Caso

Para abrir la ventana de propiedades del caso, ir a File y luego seleccionar Case Properties...

Ejemplo:
A continuacin se presenta un ejemplo de la ventana Propiedades del Caso.
2.3 Ventana para Manejo de Bases de Datos de Hashs

La ventana para el Manejo de Bases de Datos de Hash es donde se puede definir la informacin
sobre la base de datos de Hashs. Las Bases de Datos de Hashs son utilizadas para identificar
archivos que son Conocidos.
Los archivos buenos conocidos son aquellos que pueden ser ignorados sin peligro. Este
conjunto de archivos incluye frecuentemente archivos estndar de aplicacin y del Sistema
Operativo. El ignorar los archivos que son interesante para el investigador, reduce
considerablemente el tiempo de anlisis de la imagen.
Los archivos dainos (llamados tambin notables) son aquellos que deben crear conciencia.
Este conjunto variar dependiendo del tipo de investigacin, pero ejemplos comunes
incluyen contrabando de imgenes y malware.

Conjunto de Hashs Buenos / Dainos

Autopsy permite configurar varios bases de datos de hashs conocidos como dainos. Autopsy
soporta tres formatos.
EnCase: Un archivo conjunto de Hash de EnCase
MD5SUM: Resultado de la ejecucin de md5, md5sum, o el programa md5deep sobre un

conjunto d archivos.
NSRL: El formato de la base de datos NSRL
HashKeeper: Archivo de conjunto de hash conforme al estndar HashKeeper.
NIST NSRL
Autopsy puede utilizar la NIST NSRL para detectar archivos conocidos. Se debe anotar que el
NSRL contiene hashs de archivos conocidos que puede ser buenos o malos dependiendo de la
perspectiva y tipo de investigacin. Por ejemplo, la existencia de una pieza de software financiero
puede ser interesante para la investigacin y este software podra estar en la NSRL. Sin embargo,
Autopsy trata los archivos que son encontrados en el NSRL simplemente como conocidos y no
especifica si son buenos o dainos. Los mdulos de asimilacin tienen la opcin de ignorar los
archivos que fueron encontrado en la NSRL.
Aadir Conjunto de Hashs
Autopsy necesita un indice de conjunto de datos para utilizar una base de datos de hashs. Puede
crear un indice se importa unicamente el conjunto de hashs. Cuando se selecciona la base de datos
desde este ventana, se indicar si es que necesita ser creado un indice. Autopsy utiliza el sistema de
manejo de base de datos de hashs de The Sleuth Kit. Se puede crear manualmente un indice
utilizando la herramienta en lnea de comando hfind o se puede utilizar Autopsy. Si se intenta
proceder sin la indexacin de una base de datos, Autopsy ofrecer automticamente producir el
indice.
Se puede tambin especificar solo el archivo indice y no utilizar el conjunto de hashs completos el
archivo indice es suficiente par identificar archivos conocidos. Esto puede ahorrar espacio. Para
hacer esto se debe especificar el archivo .idx en la ventana de manejo para la base de datos de
hashs.
Utilizar Conjunto de Hashs
Existe un mdulo de asimilacin que puede hacer un hash a los archivos y buscarlos en el conjunto
de hashs. Los marcar los archivos que estn en el conjunto de datos notable y estos resultados
sern mostrados en el rbol de resultados del Explorador de Datos.

Otros mdulos de asimilacin son capaces de utilizar el estado conocido de un archivo para decidir
si deben ignorar el archivo o procesarlo.
Tambin se puede ver los resultados en la ventana de Bsqueda de Archivos. Existe una opcin para
seleccionar el estado conocido. Desde aqu, se puede hacer una bsqueda y ver todos los archivos
conocidos dainos. Aqu tambin se puede seleccionar el ignorar todos los archivos conocidos
que fueron encontrados en el NSRL. Tambin se puede ver el estado de el archivo en una columna
cuando el archivo es listado.
2. Bsqueda de Palabras Clave

2.1 Sobre la Bsqueda de Palabras Clave
Autopsy proporciona un mdulo para bsqueda de palabras clave, el cual proporciona la capacidad
de asimilacin y tambin soporta un modo de bsqueda manual.
El mdulo de asimilacin para la bsqueda de palabras clave extrae el texto desde los archivos de la
imagen que est siendo asimilada y los aade al indice para que puedan ser buscadas luego.
Autopsy intenta lo mejor para extraer la mxima cantidad de texto desde los archivos que estn

