Analisis de un disco duro
Páginas: 5 (1081 palabras)
Publicado: 10 de septiembre de 2010
SERVICIO NACIONAL DE APRENDIZAJE SENA
iNiN
Analizando Imágenes de un Disco Duro
Tenemos ya extraída un imagen de disco duro la cual será necesario analizarlo para buscar las respectivas evidencias, para ello tenemos 3 programas que veremos para dicho análisis en Autopsy Browse Forensic que se instala en sistemas operativos Linux o que podemos usarlo desde un live cd como el Helix, elCAINE, además tenemos el FTK y el Encase. Autopsy Browser Forensic El Autopsy Forensic Browser es una interfaz gráfica con herramientas forenses de línea de comando y utilitarios estándares de UNIX, que le permite realizar un análisis del disco duro y del sistema de archivos de Windows y Linux. Autopsy trabaja de dos maneras, en el modo normal carga una imagen de disco para su análisis o también puederealizar análisis a sistemas vivos sin gravar ningún dato dentro del disco duro. El browser de Autopsy tiene las siguientes opciones: File Análisis.- Esta opción permite analizar la imagen desde la perspectiva de directorios y archivos. Proporciona la misma interfaz que usamos en un computador aunque este modo también nos muestra información que haya sido eliminada. Metadata Analysis: Este modo esútil para examinar las estructuras no localizadas y conseguir todos los detalles sobre archivos localizados. Data Unit: Permite desplegar por número de bloque. El contenido del bloque se puede visualizar en ASCII, hexadecimal o cadenas de caracteres. Keyword Search : Busca archivos que estén dentro de la imagen analizada que coincidan con una cadena de caracteres. Image Details: Enumera losdetalles sobre el sistema de archivos del volumen analizado Image Integrity: verifica la integridad de los datos validando en cualquier momento el valor md5. File Activity Timelines: Autopsy Puede crear líneas de tiempo para determinar todos los cambios realizados
Centro de Teleinformática y Producción Industrial – Sena Regional Cauca
SERVICIO NACIONAL DE APRENDIZAJE SENA “ Material de Curso”sobre la imagen o explicar procesos utilizados que haya podido afectar la integridad de la imagen. File Type Categories: Autopsy puede clasificar los archivos por tipo. Por ejemplo, todos los ficheros del JPEG y del GIF serían identificados como imágenes y todos los ficheros ejecutables serían identificados. Report Generation: Autopsy genera un reporte de todas las actividades antes dichas o quehayamos realiza durante el proceso de análisis. Proceso de instalación Inicialmente como requisitos previos para la instalación de autopsy browse forensic necesitamos instalar el conjunto de herramientas Sleutkit que la podemos descargar de nuestro sitio o desde la pagina del autor, Una vez descargado la herramienta procedemos a desempacar en el sitio donde vamos a compilarla.
Ingresamos a lacarpeta donde fue desempaquetada y ejecutamos el comando Make. [root@grupo_trabajo sleuthkit-2.07]# cd /usr/local/sleuthkit-2.07/ [root@grupo_trabajo sleuthkit-2.07]# make En esta instancia, la aplicación se instalara en nuestro equipo y al final de la instalación nos visualizara la siguiente información. Checking Tools Done [root@grupo_trabajo sleuthkit-2.07]# Esto nos indicara que la instalación seha realizado con éxito. Con esto hemos cumplido la primera parte de la instalación de autopsy browse forensic. Ahora nos toca descargar el paquete de autopsy de nuestro sitio o de la página del autor Una vez descargado el paquete desempaquetamos en el lugar que deseamos compilar, Luego ingresamos al directorio y ejecutamos el comando make, que confirma que el proceso se está realizandocorrectamente. Sleuth Kit bin directory was found Version 2.07 found Required version found --------------------------------------------------------------The NIST National Software Reference Library (NSRL) contains hash values of known good and bad files. http://www.nsrl.nist.gov Have you purchased or downloaded a copy of the NSRL (y/n) n Autopsy saves configuration files, audit logs, and output to the...
