Manual Autopsy - Caine

Guia dinstallaci de lentorn de treball: Autopsy - CAINE
Mster Interuniversitari en Seuretat de

les !ecnoloies de la In"or#aci i de les
Co#unicacions
Anlisi forense de sistemes d'informaci
Guia d'installaci de l'entorn de treball
Autopsy - CAINE
1- Mquina virtual
La mquina virtual utilitzada en el nostre cas ser Virtual Box, s
gratuta i es pot descarregar des de la pgina:
http://www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html
En aquesta pgina trobarem versions per a diferents sistemes
operatius, noms fa falta descarregar la versi adequada pel nostre
sistema operatiu i installar-la
2- Sistema operatiu
El sistema operatiu que utilitzarem s una distribuci italiana
!"#$L%"#& anomenada '(%"E )Computer Aided Ivestigative
!nvironment* '(%"E oferei+ un entorn forense complet, basat en la
integraci d,eines forenses -a e+istents com a m.duls de programari,
integrats en una interf/cie gr0ca amigable
'(%"E es diferencia de les altres distribucions del seu tipus )"orensic
Boot C#, $elix, #e%t, etc* per la seva facilitat d12s i per proporcionar
una interf/cie gr0ca 3omog4nia que guia als investigadors digitals
durant l1adquisici i l1anlisi de les proves electr.niques, i els oferei+
un procs semi-automtic durant la documentaci i generaci
d1informes
5odem descarregar la darrera versi estable, a data d,avui, des de:
3ttp:$$666caine-livenet$page7$page73tml
3- on!"uraci de la mquina virtual
#na vegada tinguem la mquina virtual installada i el sistema
operatiu descarregat, podem decidir si fem servir el 0t+er .iso com a
&iveC#, o l,installem en una mquina virtual amb un disc dur virtual
assignat
La recomanaci, en el nostre cas, s installar el sistema operatiu
'(%"E i copiar-3i la imatge forense facilitada a l,assignatura
8,aquesta manera tindrem un rendiment ms .ptim a l,3ora de
realitzar la nostra anlisi forense
1
5er realitzar la installaci obrim Virtual Box9 a la part superior
esquerra 3i 3a un bot amb la etiqueta :nova;, el premem i ens
aparei+er l1assistent per la nova mquina virtual, on ens demanar
el nom de la mquina virtual i el tipus ( mode d,e+emple podem
posar els valors seg<ents:
La quantitat de mem.ria =(> que assigneu a la mquina pot variar
en funci de les necessitats, es recomana seleccionar 0ns el m+im
de la barra verda per assegurar que el sistema operatiu funcioni de
forma ?uda:
@ot seguit cal seleccionar la creaci d1un nou disc dur virtual:
2
En cas que la imatge que creem noms 3agi de ser utilitzada per
Virtual Box, podeu crear la imatge en format A8%:
Bi es selecciona la mida reservada dinmicament, tindrem el
problema que en el cas d,esborrar informaci no es recuperaria
l1espai esborrat, per tant s ms .ptim seleccionar mida 0+a:
3
( continuaci s13a de seleccionar la mida que voleu assignar al
sistema operatiu9 amb CD !E n,3i 3aur prou
Finalment, seleccionem crear, i la maquina virtual es crear
(bans de e+ecutar-la, 3em d,anar a la con0guraci de la mquina
virtual per tal d, establir un dispositiu tipus '8$8A8 que contingui la
imatge .iso de '(%"E que ens 3em descarregat al punt G d,aquest
manual
5er tant, seleccionem la maquina virtual :Caine' del panel esquerra
de V( VirtualBox Administrator i premen el bot :Con)guraci*n'
( continuaci seleccionem :Almacenamiento; del panel esquerra,
triem el dispositiu de tipus '8$8A8, i introdum la ruta a la imatge .iso
de '(%"E:
4