siendo indexados. Primero, la indexacin intentar extraer texto desde formatos soportados, tal
como formatos de archivos de texto puro, Documentos MS Office, archivos PDF, archivos de
correo electrnico y muchos otros. Si el archivos no es soportado por el extractor de textos estndar,
Autopsy recurrir al algoritmo de extraccin. La extraccin de archivo de un formato de archivo
desconocido o de archivos binarios arbitrarios pueden extraer an una gran cantidad de texto desde
un archivo, algunas veces lo suficiente para proporcionar pistas adicionales. Sin embargo, la
extraccin de cadenas podra no ser capaz de extraer cadenas desde archivos vinarios que hayan
sido cifrados o encriptados.
Autopsy proporciona algunas listas previamente construidas que definen expresiones regulares y
permiten al usuario buscar por nmeros telefnicos, direcciones IP, URLs y direcciones de correo
electrnico. Sin embargo, el habilitar algunas de estas listas muy generales puede producir una gran
cantidad de coincidencias, muchas de las cuales pueden ser falsos positivos.
Una vez que los archivos est en el indice, estos pueden ser buscados rpidamente por palabras
clave especficas, expresiones regulares, o utilizar las listas de bsquedas de palabras clave que
puede contener una combinacin de palabras clave y expresiones regulares. Las consultas de
bsqueda puede ser ejecutadas automticamente por la asimilacin durante la ejecucin de la
asimilacin, o al final de la asimilacin, dependiendo de las configuraciones actuales y el tiempo
que demanda asimilar la imagen.
Las consultas de bsqueda pueden ser ejecutadas manualmente por el usuario en cualquier
momento, tan pronto como hayan algunos archivos ya indexados y listos para ser buscados.
El mdulo de bsqueda de palabras clave guardar los resultados sin importar si la bsqueda ha sido
realizada por el proceso de simulacin, o manualmente por el usuario. Los resultados guardados
estn disponibles en el rbol del Directorio ubicado en el panel del lado izquierdo.
Para ver lo resultados de la bsqueda de palabras clave en tiempo real mientras la asimilacin est
en funcionamiento, aadir las listas de palabras clave utilizando el Dialogo de Configuracin de
Palabras Clave y seleccione la opcin Use During ingest. Se puede seleccionar Enable sending
messages to inbox during ingest por lista, si las coincidencias sobre la lista deben ser reportadas en
la bandeja de entrada, el cual es lo recomendado para bsquedas muy especficas.
Revisar la Asimilacin para mayor informacin sobre la asimilacin en general.
Una vez que hayan archivos en el indice, la Barra de Bsqueda de Palabras Clave estar disponible
para el uso de bsqueda manuales en cualquier momento.
2.2 Dialogo de Configuracin para Bsqueda de Palabras Clave
El dialogo de configuracin para la bsqueda de palabras clave tienen tres pestaas, cada una de
ellas con su propio propsito.
La pestaa de Listas es utilizada para aadir, eliminar, y modificar listas de palabras clave
La pestaa de Extraccin de Cadenas es utilizada para habilitar scripts de lenguaje y tipos de

extraccin.
La pestaa General es utilizada para configurar los tiempos de asimilacin y muestra de

informacin.
Para crear una lista, seleccionar el botn New List y seleccionar el nombre para la nueva lista de
Palabras clave. Una vez que la lista ha sido creada, se puede aadir palabras clave a esta. Las
expresiones regulares so soportadas utilizando la la Sintaxis Java Regex. Las listas puede ser
aadidas aadidas al proceso de asimilacin de bsqueda de palabras clave; las bsquedas sern
realizadas a intervalos regulares tanto como sea aadido contenido al indice.
Importar y Exportar Lista
Autopsy soporta listas de EnCase delimitados por tabs como tambin listas creadas previamente
con Autopsy. Para listas Encase, un estructura y jerarqua de carpeta es actualmente ignorada. Esto
ser arreglado en una versin futura. Actualmente no hay manera de exportar listas para utilizarlas
con Encase. Esto tambin ser aadido en futuras versiones.
Configuracin de Extraccin de Cadena
La configuracin de extraccin de cadena define como las cadenas sern extradas desde archivos
desde los cuales no puede ser extrado texto debido a que sus formatos de archivo no son
soportados. Este es el caso con archivos binarios arbitrarios (como con el archivo de pagina) y
trozos de espacio sin asignar que representa archivos borrados.
Cuando se extraen cadenas desde archivos binarios se hace necesario interpretar secuencias de bytes
como texto de manera diferente, dependiendo de la posible codificacin de texto y script/lenguaje
utilizado. En varios casos no se conoce cual es la codificacin / lenguaje especfico en el cual el
texto est codificado con antelacin. Sin embargo, esto ayuda si el investigador est buscando por
un lenguaje especfico, debido que el seleccionar menos lenguajes el desempeo de la indexacin
mejora y el nmero de falsos positivos se reduce.
La configuracin por defecto es buscar unicamente por cadenas en Ingls, codificados en UTF8 o
UTF16. Esta configuracin tiene el mejor desempeo (menor tiempo de asimilacin).
El usuario puede tambin utilizar primero el Visor de Cadenas e intentar diferentes configuraciones
de scripts/lenguajes, y ver cuales configuraciones proporcionan resultados satisfactorios para el tipo
de texto relevante a la investigacin. Adems la misma configuracin que funciona para la
investigacin puede ser aplicada par la asimilacin de bsqueda de palabras clave.
Soporte NIST NSRL
El servicio de asimilacin de bases de datos de hashs pueden ser configurados para utilizar la base
de datos NIST NSRL de archivos conocidos. La pestaa General con el dialogo de configuracin
para bsqueda de palabras avanzada contienen una opcin para saltar la indexacin de palabras

clave y buscar en los archivos que han sido previamente marcados como conocidos y archivos no
interesantes. Seleccionar esta opcin puede reducir en gran medida el tamao del indice y mejorar
el desempeo de la asimilacin. En la mayora de los casos, el usuario no necesita buscar palabras
claves por archivos conocidos.
Frecuencia de actualizacin de resultados durante la asimilacin
Para controlar cuan frecuentemente las bsquedas son ejecutadas durante la asimilacin, el usuario
puede ajustar la configuracin del tiempo disponible en la pestaa General de la configuracin de
bsqueda de palabras clave avanzada. El definir un nmero de minutos bajo podra resultar en una
actualizacin de indice ms frecuente y que las bsquedas sean ejecutadas, adems de que el
usuario ser capaz de visualizar los resultados en tiempo real. Sin embargo, actualizaciones ms
frecuentes pueden afectar el desempeo global, especialmente el sistemas con muy potentes, y
pueden potencialmente extender el tiempo total necesario para completar la asimilacin.
Pestaa de Listas:

Pestaa de Extraccin de Cadenas:

Pestaa General:
2.3 Barra de Bsqueda de Palabras Clave

La Barra de Bsqueda de Palabras Clave es utilizada para buscar por palabras clave en el mondo
manual (fuera de la asimilacin). El indice existente puede ser buscada por coincidencias de
palabras, frases, listas, o expresiones regulares. Los resultados se abrirn en un Visor de Resultados
separados para cada bsqueda ejecutada y tambin sern guardados en el mismo rbol de
Directorio.
Bsqueda de Palabras Claves Individual
Palabras clave individuales o expresiones regulares pueden ser rpidamente buscadas utilizando la
caja con el recuadro de texto. Para cambiar entre el modo de palabras clave y expresiones regulares,
se debe utilizar la flecha hacia abajo en la caja de bsqueda.

