Blog

Analisis Forense – Parte III – Autopsy: Como analizar un disco duro

1 Analisis Forense – Parte I – Montando el Laboratorio y Clonado con DD

2 Analisis Forense – Parte II – Foremost: Como Recuperar Archivos Borrados

3 Analisis Forense – Parte III – Autopsy: Como analizar un disco duro

4 Analisis Forense – Parte IV – Como funciona la papelera de Windows

5 Analisis Forense – Parte V – Volatility: Como analizar la memoria RAM de Windows

6 Analisis Forense – Parte VI – Como ocultar un archivo



Como una imagen vale más que mil palabras, voy a hacer  una explicación en imágenes que creo que se va a entender mejor. Haremos la prueba en Kali. Fijaros que en cada imagen está el ratón sobre el botón que hemos pulsado. Lo primero será arrancar el autopsy.

forense31

En Linux se accede a la aplicación de Autopsy desde el navegador ya que la arranca como servicio.

forense32 Creamos un caso nuevo.

forense34

Añadimoss un nombre al equipo que vamos a investigar.

forense35

Añadimos la imagen que queremos analizar.

forense37

Escribiremos la ruta del disco duro que tenemos en formato .dd y le indicamos que es una partición, si fuese un disco entero pincharíamos en la opción “disk”. A la hora de importar tenemos 3 métodos. Los 2 más utilizados son el primero, que trabaja directamente sobre la copia que le pasemos (si tenemos las 2 copias hechas del original como dije en el primer post de la serie, esta es la mejor opción) y el segundo que trabaja la copia que realiza la propia herramienta.

forense38

Aquí podemos pedirle que nos calcule el hash MD5 del disco a analizar o ponerle nosotros uno para verificar que se ha realizado la copia correctamente. En nuestro caso el hash del original y el de la copia lo hemos comprobado anteriormente por nuestra cuenta. Vemos como nos ha reconocido que se trata de un sistema de ficheros NTFS y asume como punto de montaje C:

forense39 forense310

Ya hemos terminado de preparar nuestra imagen y entonces procedemos a analizarla.

forense311

La primera de las pestañas que tiene la herramienta es la de analizar los ficheros. Aquí nos aparecen también los archivos borrados. Hay una carpeta que se llama $OrphanFiles que es donde se guarda todo lo que se elimina.

forense312

La segunda pestaña es para buscar cadenas en ASCII y Unicode en toda la imagen.

forense313

La tercera pestaña es para que te ordene y clasifique todos los ficheros de la imagen por su tipo.

forense314 forense315

La cuarta pestaña es para ver detalles de la imagen como el tipo de archivos o la versión del sistema operativo (siempre que sea posible) entre otras cosas.

forense316

La ultima pestaña es para buscar el cluster que te interese a partir de su número.

forense317

Esta imagen es en realidad un pequeño reto para aprender a utilizar la herramienta autopsy, así que voy a resolverlo para que lo veáis.

Como hemos comentado anteriormente en la carpeta $OrphanFiles podemos encontrar ficheros borrados. Si pinchamos en el primero y seleccionamos que nos muestro el ASCII del fichero podremos ver que hay un numero en hexadecimal.

forense318

forense319Seguimos explorando y encontramos un .doc que al descargarlo vemos que tiene una contraseña.

forense320

Podemos pensar que el numero hexadecimal que hemos encontrado antes es en realidad una contraseña y lo transformamos de Hexadecimal a ASCII.

pDespues lo introducimos como contraseña al .doc y vemos que era la contraseña que protegía el fichero.

forense321

Pues ya sabéis utilizar la herramienta forense Autopsy y habéis obtenido una noción básica sobre como resolver un reto forense.

Roberto – @leurian

Leave a Reply

*

    No Twitter Messages