Se trata de Autopsy Forensic Browser es un interfaz gráfico basado en las herramientas en línea de comandos del Sleuth Kit. La combinación de estas herramientas instalada en un servidor utilizando un sistema basado en la plataforma Unix forman un una completa suite informática que solo necesita de un sistema operativo con navegador para acceder a ella. Ya que Autopsy Forensic Browser proporciona una aplicación basada en HTML que puede usarse para análisis forenses de los sistemas Windows y UNIX soportando sistemas de ficheros (NTFS, FAT, UFS1/2, Ext2/3).
Su filosofía de funcionamiento se basa en la buena práctica forense partiendo de dos tipos de análisis:
- Un análisis de sistema muerto, en este caso se utiliza la herramienta desde otro sistema operativo y con el sistema a investigar en su soporte sin cargar. En este caso, los datos que se obtienen corresponden a la integridad de archivos, estructura de ficheros, logs del sistema y datos borrados.
- Un análisis de sistema vivo ocurre cuando se está analizando el sistema sospechoso mientras está funcionando. Este análisis se utiliza mientras que se está produciendo el incidente y se analiza básicamente: procesos, memoria, ficheros… Después de que se confirme la amenaza, el sistema puede ser adquirido en una imagen para conservarlo sin corrupciones posteriores y así realizar análisis de sistema muerto.
Esta aplicación posee las siguientes técnicas de búsqueda de evidencias:
Listado del archivo: Analiza los archivos y los directorios, incluyendo los nombres de archivos suprimidos.
El contenido de archivos: Se puede ver en formato raw, hex o ASCII. Cuando se interpretan los datos, la autopsia los esteriliza para prevenir corrupción por parte del análisis del sistema local.
Bases de datos de Hash: Los archivos son reconocidos como buenos o perjudiciales para el sistema basándose en la biblioteca de referencia del software NIST (NSRL) y las bases de datos creadas por el usuario.
Clasificación de tipos de archivo por extensiones: Clasifica los archivos basándose en sus firmas internas para identificar extensiones conocidas. La autopsia puede también extraer solamente imágenes gráficas y comparar el tipo de archivo para identificar posibles cambios en la extensión para ocultarlos.
Línea de tiempo de la actividad del archivo: En algunos casos, tener una línea de tiempo de la actividad del archivo puede ayudar a identificar áreas de un sistema de ficheros que puedan contener evidencias. La autopsia puede crear la línea de tiempo que contienen los registros de: modificación, acceso, y cambios de fechas en los archivos.
Búsqueda de palabra clave: Las búsquedas de palabra clave de la imagen del sistema de ficheros se pueden realizar usando secuencias del ASCII y expresiones regulares. Las búsquedas se pueden realizar en la imagen completa del sistema de ficheros.
Análisis de los meta datos: Las estructuras de los meta datos contienen los detalles sobre archivos y directorios. La autopsia permite una visión los detalles de cualquier estructura de los meta datos en el sistema de ficheros. Esto es útil para recuperar el contenido eliminado. La autopsia buscará los directorios para identificar la trayectoria de los archivo.
Detalles de la imagen: Se pueden ver los detalles del sistema de ficheros, incluyendo la disposición en disco y épocas de actividad. Este modo proporciona información útil durante la recuperación de datos.
En los que se refiere a la gestión de diferentes casos y la elaboración de informes esta suite posee módulos como:
Gerencia del Caso: Las investigaciones son organizadas por casos, que pueden contener uno o más anfitriones. Cada anfitrión se configura para tener su propia posición, ajuste de reloj y de zona horaria de modo que los tiempos examinados sean iguales a los del usuario original. Cada anfitrión puede contener unas o más imágenes del sistema de ficheros para analizar.
Secuenciador de acontecimientos: Los acontecimientos se pueden agregar de los log de un IDS o de un cortafuegos. La autopsia clasifica los acontecimientos para poder determinar más fácilmente la secuencia de los acontecimientos del incidente.
Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrión y investigador. Esto permite hacer notas rápidas sobre archivos y estructuras.
Integridad de imagen: Es crucial asegurarse de que los archivos no están modificados durante análisis. La autopsia, por defecto, generará un valor MD5 para todos los archivos. Se puede validar en cualquier momento, la integridad de cualquier archivo que la autopsia utiliza.
Informes: La autopsia puede crear los informes para los archivos y otras estructuras del sistema de ficheros.
Registros: Los registros de la intervención se crean en un caso, un anfitrión, y un nivel del investigador para poder recordar fácilmente las acciones y los comandos ejecutados.
Entre las características de este kit hay que destacar que esta basado en una aplicación cliente-servidor en HTML por lo tanto no hay trabajar en el mismo sistema que las imágenes del sistema de ficheros. Esto permite que múltiples investigadores utilicen el mismo servidor y conecten sus sistemas personales.
Más información y descarga de Autopsy Forensic Browser:
http://www.sleuthkit.org/autopsy/desc.php
Herramientas forenses del sistema de ficheros
http://vtroger.blogspot.com/2006/08/herramientas-forenses-del-sistema-de.html
No hay comentarios:
Publicar un comentario