Bsqueda de Lista de Palabras Clase

Las listas creadas utilizando el Dialogo de Configuracin de Bsqueda de Palabras Clave puede ser
manualmente buscada por el usuario presionando el botn Keywords Lists seleccionando el
recuadro correspondiente a las listas a ser buscadas, y presionando el botn Search.
Buscar durante la Asimilacin
La bsqueda manual por palabras clave individuales o expresiones regulares pueden ser ejecutadas
tambin durante la asimilacin del indice actual utilizado la caja de bsqueda. Hay que anota sin
embargo, que se pueden perder algunos resultados si no se ha poblado el indice por completa.
Autopsy permite realizar la bsqueda sobre un indice incompleto para obtener algunos resultados
preliminares en tiempo real.
Durante la asimilacin, la bsqueda manual por lista de palabras claves est desactivada. Una nueva
lista seleccionada puede ser en su lugar aadida a la asimilacin en curso, y esta ser buscada en
segundo plano.
Las palabras clave y las listas pueden ser manejadas durante la asimilacin.

3. Asimilacin
3.1 Sobre la Asimilacin
Autopsy intenta automatizar las cosas tanto como seas posible para el usuario. Existen muchas taras
que siempre sern realizaras en una investigacin digital y ellas normalmente involucran algn tipo
de imagen o anlisis de archivos adems de la extraccin de algn tipo de informacin. Los anlisis
pueden ser un proceso muy extenso, especialmente con imgenes de gran tamao y cuando un
nmero de tipos de anlisis necesita ser realizado.
La asimilacin es un tcnica para automatizar estos ataques. Autopsy permite ejecutar estas tareas
de anlisis de gran longitud en segundo plano, mientras el usuario puede navegar la interfaz de la
aplicacin y revisar los resultados de la asimilacin cuando aparezcan . La asimilacin es similar a
un triaje. Autopsy intenta procesar los archivos dentro de la imagen asimilada en un orden tal que
los archivos ms interesantes (archivos relacionados al usuario) son los archivos procesados.
El proceso de asimilacin inicia despus de que la informacin bsica del sistema de archivos ha
sido aadida a la base de datos. Una serie de mdulos de asimilacin (descrita en la siguiente
seccin), se ejecuta automticamente detrs de la escena y hace sus resultados disponibles tan
pronto como sea posible. Autopsy est diseado de tal manera que estos resultados son reportados al
usuario e tiempo real, y aunque sean procesadas imgenes de gran tamao los resultados iniciales
estarn disponibles en minutos, algunas veces segundos despus de que ha iniciado el anlisis.
Se puede iniciar la asimilacin de la imagen de dos maneras. Cuando se aade una imagen con el
Asistente para Aadir Fuente de Datos se mostrar una lista de mdulos de asimilacin y se pueden
seleccionar cuales ejecutar. Tambin se puede lanzar el Manejador de Asimilacin ejecutando la
asimilacin haciendo clic derecho sobre la imagen en el rbol de exploracin y seleccionando
Restart Image Ingest.
Una vez que la asimilacin ha iniciado, se pueden revisar las tareas de asimilacin ejecutndose
actualmente en la barra de tareas, de la esquina inferior derecha de la ventana principal. Las tareas
de asimilacin pueden ser canceladas por el usuario si se desea.
Nota: Algunas veces el proceso de cancelacin toma varios segundos o ms para completar de
manera limpia, dependiendo de cual es el modulo de asimilacin estaba en proceso.
La bandeja de entrada de mensajes de asimilacin proporcionar notificaciones cuando un mdulo
de asimilacin particular inicie y finalice su ejecucin.
Los resultados desde los mdulos de asimilacin pueden tpicamente ser encontradas en el rea de
Resultados del rbol de exploracin. Sin embargo, algunos mdulos pueden seleccionar escribir los
resultados en un archivo local o alguna otra ubicacin y no hacerlos disponibles en le Interfaz
Grfica.
Mdulos de Asimilacin
Un mdulo de asimilacin es responsable de extraer datos desde las imgenes buscadas. Diferentes

mdulos har diferentes cosas. Los ejemplos incluyen:
Calcular el hash MD5 de cada archivo

Consultar un hash MD5 en la base de datos
Detectar el tipo de archivo de cada archivo
Bsqueda de palabras clave en cada archivo
Extraer artefactos web (descargas, historial, programas instalados, consultas a motores de
bsqueda web)
Extraer mensajes de correo electrnicos
Extraer los IDs de los dispositivos conectados
Extraer los metadatos EXIF desde archivos de imgenes.
Configurar Mdulos de Asimilacin

