Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Traducido por:
Autopsy 3
Toda la informacin presentada a continuacin, ha sido traducida de la informacin oficial en ingls
sobre Autopsy 3, la cual ha sido publicada en: http://www.sleuthkit.org/autopsy/index.php
Autopsy es una plataforma forense digital e interfaz grfica para The Sleuth Kit y otras
herramientas forenses digitales. Puede ser utilizada por fuerzas del orden, militares, y examinadores
corporativos para investigar lo que ocurri en una computadora. Aunque se puede utilizar para
recuperar las fotos desde la tarjeta de memoria de una cmara digital.
1. Facilidad de Uso
Autopsy ha sido diseada para ser intuitivo. Su instalacin es sencilla y un asistente gua a travs de
cada paso. Todos los resultados se encuentran en un nico rbol.
Intuitivo
Las herramientas de forense digital deben ser intuitivas y accesibles, de tal manera que puedan ser
utilizadas efectivamente por investigadores no tcnicos. Autopsy 3 utiliza asistentes para ayudar a
los investigadores a conocer cual es el siguiente paso, usando tcnicas de navegacin comunes para
ayudarlos a encontrar resultados, e intentar a automatizar tanto como sea posible para reducir
errores.
Varias caractersticas fueron aadidas para asegurar que Autopsy sea sencillo de utilizar para
usuarios no tcnicos.
Los Asistentes son utilizados en varios lugares para guiar al usuario a travs de pasos
comunes.
El Historial es mantenido de tal manera que el usuario pueda utilizar los botones de
adelantar o retroceder para rastrear despus de haber seguido una ruta de investigacin.
Las Configuraciones Previas son algunas veces utilizadas con los mdulos de tal manera que
se puede ms fcilmente analizar la siguiente imagen con la misma configuracin de la
ltima imagen.
La vista por defecto de Autopsy es una sencilla interfaz donde todos los resultados del anlisis
pueden ser siempre encontrados en un nico rbol sobre el lado izquierdo. Cuando el examinar est
buscando algo, puede inmediatamente revisar el rbol. No tienen que ir a travs de mens o capas
de pestaas para encontrar la informacin.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
2. Ampliable
Autopsy ha sido diseado para ser una plataforma con mdulos. Algunos de estos mdulos
proporcionan:
Filtrar hash : Se marcan los archivos conocidos como dainos y se ignoran los conocidos
como buenos.
Anlisis Forense del Sistema de Archivos: Recupera archivos desde los formatos ms
comunes.
Habilidad para acercar o alejar la granularidad de un rango de fechas con u solo clic o botn.
Visualizar una lista de archivos asociado con u rango de fechas (Basadas e la informacin
MAC)
Utilizar visores de contenido para cada archivo listado e la vista de cronologa directamente
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Nmero de telfono
Direcciones IP
URLs
Adems, las bsquedas de palabras ad-hoc pueden ser ejecutadas directamente desde la barra de
contenido durante una investigacin antes (o durante) el procesamiento de la imagen del disco. Las
bsquedas de palabras concurrentes pueden ser ejecutadas contra el indice de bsqueda.
En lugar de buscar datos en bruto, la bsqueda de palabras en Autopsy es realizada sobre la salida
de los mdulos de extraccin de texto. Autopsy utiliza Tika y otras libreras para extraer texto
desde HTML, Microsoft Office, PDF, RTF y dems. Esta aproximacin es ms efectiva para
encontrar texto que la bsqueda nivel de byte para los archivos PDF y docx que no estn en ingls
donde los datos estn comprimidos.
Cualquier resultado de las bsquedas que est habilitadas (expresiones regulares o listas definidas
de usuario), aparecern en el nodo de Coincidencias de palabras en el rbol de navegacin de
Autopsy.
Gracias a Apache SOLR, todos los archivos que Autopsy identifica que tienen contenido de texto en
ellos, sern indexados para bsqueda ya sea mediante listas de expresiones regulares predefinidas,
listas de palabras definidas por el usuario, o consultas ad-hoc.