(ra -a tenim la unitat virtual '8$8A8 :apuntant; al '8 d,installaci
de '(%"E:
5
#- $nstallaci del sistema operatiu en la mquina virtual
Ha tenim con0gurada la maquina virtual correctament, de forma que
ara passarem a la installaci del sistema operatiu 5er tant,
e+ecutarem la mquina virtual prement el bot :Iniciar;
( l,iniciar la mquina ens aparei+er el seg<ent men2, on
seleccionarem :Install + start the installer directl,; i premerem
;!nter; per comenIar la installaci:
( la primera pantalla d,installaci de '(%"E, noms seleccionarem el
nostre idioma i premerem el bot :Continuar;:
La seg<ent pantalla s informativa 'al prmer el bot :Continuar;
6
( continuaci ens demanar el tipus d,installaci 5odem seleccionar
:automtic; )fer servir tot el disc dur virtual* o :manual; )s a dir, fer
les particions necessries a m, com qualsevol altra distribuci de
Linu+* En el nostre cas, podem seleccionar la primera opci
'ontinuem i en la pantalla seg<ent podem triar el bot :Instalar
ahora;:
Juan comenci la installaci ens demanar la nostre ubicaci, on, per
e+emple, podem trobar Earcelona:
7
( continuaci establirem el teclat:
La seg<ent pantalla demana el nom de l,estaci de treball, l,usuari i la
forma d,iniciar
Juan 0nalitzi la installaci ens demanar que es reinici la mquina
#na vegada reiniciada, -a tenim accs a '(%"E
8
%- &brir un cas en Autopsy
Autops, s una eina de codi lliure per a l1anlisi de l,evid4ncia digital
La seva interf/cie gr0ca s un navegador 6eb que, basat en les eines
de l/nia de comandes de -leuth .it, permet una anlisi de diversos
tipus d1evid4ncia mit-anIant una captura d1una imatge de disc
El primer pas s obrir el programa, ubicat :"orensic /ools; del men2
d,inici:
(questa opci ens obrir un servidor 6eb pel port KKKK del localhost,
on s,e+ecutar l,aplicaci >arquem l,opci :ew Case;
9
Les primeres dades que ens demanar Autops, a l,3ora d,obrir
l,e+pedient sn el nom del cas, la descripci i els noms dels
investigadors que intervenen en el cas
( continuaci veiem que ens 3a creat l,estructura de carpetes pel
nostre cas i noms caldr afegir la imatge forense que tenim al cas
Ls important saber que l,evidencial de la prctica noms s d,una
partici i no d,un disc sencer (i+/ matei+, en la seg<ent pantalla
s,observa com s,3a copiat abans la imatge a l,escriptori de l,usuari:
10
Bi acceptem, veiem que ens crea l,estructura de carpetes per aquest
host i podem afegir la imatge de la prctica
11
'om podem veure, 3em d,indicar on est l,evidencial )o imatge
forense*, quin tipus s i el m4tode d,importaci En el cas aqu/ descrit,
-a s,3a copiat pr4viament l,evidencial a l,escriptori de l,usuari :caine',
per. es pot utilitzar el m4tode d,importaci :Cop,' per copiar
l,evidencial directament des d,un 8A8
( continuaci ens mostrar informaci de l,evidencial seleccionat,
com ara particions, tipus de partici, etc En el nostre cas, disposem
d,una partici de tipus "@FB
12
#na vegada afegit, ens mostra el resultat i l,%8 de la imatge
carregada, i ens oferei+ l,oportunitat d,afegir ms imatges:
'om en el nostre cas no tenim ms imatges a afegir per aquest host,
0nalitzem i -a podem veure el cas i analitzar la informaci de qu4
disposem
13
'- (ecerca d)indicis en un cas en Autopsy
Bi premem :Anal,0e; dins del cas, i seleccionant l,evidencial a
analitzar, s,obrir una nova pgina 6eb amb diferents opcions en la
part superior del navegador
En la part superior d,aquesta pantalla es mostren diferents opcions de
l,aplicaci:
File Analysis
(questa opci proporciona la matei+a interf/cie que els usuaris
solen utilitzar en un ordinador normal per a analitzar 0t+ers i
directoris, i tamb permet veure els ar+ius esborrats
(questa funcionalitat permet e+aminar el contingut d1ar+ius i
directoris a la recerca de proves Fins i tot permet fer una anlisi
binria bsica mit-anIant l1e+tracci de les cadenes de
carcters (B'%% d1un ar+iu binari Els ar+ius tamb es poden
ordenar per qualsevol camp
Finalment, notem que en la part esquerra de l,aplicaci, podem
veure d,altres opcions disponibles:
14
Bi li triem l,opci :!xpand #irectories;, veiem que aparei+ el
seg<ent panel, amb els directoris e+istents dins del sistema a
analitzar :
Keyword Search
(questa opci permet realitzar cerques mit-anIant una cadena
de te+t o una e+pressi regular a l,estil de la comanda Mgrep,,
0ns i tot sobre contingut esborrat
15
5ermet introduir l,adreIa d,un directori directament per tal
de veure el seu contingut al panel central Es pot fer servir