Existen dos lugares para configurar los mdulos de asimilacin. Cuando el Manejador de
Asimilacin es lanzado, puede haber un pequeo conjunto de opciones que el mdulo permite editar
directamente en Manejador de Asimilacin. Adicionalmente, el Manejador de Asimilacin puede
mostrar el botn Advanced, el cual abrir una men de configuracin con ms configuraciones
disponibles. Este men de configuracin avanzada puede ser encontrado en el men Tools ->
Options, junto con configuraciones avanzadas para otros mdulos de asimilacin.
Antes de lanzar la asimilacin, se deber ir a la configuracin de los mdulos para selecciona cada
mdulo en la lista y revisar la configuracin del mdulo de asimilacin actual. Algunos mdulos
necesitan ser configurados al menos la primera vez que Autopsy es utilizada para tener poblada la
configuracin por defecto, de otra manera ellos no realizarn ningn anlisis. El cambiar la
configuracin de los mdulos podra potencialmente afectar el nmero de resultados encontrados,
esto podra afectar el tiempo total requerido para que la asimilacin se ejecute y cuan rpido los
resultados son reportados en tiempo real.
Aadir Mdulos de Asimilacin
Los mdulos de asimilacin pueden ser creador por desarrolladores externos y puede ser aadidos
independientemente a Autopsy. Esto puede ser hecho a travs del manejador de plugin de Autopsy.
Esto se puede acceder mediante el men Tools -> Plugins. Actualmente, la mejor manera de
aadir un mdulo de asimilacin es navegando al archivo NBM del mdulo despus de seleccionar
Add Plugin... en la pestaa Downloaded del manejador de plugins. Autopsy requerir un
reinicio despus de cualquier mdulo instalado para cargarlo y mostrarlo adecuadamente.
3.1 Buzn de Entrada de Mensajes de Asimilacin
El buzn de entrada de mensajes de Asimilacin es utilizado por Autopsy para proporcionar
actualizaciones en tiempo real durante la asimilacin. Para abrir el buzn de entrada, se debe hacer
clic en el signo de advertencia amarillo en la esquina superior derecha de la ventana de Autopsy. El
signo puede mostrar un nmero de mensajes entrantes sin leer (an sin clic) durante la asimilacin

en esta esquina superior derecha.
Los mdulos de asimilacin son capaces de enviar mensajes cuando ocurren eventos notables, como
una coincidencia de palabra clave o base de datos de hash. Si el mdulo enva varios mensajes
similares en u corto lapso de tiempo, la bandeja de entrada agrupar estos mensajes de tal manera
que actualizaciones nicas no se pierdan entre todo este ruido.
Los mensajes agrupados son coloreados con diferente sombreado para indicar su importancia, si un
grupo de mensajes contienen un nmero bajo de mensajes nicos, este es potencialmente ms
importante que otro grupo con un gran nmero de mensajes nicos. Los mensajes nicos ms
importantes tienen un color de segundo plano mas suave.
Los mensajes de asimilacin pueden ser ordenados por unicidad/importancia, o por orden
cronolgico en el cual estos han aparecido.
A un mensaje se le puede hacer clic para ver los detalles del mensaje. Cuando se hace clic a un
mensaje, este es marcado como ledo. Cuando se envan actualizaciones con relacin a un
resultado o archivo especfico, el mensaje es enlazado al archivo y los botones en la esquina
superior derecha de la vista de los detalles del mensaje pueden ser utilizados para navegar por estos
datos.

4. Exploradores de Datos
4.1 Sobre los Exploradores de Datos
La vista de Exploracin de Datos en Autopsy es la estructura de nodos del rbol de directorios visto
en el lado izquierdo.
El explorador de dato contiene los siguientes datos:
Sistema de Archivos de la imagen con esta estructura de directorios que puede ser navegado.
Resultados guardados de la imagen y anlisis de archivos, tales como resultados producidos

por el proceso de asimilacin.
Vista predefinidas y filtros sobre el sistema de archivo y resultados guardados.
El explorador de datos proporciona diferentes mtodos para encontrar datos relevantes como:
Todos los archivos de un tipo especfico.

Diferentes tipos de contenidos extrados (bookmarks web, historial web, programas

instalados, dispositivos, etc.)
Coincidencias en la base de datos de hash
Coincidencias de palabras claves
Bookmarks de archivos
El Explorador de Datos publicar todos los datos relevantes en el Visor de Resultados cuando se
haga clic en un nodo especfico. En general, si se est buscando por una tcnica de anlisis
entonces es aqu donde se debe mirar.
4.2 rbol de Directorio
4.2.1 Sobre el rbol de Directorio
El rbol de exploracin de datos es una rea muy importante de la interfaz. Es aqu donde se
iniciar la mayora de las aproximaciones del anlisis y se encontrarn los resultados guardados de
los procedimientos automticos (asimilacin). El rbol tiene tres reas principales.
Imgenes: Donde se puede encontrar la jerarqua del rbol del directorio de los sistemas de
archivos en las imgenes. Aqu se debe ir para navegar en un directorio o archivo especfico.
Vistas: Donde se pueden ver todos los archivos en las imgenes, pero organizadas por tipo
de archivo o fechas en lugar de directorios. Aqu se debe ir se est buscando por archivos de
un tipo determino o que fueron utilizados recientemente.
Resultados: Donde se puede ver los resultados de las tareas de asimilacin en segundo
plano y se puede ver los resultados de bsquedas previas. Aqu se de ir se desea ver lo que
fue encontrado por los mdulos de asimilacin y para encontrar los resultados de bsquedas
previas.
Bookmarks: Donde se pueden ver todos los archivos y resultados que han sido
bookmarked para un acceso fcil.
A continuacin se muestra un ejemplo de la ventana del rbol de exploracin de datos.

4.2.2 Ventana de Detalles de la Imagen

La ventana de detalles de la imagen muestra la informacin bsica sobre la imagen de disco. Se
puede acceder a esta haciendo clic derecho sobre una imagen en el rbol y seleccionando Image
Details.

4.2.3 Ventana de Detalles del Volumen

La ventana de detalles del volumen muestra informacin sobre el volumen. Muestra informacin
como el sector de inicio, longitud, y descripcin. Se puede ver la informacin haciendo clic derecho
sobre el volumen en al rbol y seleccionando Volume Details.