2.3 Anlisis de Artefactos Web
Autopsy est configurado para buscar por artefactos web comunes de los principales navegadores
de la actualidad, incluyendo:
Firefox
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Chrome
Internet Explorer
Safari
Bookmarks
Cookies
History
Downloads
Search Queries
Para facilitar el encontrar estos datos, los resultados de todos los navegadores son mezclados juntos.
De esta manera, si se desea ver el historial del usuario, se va al nodo historia. No se necesita ir a
travs de las carpetas de los diferentes navegadores antes de encontrar el historial.
Todos los resultados son categorizados y se muestran automticamente en la vista de rbol de
Autopsy bajo el nodo Resultados. Esta caracterstica proporciona al investigador acceso rpido y
automtico a los detalles a nivel de la aplicacin de lo el usuario estuvo haciendo mediante los
navegadores web, y puede conducir a bsquedas adicionales de palabras clave e hiptesis de
investigacin a explorar.
Caractersticas de Anlisis
A continuacin una lista de las caractersticas de Autopsy
Anlisis de Cronologa: Muestra los eventos del sistema en una interfaz grfica para ayudara
a identificar actividad
Artefactos Web. Extraccin de actividad web de los navegadores ms comunes para ayudar
a identificar actividad del usuario.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Orden por tipo de Archivo: Archivos agrupados por su tipo para encontrar todas las
imgenes o documentos.
Visor de Miniaturas: Muestra las miniaturas de imgenes para ayudar a verlas rpidamente.
Anlisis Robusto del Sistema de Archivos: Soporta los sistemas de archivos ms comunes,
incluyendo NTFS, FAT12, FAT16, FAT32, HFS+, ISO9660 (CD-ROM), Ext2, Ext3, y UFS
de The Sleuth Kit.
Filtrar por Conjunto de Hash: Filtra archivos conocidos como buenas utilizando NSRL, y
marca los archivos conocidos como dainos, utilizando conjuntos de hash personalizados en
formatos HashKeeper, md5sum, y EnCase.
Extraccin de Cadenas Unicode: Extrae cadenas desde el espacio sin asignar y tipos de
archivos desconocidos en varios lenguajes (Arbigo, Chino, Japons, etc.)
Formato de Entrada
Autopsy analiza imgenes de disco, dispositivos locales, o carpetas de archivos locales. Las
imgenes de disco pueden estar en formato raw/dd o E01. El soporte E01 es proporcionado por
libewf.
Reporte
Autopsy tienen una infraestructura de reporte ampliable que permite tipos adicionales de reporte
para ser creadas por los investigadores. Por defecto estn disponibles archivos de reporte HTML,
XLS, y de cuerpo. Cada uno se puede configurar dependiendo de cual es la informacin que el
investigador desea incluir en su reporte:
HTML y Excel: Los reportes HTML y Excel estn hechos para ser reportes completamente
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
empaquetados y que puedan ser compartidos. Estos pueden incluir referencias a archivos
etiquetados con comentarios y anotaciones insertadas por el investigador, como tambin
otras bsquedas automticas que Autopsy realiza durante el procesamiento. Estos incluyen
bookmarks, historial web, dispositivos adjuntos, cookies, descargas, y consultas de
bsqueda.
Archivo Body: Principalmente para ser usado en el anlisis de cronologa, este archivo
puede incluir tiempos MAX para cada archivos en un formato XML, para ser importado por
herramientas externas, como mactime en The Sleuth Kit.
Un investigador puede generar uno o ms reportes a la vez, as mismo editar uno existente o crear
un nuevo mdulo de reporte para personalizar el comportamiento para una necesidad especfica.
3. Rpido
Todos desean resultados para ayer. Autopsy ejecuta tareas en segundo plano en paralelo utilizando
varios ncleos y proporcionando resultados tan pronto como son encontrados. Puede tomar horas
buscar completamente una unidad, pero se podran conocer en minutos si las palabras son
encontradas en las carpetas del usuario. Revise la pgina de resultados rpidos para mayor detalle.
Resultados Rpidos
As como los medios crecen en tamao, se torna ms amplio analizarlos. La fsica nos impide
obtener toda la evidencia antes de tomar una taza de caf, pero Autopsy nos mostrar la evidencia
tan pronto como se conozco e intentar encontrar primero la mayor cantidad de evidencia relevante.