com una drecera
5ermet fer cerques de 0t+ers emprant e+pressions
regulars
>ostra tots els 0t+ers esborrats que s,3an trobat al panel
central
5er defecte, la llista de directoris no aparei+ per primera vegada En
seleccionar aquest bot, es mostrar la llista completa dels directoris El
s/mbol 1N1 representa la profunditat de la guia
5er e+emple, si realitzem una cerca de la paraula :drug;, al
panel esquerre veurem els resultats de la cerca i la posici del
disc on es troben les coincid4ncies localitzades:
File Type
16
On posem l,e+pressi a
cercar
5er distingir ma-2scules i
min2scules
@ipus de
codi0caci
Bi fem servir
e+pressions
regulars
'ercar a l,espai
;unallocated; del disc
5atrons de cerques prede0nides, com
%5s, etc
=esultat de la cerca
'ontingut del 0t+er
8ades del 0t+er
L,anlisi d1imatges de gran mida, dins del sistema de 0t+ers, pot
ser molt descorat-ador #na manera d1identi0car els ar+ius que
3an de ser e+aminats s classi0car els ar+ius segons el seu
tipus
5er realitzar aquesta tasca, tenim al panel esquerre, l,opci
:-ort "iles b, /,pe;, la qual recorrer tot l,evidencial i ens
agrupar els 0t+ers segons la seva e+tensi
B,3a de tenir present que aquest procs pot ser lent i podria
durar molt en funci de la mida de l,evidencial, encara que
segurament el temps invertit en aquesta tasca pot agilitar en
gran mesura l,anlisi posterior
Pem de tenir present que 3i 3a accions que triguen molt de
temps en 0nalitzar, per ai+. podem obrir diferents 0nestres 6eb
en Autops, per continuar treballant en el nostre cas
Image Details
(questa opci proporciona les dades d1informaci general de
l,evid4ncia9 el contingut pot variar segons el tipus de sistema
de 0t+ers
17
Juan 0nalitzi l,opci :Bort Files bQ @Qpe;, podem veure el resultat en aquesta
opci
Meta Data
(questa opci permet a l1investigador veure els detalls de les
estructures de metadades, les quals contenen els detalls d1un
ar+iu, com ara els temps i refer4ncies a les unitats de dades
asignades
( la part esquerra, aparei+ l,opci d,introduir directament la
direcci >F@ )en el nostre cas, -a que recordem que tenim una
partici "@FB*, o de veure totes les entrades i seleccionar
aquella que desitgem:
18
Data nit
(questa opci permet a l,investigador veure el contingut d1una
unitat de dades individual 1nitats de dades s un terme
gen4ric utilitzat per descriure les rees en el disc que s1utilitzen
per a emmagatzemar les dades )s a dir, fragments o cl2sters*
%gual que en el cas anterior, podem indicar manualment el
cl2ster on comenIar i la quantitat d,unitats, o veure un llistat
dels cl2sters ):allocation list;* i triar el que volem
5er e+emple, a continuaci veiem el contingut del cl2ster G7DD,
on a la capIalera veiem que tenim l,opci :"ind (eta #ata
Address; per accedir directament a veure la informaci sobre
aquest registre :
19
20
*- Generar informes de les evid+ncies trobades
#na de les coses que l1investigador 3a de fer s generar un informe
amb totes les evidencies que 3a localitzat
#na vegada localitzat un indici d,inter4s, com per e+emple el ar+iu
:2inball.lnk; de l,escriptori de l,usuari Ian, veiem que podem disposar
de les opcions seg<ents:
5er e+emple, el resultat de la funci :displa,; del 0t+er seleccionat en
format (B'%% -trings seria :
21
L,opci displaQ modi0ca la forma com s,est
visualitzant el contingut del 0t+er per
pantalla, en funci si seleccionem (B'%%, Pe+
o (B'%% Btrings
L,opci report ens genera un informe de
l,evidencia i mostra el contingut del 0t+er a
l,informe en funci si seleccionem (B'%%, Pe+
o (B'%% Btrings
E+porta el 0t+er a
la ruta local on
desitgem
(fegei+ una nota,
la qual pot ser
desprs vista des
de les propietats
del cas
% la generaci automtica d,un informe d,aquesta evid4ncia )en
format (B'%% -trings* comprendia les dades seg<ebnts seria:
22
Es pot veure la ubicaci de l,evid4ncia, diferents valors hash per la
matei+a, dades relatives a la imatge forense, data i 3ora de la seva
generaci, l,investigador del cas, la ubicaci f/sica de l,evidencia,
metadades i, al 0nal, el contingut en el format seleccionat
Es pot consultar tota la informaci necessria per emprar Autops, a la
refer4ncia d, internet : 3ttp:$$666sleut3Ritorg$autopsQ$3elp$

23

Manual Autopsy - Caine

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual Autopsy - Caine

Uploaded by

Copyright:

Available Formats

Guia dinstallaci de lentorn de treball: Autopsy - CAINE

Mster Interuniversitari en Seuretat de

You might also like