4.2.4 Extraer Espacio sin Asignar

El espacio sin asignar con trozos del sistema de archivos que actualmente no son utilizados por
nadie. El espacio sin asignar puede almacenar archivos borrados y otros artefactos interesantes. En
la imagen actual, el espacio sin asignar es almacenado en bloques con ubicaciones distintas sobre el
sistema. Sin embargo, debido a la forma en que varias herramientas de carving funcionan, es ms
ideal el alimentarlos con un nico y gran archivo sin asignar. Autopsy proporciona acceso a ambos
mtodos de bsqueda e el espacio sin asignar.
Bloques Individuales. Debajo del volumen, existe una carpeta de nombre Unalloc. Esta
carpeta contiene todos los bloques individuales sin asignar tal como la imagen est
almacenndolos. Se puede hacer clic derecho y extraerlos de la misma manera que se extrae
cualquier otro tipo de archivo en el rbol del Directorio.
Archivos nicos. Existen dos maneras de extraer el espacio sin asignar como un nico
archivo. Hacer clic derecho sobre el volumen y seleccionar Extract Unallocated Space as
Single File unir todos los archivos sin asignar en un archivo nico y continuo del
volumen. La segunda manera es hacer clic derecho en la imagen, y seleccionar Extract
Unallocated Space to Single Files. Esta opcin extraer un archivo nico para cada
volumen en la imagen. El progreso de la extraccin es enviado a la barra de progreso en la

parte inferior derecho. El progreso se basa en el nmero de archivos unidos. Estos archivos
son almacenados en la carpeta Export bajo el directorio del caso. Los archivos son
nombrados de acuerdo a ImageName-Unalloc-ImageObjectID-VolumeID.dat. Este esquema
de nombres asegura que no ocurra un duplicado en los nombres de los archivos aunque
existan dos imgenes con el mismo nombre en el caso.
A continuacin se muestra donde encontrara la opcin sencilla de extraccin de archivos.
4.3 Bsqueda de Archivos

4.3.1 Sobre la Bsqueda de Archivos
La herramienta de Bsqueda de Archivos puede se accedida, ya sea desde el men de Herramientas
o haciendo clic derecho sobre el nodo de la imagen en el Explorador de Datos / rbol de Directorio.
Al utilizar la Bsqueda de Archivos, se puede especificar, filtrar, y mostrar los directorios y
archivos que se desean ver desde las imgenes del caso actualmente abierto. Los resultados de la
Bsqueda de Archivos ser poblados en una nueva rama en el visor de Tabla de Resultados en en
lado derecho.

Actualmente, Autopsy solo soporta 4 categoras en la Bsqueda de Archivos: Bsquedas basadas en

Nombre, Tamao, Fecha y estado de conocido.
Nota: Actualmente la Bsqueda de Archivos no soporta expresiones regulares, sin embargo la
caracterstica de Bsqueda de Palabras de Autopsy tambin permite mirar en nombres de archivos y
soporta expresiones regulares, lo cual puede complementar la Bsqueda de Archivos.
Como Abrir la Bsqueda de Archivos
Para ver como abrir la Bsqueda de Archivo ver el siguiente punto.
Nota: La Ventana de Bsqueda de Archivos se abre y cierra automticamente. Si existe un caso
abierto y existe al menos una imagen dentro del caso, la Ventana de Bsqueda de Archivos no podr
ser cerrada.
Como Utilizar la Bsqueda de Archivos
Para ver como utilizar la Bsqueda de Archivos, ver el siguiente punto.
Ejemplo:
A continuacin un ejemplo de la ventana de Bsqueda de Archivos.

4.3.2 Como Abrir la Bsqueda de Archivos

Para abrir la Bsqueda de Archivos, se puede hacer lo siguiente:
Hacer clic derecho en la imagen y seleccionar Open File Search by Attributes.

Seleccionar Tools -> File Search by Attributes.

Nota: La Ventana de Bsqueda de Archivos se abrir y cerrar automticamente. Si existe un caso

abierto y al meno una imagen dentro del caso, la Ventana de Bsqueda de Archivos no podr ser
cerrada.
4.3.2 Como Utilizar la Bsqueda de Archivos
Actualmente, existen 4 categoras que se pueden utilizar para filtrar y mostrar los directorios y
archivos dentro de las imgenes del caso actualmente abierto.
Las categoras son:
a. Nombre:
Busca por todos los archivos y directorios cuyos nombres contengan un patrn dado.
Nota: Esto no soporta expresiones regulares y coincidencias de palabras clave.

b. Tamao:
Busca por todos los archivos y directorios cuyos tamaos coincidan con un patrn dado. El patrn
puede ser igual a, mayor que, y menor que. La unidad par el tamao puede ser Byte(s),
KB, MB, GB, y TB.
c. Fecha:
Busca por todos los archivos y directorios cuyas Propiedad de Fecha esta dentro del rango de
fechas dado. Las propiedades de fecha son Fecha de Modificacin, Fecha de Acceso, Fecha
de Cambio, y Fecha de Creacin. Se debe tambin especificar una zona horario para la fecha
proporcionada.
d. Estatus de Conocido:
Busca todos los archivos y directorios cuya estado de conocido es reconocido ya sea como
Desconocido, Conocido o Conocido como Daino. Para ms informacin sobre el Estado de
Conocido, consultar la seccin de Manejo de Bases de Datos de Hashs.
Para utilizar cualquiera de estos filtros, se debe activar la recuadro a continuacin de la categora y
hacer clic en el botn Search para iniciar el proceso de bsqueda. El resultado ser mostrar en el
Visor de Resultados.
Ejemplo:
Aqu hay un ejemplo donde se intenta obtener todos los directorios y archivos cuyos nombres
contienen hello, tengan un tamao mayor a 1000 Bytes, y que hayan sido creados entre el
06/15/200 y el 06/16/2010 (en zona horaria GMT -5), y sean u archivo conocido.

