Análisis Forense Linux
El navegador de autopsia forense es una interfaz gráfica para las herramientas de línea de comandos de análisis forense digital en el kit Sleuth. En conjunto, los SleuthKit y Autopsy proporcionan muchas de las mismas características comerciales herramientas forenses digitales para el análisis de sistemas Windows y UNIX de archivos (NTFS, FAT, FFS, ext2fs y ext3fs).Inicio de la aplicación
Se abre de forma predeterminada el explorador mozilla firefox
Creamos un nuevo caso, se nos pide introducir los datos del mismo, nombre, quién trabajará en él.. etc.Estadísticas del caso que hemos creado:
Creamos un HOST para el caso:
Se nos muestran las estadísticas del caso que hemos creado:
Descomprimimos los archivos con los que trabajaremos un unacarpeta, y en este paso debemos añadir la ruta del archivo .dd. Seleccionamos añadir un archivo de imagen.
Introducimos su localización. Para saaberla con exactitud nos situamos con la Shell en lacarpeta y ejecutamos el comando PWD. Nos dará la ruta del directorio actual.
En este caso, sabemos el código MD5, lo añadimos.
Analizaremos el archivo, pulsamos analyze:
Aparece la págprincipal de análisis:
Pulsamos primero en Image details donde recabamos información sobre el sistema de archivos. Tomo nota del tamaño de bloque, 1024 bytes, ultimas fechas de acceso, tamaño total, quecoincide con el tamaño de la imagen descargada y el espacio libre.
Seleccionamos ahora File Analysis del menú.
Nos presenta el listado de los archivos y directorios encontrados en el volumen.Inmediatamente se observa un archivo llamado “mail” que no se puede recuperar, un archivo llamado “jlo.jpg”, otro llamado “script.sh” y un directorio “lost+found”. Dentro de este directorio noencontramos ningún archivo.
Como primera opción pulsamos sobre el archivo “jlo.jpg” y vemos que no se reconoce como un archivo de imagen
Vamos a hechar un vistazo a los meta datos del archivo pulsando...
Regístrate para leer el documento completo.