Autopsy tiene varias caractersticas para obtener la evidencia ms rpido:
Varios mdulos de procesamiento se ejecutan en paralelo para aprovechar los sistemas con
varios ncleos.
Pasos intensivos de tiempo puede ser deshabilitados para un anlisis ms rpido, pero menos
exhaustivo (un triage). Por ejemplo, se puede saltar la bsqueda de archivos FAT hurfanos
y saltar el anlisis de espacio sin asignar.
Las carpetas y archivos de usuario son priorizadas sobre las carpetas y archivos del sistema.
Los resultados de los mdulos de procesamiento, en general, son mostrados tan pronto como
son encontrados. La bandeja de entrada de procesamiento proporciona informacin sobre
cuales mdulos estn reportando.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
4. Rentable
Autopsy es Libre. As como los presupuestos se reducen, las soluciones de forense digital rentables
son esenciales. Autopsy ofrece las mismas caractersticas centrales de otras herramientas forenses
digitales y ofrece otras caractersticas esenciales, como anlisis de artefactos web y anlisis del
registro, que otras herramientas comerciales no proporcionan.
5. Descarga
Existen seis archivos para descargar en cada publicacin.
Varios archivos .asc conteniendo las firmas GPG para los archivos anteriores.
Para utilizar Autopsy en windows, se debe descargar un msi y ejecutarlo. Estos es todo lo que se
necesita hacer. La versin de 64 bit, puede utilizar ms memoria RAM y podra ser ms rpida.
Autopsy 3 es solo para Windows y viene con un instalador. No se necesita descargar o instalar nada
ms. Todo est contenido en el instalador.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
1. Instalacin
La versin actual de Autopsy 3 se ejecuta nicamente sobre Microsoft Windows. Se ha conseguido
que se ejecute en otras plataformas, como Linux y OS X, pero no se le tiene en u estado que sea
fcil distribuirlos y encontrar las libreras necesarias.
El instalado de Windows crear un directorio para Autopsy y colocar todos los archivos necesarios
dentro de este. El instalador incluye todas las dependencias, incluyendo Sleuth Kit y Java.
Se debe anotar que Autopsy 3 es una completa reescritura de Autopsy 2 y nada de este documento
es relevante par Autopsy 2.
Para una imagen de disco, navegar al primer archivo del conjunto (Autopsy encontrar los
archivos restante). Autopsy actualmente soporta archivos E01 y raw (dd).
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Para discos locales, seleccionar uno de los discos detectados. Autopsy aadir la vista actual
del disco al caso (captura de metadatos). Sin embargo, el contenido individual del archivo
(no metadatos) se actualizar con los cambios hechos al disco. Anotar, que se necesitar
ejecutar Autopsy como administrador para detectar todos los discos.
Para archivos lgicos (un nico archivo o carpetas de archivos), utilizar el botn Add para
aadir uno o ms archivos o carpetas del sistema al caso. Las carpetas sern aadidas de
manera recursiva al caso.
Existen un par de opciones en el asistente que permitirn hacer el procesamiento ms rpido. Estos
se ocupan normalmente de los archivos eliminados. Esto se alargar si el espacio sin asignar es
analizado y el dispositivo completo es buscado por archivos borrados. En algunos escenarios, estos
pasos de recuperacin deben ser realizados y en otros escenarios estos pasos no son necesarios y en
lugar son necesarios resultados rpidos sobre los archivos sin asignar. Utilizar estas opciones para
controlar el tiempo que tomar el anlisis.
Autopsy empezar a analizar estas fuentes de datos y los aadir al caso y base de datos interna.
Mientras hace esto, consultar para configurar los Mdulos de Asimilaci.
2.3 Mdulos de Asimilacin
El siguiente paso ser consultar los Mdulos de Asimilacin. Los mdulos de asimilacin se
ejecutarn en segundo plano y realizarn tareas especficas. Los Mdulos de Asimilacin analizan
archivos en un orden priorizado de tal manera que los archivos en el directorio del usuario son
analizados antes que los archivos en otras carpetas. Los mdulos de asimilacin pueden ser
desarrollados por terceros. A continuacin se detallan los mdulos de asimilacin estndar que
vienen con Autopsy:
La Actividad Reciente extrae la actividad del usuario como la guardada por el navegador
web y el Sistema Operativo. Tambin ejecuta regripper sobre la colmena del registro.