5. Visores de Resultados
5.1 Sobre los Visores de Resultados
Las ventanas con Visores de Resultados estn en el rea superior derecha de la interfaz y muestran
los resultados de seleccionar algo en el rea del rbol de Exploracin de datos. Se podra tener la
opcin de mostrar los resultados en una variedad de formatos.
Actualmente, existen 2 pestaas principales en en la ventana del Visor de Resultados.
La Tabla del Visor de Resultados
El Visor de Resultados en Miniaturas
Funciones con Clic Derecho

Los Visores en los Visores de Resultados tienen ciertas funciones con clic derecho que pueden ser

accedidos cuando un nodo de cierto tipo es seleccionado (un archivo, directorio o un resultado).
Aqu hay algunos ejemplos que se pueden ver:
Abrir un Archivo con un Visor Externo: Abre el archivo seleccionado con una aplicacin
externa como se he definido en el Sistema Operativo. Por ejemplo los archivos HTML
pueden ser abiertos por IE o Firefox, dependiendo del cual sea el que haya sido configurado
e el sistema local.
Vista en una Nueva Ventana: Abre el contenido en un nuevo Visor de Contenido interno
(en lugar de la ubicacin por defecto en la parte inferior derecha).
Extraer: Hace una copia local del archivo o directorio bajo anlisis.
Bsqueda de archivos con el mismo hash MD5: Busca el sistema de archivos completo
por cualquier archivo con el mismo hash MD5 seleccionado.
Ejemplo:
A continuacin se presenta un ejemplo de una ventana Visor de Resultados

Tabla Visor de Resultados

La Tabla Visor de Resultados (Listado de Directorio) muestra el catalogo de datos as como la tabla
con algunos detalles (propiedades) de cada archivo. Las propiedades que muestra son: nombre, hora
(modificacin, cambio, acceso, y creacin), tamao, banderas (directorio y meta), modo, ID de
usuario, ID de grupo, direccin de metatados, direccin de atributos, y tipo (directorio y meta).
Hacer clic en la pestaa Visor de Tabla para seleccionar esta vista.
El Visor de Resultados puede ser tambin activada guardando los resultados y estos pueden mostrar
resultados de alto nivel agrupados, o resultados a nivel de archivos, dependiendo de cual nodo sobre
el rbol de Directorio es seleccionado para poblar el Visor de la Tabla de Resultados.
Ejemplo:
A continuacin un ejemplo de la ventana Visor de Tabla de Resultados.
Visor de Resultados en Miniaturas

El Visor de Resultados en Miniaturas muestra datos catalogados como una tabla de imgenes en
miniatura en tamaos ajustables. Este visor solo soporta imgenes (Actualmente, solo soporta

formatos JPG, GIF, y PNG). Se debe hacer clic en la pestaa Thumbnail para seleccionar esta vista.
Se debe anotar que para un nmero gran de imgenes en el directorio seleccionado en el Explorador
de datos, o para una Vista seleccionada que contenga un gran nmero de imgenes, esto puede
tomar un momento el poblar esta vista la primera vez ates de que las imgenes sean almacenadas en
un cache.
Ejemplo:
A continuacin se presenta un ejemplo de la ventana Visor de Resultados en Miniatura.
6. Visores de Contenido
6.1 Sobre Visores de Contenido
El rea del Visor de Contenido est en el rea inferior derecha de la interfaz. Esta rea es utilizada
para visualizar un archivo especfico en una variedad de formatos. Existen diferentes pestaas para
los visores. No todas las pestaas soportan todos los tipos de archivos, as que solo alguna de ellas
se habilitarn. Para mostrar datos en esta rea, un archivo debe ser seleccionado desde la ventana
Visor de Resultados.

Visores por Defecto

Actualmente, existen 5 pestaas principales en la ventana Visor de Contenido.
Visor de Resultados
Visor de Contenido Hexadecimal
Visor de Contenido de Cadenas
Visor de Medios
Visor de Texto
6.2 Visor de Contenido Hexadecimal

El Visor de Contenido Hexadecimal muestra el contenido exacto y en bruto de un archivo. En este
Visor de Contenido Hexadecimal, el dato del archivo es representado como valores hexadecimales
agrupados en 2 grupo de 8 bytes, seguido por un grupo de 16 caracteres ASCII los cuales son
derivados de cada par de valores hexadecimales (cada byte). Los caracteres ASCII no imprimibles y
caracteres que pueden tomar ms de un espacio de caracteres son tpicamente representados por un
. punto en el campo ASCII siguiente.
Ejemplo:
A continuacin se presenta un ejemplo de la ventana Visor de Contenido Hexadecimal.

6.3 Visor de Contenido de Cadenas

El Visor de Contenido de Cadenas escanea datos (potencialmente binarios) del archivo / carpeta y
los busca por datos que podran ser texto. Cuando un dato apropiado es encontrado, el Visor de
Contenido de Cadena muestra cadenas de datos extrados desde binarios, decodificados e
interpretados como UTF8/16 del lenguaje/script seleccionado.
Se debe anotar que esto es diferente al Visor de Contenido de Texto, el cual muestra el texto de un
archivo que es almacenado en el ndice de bsqueda de palabras clave. Los resultados pueden ser
los mismos o podran ser diferentes, dependiendo de como el dato fue interpretado por el indexador.
Ejemplo:
A continuacin se muestra un ejemplo de la ventana Visor de Contenido de Cadenas.

