AUTOPSY

Una vez instalado sleuthkit y autopsy, para iniciar autopsy en el terminal

escribimos: sudo autopsy.
Abrimos el naveador sin cerrar el terminal y en la barra de direcciones
escribimos:
!ocalhost:""""#autopsy y se iniciar$ el inter%az de autopsy.
Al e&ecutar autopsy, debemos deshabilitar la opci'n (ork o%%line, desde la barra
de men): *ile seleccionamos +ork o%%line
Iniciar el caso
Para iniciar por primera vez una recolecci'n y an$lisis de evidencia diital, es
importante previamente haber obtenido la r,plica o imaen del disco donde
reside la evidencia. Una vez iniciada la inter%az r$%ica de autopsy, se procede
a la creaci'n de un nuevo caso.
Para ello pulsamos en ne(case, se despliea un %ormulario donde debemos
indicar los datos b$sicos del nuevo caso -.ombre del caso, descripci'n,
investiador/.
Agregar la Imagen Obtenida
0ebemos contar con una r,plica o imaen bit a bit del disco donde reside la
evidencia. 1ntroducimos la ruta de ubicaci'n y nombre del archivo, las dem$s
opciones permanecen por de%ecto.

Recolectando evidencias para el anlisis.
Una vez e%ectuado paso a paso los procesos anteriormente descritos, se
obtienen los vol)menes 2ue %ueron encontrados en la imaen, para su
respectiva e3ploraci'n.
Al ir a la opci'n de an$lisis, donde podemos obtener evidencias de cada uno de
los archivos tanto temporales, permanentes, eliminados o averiados, 2ue
residen en la imaen o replica e3tra4da del medio de almacenamiento oriinal.

!os archivos 2ue no son permanentes o 2ue han sido borrados, se encuentra
en color ro&o, los dem$s archivo de color azul son permanentes. Teniendo en
cuenta 2ue la cantidad de archivos encontrados en la imaen puede ser
demasiadamente e3tensa, autopsy cuenta con una barra de menus, 2ue tienen
la opci'n de buscar archivos o evidencias, por palabras claves, iniciales, tipo de
archivos, matadatos, sectores espec4%icos del disco y otras series de opciones,
2ue permiten optimizar al m$3imo la b)s2ueda de evidencia.
Autopsy enera una lista con todos los resultados encontrados
Analizando Metadatos
!os metadatos son un con&unto de datos del dato, es decir una in%ormaci'n
acerca del dato o archivo localizado como evidencia. 5stos almacenan
caracter4sticas relevantes como el nombre, la %echa y hora de creaci'n,
lonitud, tama6o y otros atributos relevantes en una investiaci'n.
*iura " An$lisis de 7etadato
Generando Informes
Por cada evidencia encontrada Autopsy enera un in%orme completo sobre el
estado, atributos, caracter4sticas y contenido de dicha evidencia. 5stos
in%ormes son de ran ayuda en el momento del an$lisis de la evidencia y como
elemento probatorio, en caso de 2ue e3ista un proceso leal llevado a &uicio. 5l
reporte permite visualizar el estado de 708 y S90A:, con el %in de comprobar
2ue la evidencia e3aminada desde una copia no ha sido modi%icada o alterada
con respecto a la evidencia 2ue reside oriinalmente