La Consulta de Hash utiliza una base de datos de hash para ignorar archivos conocidos
desde NIST NSRL y etiquetar los archivos conocidos dainos. Utilizar el botn Advanced
para aadir y configurar las bases de datos hash a ser utilizadas durante este proceso.
Tambin se puede obtener actualizacin sobre coincidencias de archivos conocidos dainos
mientras ocurre la asimilacin. Se puede luego aadir bases de datos de hash mediante el
men Tools -> Options en la interfaz de usuario principal. Tambin se puede descargar un
indice de NIST NSRL.
La Bsqueda de Palabras Clave utiliza listas de palabras claves para identificar archivos con
palabras especficas en ellas. Tambin se puede seleccionar la listas de palabras claves a
buscar automticamente y se puede crear nuevas listas utilizando el botn Advanced. Se
debe anotar que con la bsqueda de palabras clave, se puede siempre realizar bsquedas
despus de que la asimilacin ha finalizado. Las listas de palabras clave que se seleccionan
durante la asimilacin pueden sern buscadas a intervalos regulares y se obtendrn los
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
resultados e tiempo real. No se necesita esperar a que todos los archivos sean indexados.
El Extractor de Archivos apertura formatos de archivos ZIP, RAR, y otros, adems enva los
archivos desde estos de regreso a travs de fuentes de informacin para anlisis.
El Interprete EXIF de Imgenes extrae la informacin EXIF desde los archivos JPEG y
enva los resultados al rbol de la interfaz de usuario principal.
3. Anlisis Bsico
Se puede iniciar todas las tcnicas de anlisis desde el rbol ubicado a la izquierda.
El nodo de Vista muestra los mismos datos desde la perspectiva de tipo de archivo o
cronologa.
Cuando se selecciona un nodo desde el rbol sobre la izquierda, una lista de archivos ser mostrado
en la parte superior derecha. Se puede utilizar la vista de Miniaturas en la parte superior derecha
para visualizar las fotos. Cuando se selecciona un archivo desde la parte superior derecha, estos
contenidos sern mostrados en la parte inferior derecha. Tambin se puede utilizar las pestaas e la
parte inferior derecha para visualizar el texto del archivo, una imagen, o los datos en hexadecimal.
Si se est visualizando archivos desde los nodos de Vistas o resultados, se puede hacer clic derecho
sobre el archivo para ir a la ubicacin en el sistema de archivos. Esta caracterstica es til para ver
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
lo que un usuario guard en la misma carpeta as como el archivo que se est actualmente
visualizando. Se puede tambin hacer clic derecho sobre el archivo para extraerlo en el sistema
local.
Si se desea buscar por palabras claves nicas, entonces se puede utilizar la caja de bsqueda en la
parte superior derecha del programa. Los resultados sern mostrados en una tabla e la parte superior
derecha.
Se puede etiquetar (o bookmark) archivos arbitrarios de tal manera que puedan ser encontrados ms
rpidamente despus o para ser incluidos especficamente en un reporte.
previa. Se puede conocer que se encontr un archivo conocido como daino o que se encontr un
archivo con una palabra clave relevante, para luego decidir enfocarse por un momento en este.
Cuando se selecciona un mensaje, se puede saltar al rbol de Resultados donde se pueden encontrar
ms detalles o saltar a la ubicacin de los archivos en el sistema de archivos.
3.1 Cronologa (Beta)
Existe una vista sencilla de la cronologa que puede ser accedida mediante la caracterstica Tools
-> Make Timeline. Tomar unos minutos crear una cronologa para el anlisis. Esta caracterstica
an est bajo desarrollo.
Nota: Se est trabajando para hacer esto ms eficiente cuando existen una gran cantidad de
imgenes y se est trabajando en esta caracterstica para mostrar miniaturas de videos.
Se puede seleccionar una imagen o video desde la parte superior derecha y visualizar el video o
imagen e la parte inferior derecha, Los videos sern reproducidos con audio.
