UNIVERSIDAD LAICA ELOY ALFARO DE MANABI

FACULTAD CIENCIAS INFORMATICAS

TECNOLOGIAS DE SEGURIDAD DE LA
INFORMACION

INTEGRANTES:
BRIONES CEDEÑO EMILIA YELITZA
CURSO:
OCTAVO B

MANUAL DE INSTALACION DE HERRAMIENTA

FORENSE AUTOPSY

DOCENTE:
ING. DENISE VERA

1
Contenido
INTRODUCCION ............................................................................................................................. 2
HERRAMIENTA AUTOPSY FORENSE .............................................................................................. 3
INSTALACION DE AUTOPSY ........................................................................................................... 3
MANUAL DE USO........................................................................................................................... 7
CONCLUSIONES ........................................................................................................................... 12

INTRODUCCION

Es imposible dejar de conocer la importancia que en la actualidad poseen os

sistemas informáticos como motor fundamental en la gestión y procesamiento
de la información sostenida en una organización. Y en forma concomitante ha
crecido en importancia todo lo relacionado con la seguridad informática. Lo más
probable cuando nos hablan de herramientas de informática forense, es pensar
en profesionales ataviados con guardapolvos y guantes blancos, inspeccionando
una computadora para lograr obtener esos datos que significarán resolver un
caso. Sin embargo, y a pesar de que en ciertos ámbitos esta imagen sea real, lo
cierto es que este tipo de software está disponible para cualquier tipo de
usuario, tenga el nivel de conocimientos que tenga. Este software de análisis
informático forense puede ser un aliado indispensable para cuando ocurren
fallas en la computadora y queremos saber la verdadera razón, o en un caso más
extremo, intentar recuperar información perdida o borrada por completo por
accidente. En este artículo encontraremos las que a nuestro entender son los
mejores programas forenses informáticos, además son gratuitos y sencillos de
usar.

2
HERRAMIENTA AUTOPSY FORENSE

Autopsy, es un software que se utiliza para el análisis forense de imágenes de

discos duros, es una herramienta que funciona en diferentes sistemas
operativos, como: Linux, Windows, Mac OSx y Free BSD. El análisis forense
digital permite la identificación y descubrimiento de información relevante en
fuentes de datos como imágenes de discos duros, memorias USB, capturas de
tráfico de red, o volcados de memoria de computadoras. Hace algunas semanas
estuvimos analizando en qué consiste el análisis forense de la información y hoy
se aplicarán estas capacidades a través de la suite Autopsy. The Sleuth Kit es un
conjunto de herramientas open source para el análisis de imágenes de discos.
Inicialmente desarrollada para plataformas UNIX, esta suite actualmente se
encuentra disponible también para OS X y Windows. Además, TSK cuenta con
una interfaz gráfica conocida como Autopsy que agrupa todas sus herramientas
y plugins, cuya versión para Windows se utilizará en este post.

INSTALACION DE AUTOPSY

Para la instalación del software the Autopsy buscamos el instalador y lo

ejecutamos

Nos saldrá la siguiente ventana

3
Le damos next (siguiente)

4
Y damos en Install

Esperamos el a que se termine el proceso de instalar

5
Y finalizamos

Abrimos el programa y esperamos a que se cargue

6
MANUAL DE USO
Cuando se abre Autopsy la primer tarea que se debe llevar a cabo es, o bien crear
un nuevo caso, o abrir uno existente, donde un caso es la unidad lógica que
contendrá todo lo relacionado a la investigación. Por lo tanto, al crear un caso se
ingresa información como su nombre y número y la persona que examinará los
datos. El siguiente paso consiste en asociar al caso uno o más orígenes de datos,
entre los cuales se encuentran los discos físicos conectados a la computadora de
análisis, o una imagen forense que se ha adquirido previamente de la
computadora a ser investigada, con cualquiera de las herramientas que hemos
visto en otros posts. Como último paso para la creación del caso, debe
configurarse los módulos a utilizar para el análisis, lo cual se observa en la
siguiente imagen:

Estos módulos son los que permitirán el descubrimiento de información

relevante y se describen a continuación:
 Recent Activity: extrae la actividad reciente que se ha realizado en la
computadora bajo investigación. Esto incluye los documentos recientemente
abiertos, dispositivos conectados, historial web, cookies, descargas y
marcadores, por ejemplo.
 Hash Lookup: permite agregar bases de datos con valores de hash para
archivos conocidos, como los archivos del sistema operativo o de aplicaciones
instaladas. Así, puede ahorrarse mucho tiempo al evitar realizar búsquedas en
estos archivos conocidos.
 Archive Extractor: permite recuperar archivos eliminados, basándose en los
metadatos residuales que quedan en el disco, así como también recuperar
archivos en espacios no asignados en el disco, mediante la detección de los
encabezados de archivos.