6.4 Visor de Contenido de Texto

El Visor de Contenido de Texto utiliza el ndice de bsqueda de palabras clave que ha sido poblado
durante la asimilacin de la imagen. Si un archivo tiene texto almacenado en el indice, entonces esta
pestaa estar habilitada y esta ser mostrada al usuario si el archivo o el resultado con el archivo es
seleccionado.
Esta pestaa puede tener ms texto en el que el Visor de cadenas, el cual se basa e buscar el
archivo por datos que parezcan texto. Algunos archivo, como PDF no tendrn la apariencia de datos
de texto a nivel de bytes, pero el proceso de indexacin de palabras clave conoce como interpretar u
archivo PDF y producir texto. Par los archivos el indexador conoce sobre, la posible existencia de
una seccin de metadatos al final del texto extrado y mostrado. Si un documento indexado contiene
algn metadatos (como fecha de creacin, autor, etc.), esto ser mostrado all. Se debe anotar que, a
diferencia del Visor de Cadenas, la Vista de Texto no tiene configuraciones predefinidas para el
script/lenguaje utilizado para extraer cadenas. Este es debido a que el script/lenguaje utilizado es
utilizado al momento de la indexacin, y que esta configuracin est asociada con el indexador de
bsqueda de palabras clave de la barrada de herramientas del visor.
Si esta pestaa no est habilitada, entonces ya sea el archivo no tiene texto o no se habilit la
Bsqueda de Palabras Clave como un mdulo de asimilacin. Se debe anotar que este visor es

tambin utilizado para mostrar de manera resaltada las coincidencias de palabras clave cuando se
operan en el modo Coincidencias de Bsqueda, seleccionada sobre el lado derecho de la barra de
herramientas del visor.
6.5 Visor de Contenido de Medios

El Visor de Contenidos de Medio mostrar un archivo de imagen o video. Los archivos de video
pueden ser reproducidos y pausados. El tamao de las imgenes o videos sern reducidos para que
puedan caber en la pantalla. Si se desea un anlisis de medios ms complejo, entonces se debe
exportar el archivo.
Si se selecciona un archivo que no es imagen o un formato de imagen no soportado en el Visor de
Resultados, esta pestaa estar deshabilitada.
A continuacin se presenta un ejemplo del Visor de Contenido de Medios.


ltimo Curso del Ao 2014
Curso Virtual Forense de

Autopsy 3
Sbado 11 y Sbado 18 de Octubre del 2014
De 9:00am a 12:00m (UTC -05:00)
Este curso ha sido dictado a participantes residentes en los siguientes pases:
1. Presentacin:
Autopsy es una plataforma basada en Windows para forense digital de fuente abierta (Open
Source), para realizar anlisis de discos duros, la cual es utilizada por fuerzas del orden, militares, y
miles de investigadores alrededor del mundo. Esta plataforma es intuitiva, rpida, y ampliable, con
el gran apoyo de la comunidad open source. Este curso de Autopsy 3 se basa en un caso de estudio
prctico, el cual proporciona al investigador digital una mejor comprensin de la herramienta. Los
participantes aprendern como utilizar Autopsy 3 y ejecutar una investigacin forense sobre un
disco duro, entendiendo las mejores prcticas para alcanzar ptimos resultados.
2. Temario:
Introduccin a Autopsy
Creacin y Manejo de Casos
Fuentes de Datos
Manejo de Base de Datos de Hash
Bsqueda de Palabras Clave
Mdulos de Asimilacin
Exploradores de Datos

rbol de Directorios y Bsqueda de Archivos

Visores de Resultados
Visor de Tablas y Visor de Miniaturas
Visores de Contenidos
Visores Hexadecimales, Cadenas, Texto y multimedia
3. Material:
El participante deber tener los siguientes archivos descargados en su sistema, para desarrollar el
Curso.
Autopsy 3:
Link de Descarga: http://sourceforge.net/projects/autopsy/files/autopsy/3.1.0/
Nombre del Archivo: autopsy-3.1.0-32bit.msi
Hacking Case:
Link de Descarga: http://www.cfreds.nist.gov/Hacking_Case.html
Nombre de los Archivos: SCHARDT.001, SCHARDT.002, SCHARDT.003,
SCHARDT.004, SCHARDT.005, SCHARDT.006, SCHARDT.007, SCHARDT.008.
[*] Si el participante lo requiere se le puede enviar un DVD con los archivos, aadiendo S/. 30
Soles por el concepto de gastos de envo a cualquier lugar del Per.
4. Da y Horario:
La duracin total del Curso es de 6 (seis) horas. El Curso se dictar en los siguientes das y horarios.
Sbado 11 y Sbado 18 de Octubre del 2014
De 9:00am a 12:00m (UTC -05:00)
[*] No habr reprogramaciones. El Curso se dictar sin ningn requisito mnimo de participantes.

5. Inversin y Forma de Pago:

El Curso tiene un costo de:
S/. 150 Soles
El pago del Curso se realiza mediante los siguientes mecanismos:
Residentes en Per
Residentes en Otros Pases
Deposito Bancario en la siguiente cuenta:
Transferencia de dinero mediante alguna de las

siguientes empresas:
Western Union: http://www.westernunion.com
ScotiaBank
Cuenta de Ahorros en Soles: 324-0003164
A nombre de: Alonso Eduardo Caballero
Quezada
MoneyGram: https://www.moneygram.com
Tambin puede realizar el depsito en un Agente

Scotiabank. Encuentre el ms cercano utilizando
la siguiente pgina:
Escribirme por favor un correo para brindarle
los datos necesarios para realizar la
http://www.scotiabank.com.pe/forms/buscador_s transferencia.
cotiabank1.aspx
Una vez realizada la transferencia, enviar por
Una vez realizado el depsito, enviar por favor favor los datos de esta, al siguiente correo:
el voucher escaneado o sencillamente detallar
caballero.alonso@gmail.com
los datos al siguiente correo:
caballero.alonso@gmail.com
Confirmado el depsito o la transferencia se enviar al correo electrnico del participante, los datos
necesarios para conectarse al Sistema, adems del material del Curso, para participar en el Curso.
El Curso se dicta utilizando el sistema de Video Conferencias Anymeeting. El cual proporciona la
transmisin de audio y video en tiempo real, tanto para el instructor como tambin para los
participantes, entre otras caractersticas que lo hacen ideal para el dictado de Cursos de manera
Virtual.
http://www.anymeeting.com