5. Reportar
Un reporte final puede ser generado que incluya todos los resultados del anlisis. Se debe utilizar el
botn Generate Report para crearlo. Esto crear un reporte HTML o XLS en la carpeta de
reportes de la carpeta del caso. Si se olvida la ubicacin de la carpeta del caso, esta puede ser
determinada utilizando la opcin Case Properties en el men File. Existe tambin una opcin
para exportar archivos de reporte a una carpeta separada fuera de la carpeta del caso.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Visin General
Autopsy permite realizar una investigacin forense digital. Es una interfaz grfica para The Sleuth
Kit y otras herramienta. Esta pgina delinea los conceptos bsicos del programa. Lo restante de esta
gua de ayuda est organizada alrededor de estos conceptos.
Las caractersticas principales de Autopsy incluyen: importar fuentes de datos (imagen, disco,
archivos) y explorar estos sistemas de archivos, ejecutar mdulos de anlisis (asimilacin),
visualizar resultados de asimilacin, visualizar contenido y generar reportes.
Autopsy es una aplicacin que se puede expandir, proporciona un framework que permite a otros
proporcionar plug-ins y proveer asimilacin adicional de imagen y archivo para nuevos tipos de
anlisis, visores de contenido variado y diferentes tipos de reportes a ser soportados. Estos son plugings para varios mdulos de asimilacin, visores y reportes que son incluidos por defecto con
autopsy.
Toda la data est organiza alrededor del concepto de un caso. Un caso puede tener cargada uno o
ms fuentes de datos en el.
La ventana principal tiene tres reas principales.
rbol Explorador de Datos: Esta rea es donde se encuentra las funcionalidad de anlisis
principal. Permite iniciar el hallazgo de archivos relevantes rpidamente.
Visores de Resultados: Esta rea es donde los archivos y directorios que fueron
encontrados desde la ventana de exploracin pueden ser visualizados. Existen diferentes
opciones de formateo para los archivos.
Visores de Contenido: Esta rea es donde el contenido del archivo puede ser visualizado
despus de haber sido seleccionado desde el rea del Visor de Resultados.
Lo principal de esto es que las tcnicas de anlisis y categoras de resultados pueden ser
encontrados sobre el lado izquierdo, los resultados de seleccionar algo sobre el lado izquierdo son
siempre listados en la parte superior derecha, y el contenido de los archivos son mostrados en la
parte inferior derecha.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Abrir un Caso
Para abrir un caso, seleccionar Open Case del Men File o utilizar Ctrl + O. Navegar al
directorio del caso y seleccionar el archivo .aut.
1.1.2 Crear un Caso
Existen varias maneras para crear un caso:
Se abrir el asistente del New Case y ser necesario ingresar el nombre del caso y el directorio
base. Cada caso tendr su propio directorio y se crea la uta del directorio para combinar el
Directorio Base con el Nombre del Caso. Si el directorio ya existe, se necesitar borrar el
directorio existente o seleccionar una combinacin diferente de nombres.
Ejemplo:
A continuacin se presenta u ejemplo del asistente para el Nuevo Caso,
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Imagen de Disco (raw, EnCase, etc.). Imagen se refiere a una copia byte a byte de disco
duro u otro medio de almacenamiento.
Dispositivo de Disco (particin de disco lgico o fsico, conectada en la mquina del usuario
y detectada por Autopsy). Nota: Para detectar correctamente todos los dispositivos, Autopsy
necesita ejecutarse como Administrador.
El usuario necesita seleccionar el tipo de fuente de datos desde el men desplegable en el asistente
para Aadir Fuente de Datos.
Para analizar una Fuente de Datos, el usuario deber utilizar el Asistente para Aadir Fuente de
Datos para aadirlo a un caso.
Autopsy puebla una base de datos incrustada para cada fuente de datos (imagen, dispositivo de
disco, archivos lgicos) que este importa. Esta es una base de datos SQLirte y contiene todos los
metadatos del sistema de archivos de la fuente de datos de entrada. Esta base de datos es
almacenada en el directorio del caso, pero la fuente de datos permanecer en su ubicacin original.