7
 Exif Image Parser: permite analizar la información disponible en el
encabezado Exif de los archivos de imagen JPEG que se encuentran en el disco.
Esto provee información acerca de la cámara con que se tomó la imagen, fecha
y hora o la geolocalización, entre otras cosas.
 Keyword Search: puede definirse una lista de palabras clave o expresiones
regulares a buscar en todo el disco. Como se observa en la imagen anterior,
Autopsy ya viene con una lista de expresiones regulares incluidas para
búsqueda de números telefónicos, direcciones IP, direcciones de correo
electrónico y URL.
A partir de este momento comienza en forma automática el análisis con los
módulos seleccionados para la imagen forense cargada en el caso. El progreso de
cada etapa se muestra en la parte inferior derecha y los resultados se van
actualizando en la vista de árbol, como se observa en la siguiente imagen:

Se observa que Autopsy realiza la extracción de contenido muy valioso para una
investigación, como el historial web, búsquedas web realizadas o documentos
recientemente abiertos, lo cual demoraría mucho tiempo y sería tedioso de
realizar para el investigador en forma manual. Luego, en la siguiente imagen se
observa el historial web encontrado una vez que termina el proceso, para la
imagen forense de un disco de prueba:

8
En este caso se ha resaltado el último resultado, el cual lleva a un archivo de mIRC con
una lista de canales a los que posiblemente se conectaba el usuario que está siendo
investigado. Adicionalmente, el sistema de archivos presente en la imagen forense
puede ser recorrido de forma jerárquica, pudiendo observar las particiones, así como
también los sectores no asignados en el disco:

9
En la imagen anterior se observa que el sistema de archivos es de tipo NTFS, que
el sistema operativo aparenta ser Windows XP y que existe un usuario que se llama Mr.
Evil. Luego, a partir de simple inspección y del análisis del registro de Windows, puede
obtenerse información como la zona horaria utilizada, el nombre bajo el cual fue
registrado el sistema operativo, las aplicaciones instaladas, los documentos del usuario
a investigar o el último usuario que inició sesión. También se observa que se ha
recuperado de entre los archivos borrados la carpeta $Unalloc, que si bien en este caso
es irrelevante, permite ver la capacidad de obtener archivos borrados a partir de
sus metadatos. También es importante destacar los sectores no asignados en el disco
(vol1 y vol3) a los cuales Autopsy permite aplicar la técnica de carving para identificar
archivos a partir de los encabezados más comunes.
Otra función muy interesante de Autopsy es aquella que agrupa los archivos en
categorías, de tal manera de poder ver rápidamente la cantidad de imágenes, audio o
documentos presentes en el sistema de archivos, clasificado por extensión:

10
Adicionalmente (aunque no se ve en la imagen anterior) Autopsy clasifica los archivos
de acuerdo con su última fecha de acceso o con su tamaño, y permite el rápido acceso
a los archivos eliminados.
Una técnica fundamental en el análisis de imágenes forenses es la búsqueda por
palabras clave, dado lo poco práctico que resultaría para un investigador buscar pruebas
de un delito inspeccionando archivo por archivo. Así, Autopsy permite definir un listado
de palabras o expresiones a buscar en todos los archivos y sectores del disco en análisis,
lo cual se observa en la siguiente imagen:

En este caso se ha definido una lista con tres palabras con el objetivo de encontrar
evidencia que conecte al individuo con un caso particular de hacking. Luego, el proceso
de indexado realiza la búsqueda de estas palabras construyendo un índice y al finalizar

11
el mismo es posible buscar en forma inmediata cada una de estas palabras clave:

En la imagen se observa que hay 55 hits para la palabra crack y entre los resultados se
encuentra una herramienta para romper contraseñas. Además, se han encontrado 288
coincidencias para la palabra illegal, lo cual puede develar información muy útil en el
caso de que se recuperen conversaciones, correos electrónicos almacenados o
cualquier otro tipo de archivo que conecte al sujeto investigado con actividades ilegales.

CONCLUSIONES

 La informática forense se ha venido fortaleciendo continuamente, en aras de

contrarrestar el incremento progresivo del índice de incidentes de seguridad
informática a nivel global y a la cada vez más sutil y avanzada formas de
ataques informáticos.
 Sin duda Autopsy es una herramientas más recomendables de este informa ya que
permite la identificación y descubrimiento de información relevante en
fuentes de datos como imágenes de discos duros, memorias USB, capturas
de tráfico de red, o volcados de memoria de computadoras.

12