iNiN
Analizando Imágenes de un Disco Duro
Tenemos ya extraída un imagen de disco duro la cual será necesario analizarlo para buscar las respectivas evidencias, para ello tenemos 3 programas que veremos para dicho análisis en Autopsy Browse Forensic que se instala en sistemas operativos Linux o que podemos usarlo desde un live cd como el Helix, elCAINE, además tenemos el FTK y el Encase. Autopsy Browser Forensic El Autopsy Forensic Browser es una interfaz gráfica con herramientas forenses de línea de comando y utilitarios estándares de UNIX, que le permite realizar un análisis del disco duro y del sistema de archivos de Windows y Linux. Autopsy trabaja de dos maneras, en el modo normal carga una imagen de disco para su análisis o también puederealizar análisis a sistemas vivos sin gravar ningún dato dentro del disco duro. El browser de Autopsy tiene las siguientes opciones: File Análisis.- Esta opción permite analizar la imagen desde la perspectiva de directorios y archivos. Proporciona la misma interfaz que usamos en un computador aunque este modo también nos muestra información que haya sido eliminada. Metadata Analysis: Este modo esútil para examinar las estructuras no localizadas y conseguir todos los detalles sobre archivos localizados. Data Unit: Permite desplegar por número de bloque. El contenido del bloque se puede visualizar en ASCII, hexadecimal o cadenas de caracteres. Keyword Search : Busca archivos que estén dentro de la imagen analizada que coincidan con una cadena de caracteres. Image Details: Enumera losdetalles sobre el sistema de archivos del volumen analizado Image Integrity: verifica la integridad de los datos validando en cualquier momento el valor md5. File Activity Timelines: Autopsy Puede crear líneas de tiempo para determinar todos los cambios realizados
Centro de Teleinformática y Producción Industrial – Sena Regional Cauca
SERVICIO NACIONAL DE APRENDIZAJE SENA “ Material de Curso”sobre la imagen o explicar procesos utilizados que haya podido afectar la integridad de la imagen. File Type Categories: Autopsy puede clasificar los archivos por tipo. Por ejemplo, todos los ficheros del JPEG y del GIF serían identificados como imágenes y todos los ficheros ejecutables serían identificados. Report Generation: Autopsy genera un reporte de todas las actividades antes dichas o quehayamos realiza durante el proceso de análisis. Proceso de instalación Inicialmente como requisitos previos para la instalación de autopsy browse forensic necesitamos instalar el conjunto de herramientas Sleutkit que la podemos descargar de nuestro sitio o desde la pagina del autor, Una vez descargado la herramienta procedemos a desempacar en el sitio donde vamos a compilarla.
Ingresamos a lacarpeta donde fue desempaquetada y ejecutamos el comando Make. [root@grupo_trabajo sleuthkit-2.07]# cd /usr/local/sleuthkit-2.07/ [root@grupo_trabajo sleuthkit-2.07]# make En esta instancia, la aplicación se instalara en nuestro equipo y al final de la instalación nos visualizara la siguiente información. Checking Tools Done [root@grupo_trabajo sleuthkit-2.07]# Esto nos indicara que la instalación seha realizado con éxito. Con esto hemos cumplido la primera parte de la instalación de autopsy browse forensic. Ahora nos toca descargar el paquete de autopsy de nuestro sitio o de la página del autor Una vez descargado el paquete desempaquetamos en el lugar que deseamos compilar, Luego ingresamos al directorio y ejecutamos el comando make, que confirma que el proceso se está realizandocorrectamente. Sleuth Kit bin directory was found Version 2.07 found Required version found --------------------------------------------------------------The NIST National Software Reference Library (NSRL) contains hash values of known good and bad files. http://www.nsrl.nist.gov Have you purchased or downloaded a copy of the NSRL (y/n) n Autopsy saves configuration files, audit logs, and output to the...
Leer documento completo
Regístrate para leer el documento completo.