LABORATORIOS DE INFORMÁTICA FORENSE

Laboratorios de Informática Forense Análisis de Evidencia Forense Elaborado por: Ing. Miguel J. Navas J. Página 1

FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA DE INGENIERÍA INFORMÁTICA

LABORATORIOS DE INFORMÁTICA FORENSE

ANÁLISIS DE IMÁGENES FORENSES

Por: MIGUEL JOSÉ NAVAS JAIME mjnavas@uao.edu.co miguelnavasj@gmail.com

INTRODUCCIÓN

Para el desarrollo de esta práctica partimos del hecho de tener ya una imagen extraída a una unidad de almacenamiento denominada evidencia, por ejemplo: de un Disco Duro, de una Flash Memory, una SD Card o en general de cualquier tipo de dispositivo electrónico. En la práctica se va a analizar dicha evidencia con el propósito de buscar la información relevante para el supuesto caso de estudio.

Para esta tarea se cuenta con diversos programas, unos en versiones libres, o en versiones libres y limitadas y otros en versiones licenciadas, aunque en todas las versiones se tiene el mismo propósito que es el realizar el análisis de las imágenes forenses, algunas presentan características que marcan diferencia entre ellas; allí es importante conocerlas muy bien para sacar el mejor beneficio de cada una.

Dentro de las herramientas gratuitas tenemos:

Autopsy Browser Forensic Digital Forensic Framework OS Forensic, Prodiscover.

Entre las licenciadas tenemos:

WInHEX Forensic, Forensic Tool Kit (FTK) Encase.

Estas herramientas aquí mencionadas son entre todas las más destacadas y vale la pena mencionar que existen muchas más herramientas.

OBJETIVO DE LA PRÁCTICA

Reconocer la herramienta Autopsy y aplicarla en el análisis de evidencia digital forense para la solución de dos casos de estudio propuestos; preparando el respectivo informe final del caso.

RECURSOS

PC (computador Personal) Sistema Operativo Windows / Linux (Kali – Linux) Herramientas de Software (Autopsy) Internet Privilegios de Administrador

DESARROLLO DE LA PRÁCTICA

Paso1: Autopsy Browser Forensic

Por sus características y especialmente por ser de las primeras herramientas de software libre para análisis forense, lo convierte en uno de los más usados para este fin, autopsy fue diseñado para trabajar bajo Linux, sin embargo, ha evolucionado de manera importante y hoy presenta su versión para Windows.

Se puede instalar autopsy, para sistemas Linux o Windows, descargándolos desde su sitio web: http://www.sleuthkit.org/.

También se puede encontrar inmerso en distribuciones dedicadas al análisis forense como: CAINE, DEFT, HELIX o en Kali-Linux.

El Autopsy Forensic Browser es una interfaz gráfica con herramientas forenses de línea de comando y utilitarios estándares de UNIX, que permite realizar un análisis al disco duro y al sistema de archivos de Windows y de Linux.

Puede trabajar de dos formas, en el modo normal carga la imagen desde disco para su análisis, o puede hacer análisis a “sistemas vivos” sin grabar ningún dato dentro del disco duro.

El browser de Autopsy tiene las siguientes opciones:

File Análisis: Esta opción permite analizar la imagen desde la perspectiva de directorios y archivos. Proporciona la misma interfaz usada en un computador aunque este modo también muestra información que haya sido eliminada.

Metadata Analysis: Este modo es útil para examinar las estructuras no localizadas y conseguir todos los detalles sobre archivos localizados.

Laboratorios de Informática Forense Análisis de Evidencia Forense Elaborado por: Ing. Miguel J. Navas J. Página 2

Data Unit: Permite desplegar por número de bloque. El contenido del bloque se puede visualizar en ASCII, hexadecimal o cadenas de caracteres.

Keyword Search: Busca archivos que estén dentro de la imagen analizada que coincidan con una cadena de caracteres.

Image Details: Enumera los detalles sobre el sistema de archivos del volumen analizado.

Image Integrity: Verifica la integridad de los datos validando en cualquier momento el valor md5.

File Activity Timelines: Puede crear líneas de tiempo para determinar todos los cambios realizados sobre la imagen o explicar procesos utilizados que haya podido afectar la integridad de la imagen.

File Type Categories: Puede clasificar los archivos por tipo. Por ejemplo, todos los ficheros del JPEG y del GIF serían identificados como imágenes y todos los ficheros ejecutables serían identificados.

Report Generation: Genera un reporte de todas las actividades antes dichas o que hayamos realizado durante el proceso de análisis.

Paso2: Proceso de instalación para Linux

Inicialmente como requisitos previos para la instalación de autopsy browse forensic necesitamos instalar el conjunto de herramientas (Sleutkit).

Estas herramientas pueden descargarse directamente desde: http://www.sleuthkit.org/

Como lo muestra la figura #1. Una vez descargada la herramienta se procede a “desempaquetarla” en la ruta donde se quiera compilar.

Ver a continuación la figura #1

Laboratorios de Informática Forense Análisis de Evidencia Forense Elaborado por: Ing. Miguel J. Navas J. Página 3

Figura #1. Página de descarga de Sleutkit (Desde Linux)

Fuente: MJNJ Autor del documento

¿Cómo se comprimen y descomprimen archivos en Linux?

Ingrese a la carpeta donde fue “desempaquetada” la herramienta y ejecute el comando: make.

¿Cómo utiliza el comando make en Linux?

Con esto se completa la primera parte de la instalación de autopsy browse forensic.

Ahora se debe descargar el paquete de autopsy.

Igual lo puede descargar desde Linux en la misma página anterior.

Una vez descargado se “desempaqueta” en el lugar que desea compilar, luego se ingresa al directorio y ejecuta el comando: make.

Realizado este paso la instalación hará una pregunta en la cual se debe poner como respuesta, la dirección donde desempaquetamos sleuthkit.

Laboratorios de Informática Forense Análisis de Evidencia Forense Elaborado por: Ing. Miguel J. Navas J. Página 4

A continuación presentará la información que confirma que el proceso se está realizando correctamente.

...