6. Ms Informacin:
Si desea mayor informacin sobre el Curso Virtual de Hacking con Kali Linux, tiene a su
disposicin los siguientes mecanismos de contacto:
Correo electrnico: caballero.alonso@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/
Va Web: http://www.reydes.com
Celular: (+51) 949304030
7. Sobre el Instructor:
Alonso Eduardo Caballero Quezada es Brainbench Certified Network Security, Computer Forensics
(U.S.) & Linux Administration (General), CNHE, CNCF, CNHAW, GIAC SSP-CNSA y Miembro
de Open Web Application Security Project (OWASP). Cuenta con ms de once aos de experiencia
en el rea y desde hace seis aos labora como Consultor e Instructor Independiente en las reas de
Hacking tico & Informtica Forense. Perteneci por muchos aos al grupo internacional de
Seguridad RareGaZz e integra actualmente el Grupo Peruano de Seguridad PeruSEC. Ha dictado
cursos en Per y Ecuador, presentndose tambin constantemente en exposiciones enfocadas a,
Hacking tico, Informtica Forense, GNU/Linux y Software Libre. Su correo electrnico es
ReYDeS@gmail.com y su pgina personal est en: http://www.ReYDeS.com

Autopsy3 ReYDeS

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Autopsy3 ReYDeS

Cargado por

Copyright:

Formatos disponibles

Alonso Eduardo Caballero Quezada - ReYDeS

Consultor en Hacking tico & Informtica Forense

Alonso Eduardo Caballero Quezada

Versin 1.5 Diciembre del 2013

Alonso Eduardo Caballero Quezada - ReYDeS

Alonso Eduardo Caballero Quezada - ReYDeS

Anlisis de Cronologa: Interfaz grfica para visualizar eventos

Bsqueda de palabras: Bsqueda indexada de palabras para encontrar archivos que

Artefactos Web: Extraer historial, bookmarks, y cookies de Firefox, Chrome, IE y Safari.

Multimedia: Extraer EXIF de imgenes y visualizar videos.

Se recomienda revisar la pgina de caractersticas para mayor informacin. Los desarrolladores

Alonso Eduardo Caballero Quezada - ReYDeS

desde la interfaz del mdulo.

Visualizar aos, meses, y das de actividad de archivos en una representacin de histograma

2.2 Indexacin y Bsqueda de Palabras Clave

Direcciones de correo electrnicos

Alonso Eduardo Caballero Quezada - ReYDeS

Autopsy extrae la siguiente informacin y lo enva a la pizarra:

Bsqueda de palabras: Extraccin de texto y mdulos de bsqueda indexada que permite

Anlisis del Registro: Utiliza RegRipper para identificar documentos recientemente

Alonso Eduardo Caballero Quezada - ReYDeS

accedidos y dispositivos USB.

Anlisis de Archivos LNK: Identifica atajos y documentos accedidos

Anlisis de Correos Electrnicos: Interpreta mensajes en formato MBOX, tal como

EXIF: Extraccin de geolocalizacin e informacin de la cmara desde archivos JPEG

Visor de Medios: Visualizar videos e imgenes en la aplicacin y no requiere un visor

Etiquetas: Etiqueta archivos con nombres de etiquetas arbitrarios, como bookmark o

Alonso Eduardo Caballero Quezada - ReYDeS

Alonso Eduardo Caballero Quezada - ReYDeS

autopsy-X.X.X-32bit.msi: Instalador de Windows de 32-bit

autopsy-X.X.X-64bit.msi: Instalador de Windows de 64 bits

autopsy-X.X.X-devplatform.zip: Una plataforma para que los desarrolladores escriban

Alonso Eduardo Caballero Quezada - ReYDeS

Gua de Inicio Rpido de Autopsy 3

2. Aadir una Fuente de Datos (imagen, disco local, archivos lgicos)

Alonso Eduardo Caballero Quezada - ReYDeS

Alonso Eduardo Caballero Quezada - ReYDeS

El Interprete Thunderbird identifica archivos MBOX de Thunderbird y extrae los correos

Cuando se selecciona un mdulo, se tendr la opcin de cambiar estas configuraciones. Por

El nodo raz de Fuente de Datos muestra todos los datos en el caso

El nodo de Resultado muestra la salida desde los mdulos de asimilacin.

Alonso Eduardo Caballero Quezada - ReYDeS

3.1 Bandeja de Entrada de Asimilacin

Alonso Eduardo Caballero Quezada - ReYDeS

4. Ejemplos de Casos de Uso

Alonso Eduardo Caballero Quezada - ReYDeS

Alonso Eduardo Caballero Quezada - ReYDeS

Contenidos de Ayuda de Autopsy 3

Alonso Eduardo Caballero Quezada - ReYDeS

1. Manejo del Caso

Alonso Eduardo Caballero Quezada - ReYDeS

Ir a File y seleccionar New Case...

Presionar Ctrl + N en el teclado.

Alonso Eduardo Caballero Quezada - ReYDeS

2.1 Fuente de Datos

Archivos Lgico (Archivos y carpetas del sistema de archivos en la mquina de usuario)

Raw Simple (Por ejemplo: *.img, *.dd, *.raw, etc)

Eliminar una Fuente de Datos

Alonso Eduardo Caballero Quezada - ReYDeS

2.1.2 Aadir una Fuente de Datos

Ir a File y seleccionar Add Data Source...

Seleccionar el icono + en la barra de herramientas

Alonso Eduardo Caballero Quezada - ReYDeS

Raw Simple (Por ejemplo: .img, .dd, *.raw, etc)