La fuente de datos debe permanecer accedible en toda la duracin del anlisis debido a que la base
de datos contiene solo la informacin bsica del sistema de archivos (metadatos, no el contenido
actual). La imagen / archivos son necesarios para recuperar el contenido del archivo.
Formatos Soportados de Imagen
Actualmente, Autopsy soporta estos formatos de imagen:
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Esto proporcionar el asistente para Aadir una Fuente de Datos. El cual guiar a travs del proceso.
Aqu hay algunas anotaciones sobre que es lo que pasar durante el proceso.
El primer panel consultar sobre seleccionar el tipo de fuente de datos y navegar por la
fuente de datos (imagen o archivos ubicados en la computadora, o seleccionar el dispositivo
detectado). En caso de aadir una imagen de disco, ser necesario especificar la zona horario
de la cual la imagen del disco proviene, de esta manera las horas y fechas podrn ser
adecuadamente mostradas y convertidas. Tan pronto como se haga clic en Next, Autopsy
empezar a analizar la imagen del disco y poblar la base de datos en segundo plano.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
El tercer panel proporciona una barra de progreso e informacin sobre la fuente de datos que
Autopsy est actualmente procesando. Si es suficientemente pequea, la entrada puede
haber finalizado de ser procesada, permitiendo continuar luego de este panel. Sin embargo,
puede ser necesario esperar por un corto tiempo mientras la base de datos es poblada.
Una vez que la fuente de datos de entrada finaliza de ser aadida, los mdulos de
asimilacin seleccionados se ejecutarn automticamente en segundo plano. Si la fuente de
dato es procesada antes de seleccionar los mdulos de asimilacin, Autopsy esperar hasta
que se haya realizado.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Hay que anotar que en el caso de una imagen, Autopsy almacenar la ruta la imagen en el archivo
de configuracin. Si se mueve la imagen, esto generar un error debido a que no se puede encontrar
el archivo de imagen y se consultar al usuario para apuntar a la nueva ubicacin de la imagen.
2.2 Ventana de Propiedades del Caso
La Ventana de Propiedades del Caso en sonde se puede verificar la informacin sobre el caso
actualmente abierto (nombre del caso, fecha de creacin del caso, directorio del caso, e imgenes
del caso.)
En esta ventana, tambin se pueden hacer las siguientes cosas:
Ejemplo:
A continuacin se presenta un ejemplo de la ventana Propiedades del Caso.
Los archivos buenos conocidos son aquellos que pueden ser ignorados sin peligro. Este
conjunto de archivos incluye frecuentemente archivos estndar de aplicacin y del Sistema
Operativo. El ignorar los archivos que son interesante para el investigador, reduce
considerablemente el tiempo de anlisis de la imagen.
Los archivos dainos (llamados tambin notables) son aquellos que deben crear conciencia.
Este conjunto variar dependiendo del tipo de investigacin, pero ejemplos comunes
incluyen contrabando de imgenes y malware.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
NIST NSRL
Autopsy puede utilizar la NIST NSRL para detectar archivos conocidos. Se debe anotar que el
NSRL contiene hashs de archivos conocidos que puede ser buenos o malos dependiendo de la
perspectiva y tipo de investigacin. Por ejemplo, la existencia de una pieza de software financiero
puede ser interesante para la investigacin y este software podra estar en la NSRL. Sin embargo,
Autopsy trata los archivos que son encontrados en el NSRL simplemente como conocidos y no
especifica si son buenos o dainos. Los mdulos de asimilacin tienen la opcin de ignorar los
archivos que fueron encontrado en la NSRL.
Aadir Conjunto de Hashs
Autopsy necesita un indice de conjunto de datos para utilizar una base de datos de hashs. Puede
crear un indice se importa unicamente el conjunto de hashs. Cuando se selecciona la base de datos
desde este ventana, se indicar si es que necesita ser creado un indice. Autopsy utiliza el sistema de
manejo de base de datos de hashs de The Sleuth Kit. Se puede crear manualmente un indice
utilizando la herramienta en lnea de comando hfind o se puede utilizar Autopsy. Si se intenta
proceder sin la indexacin de una base de datos, Autopsy ofrecer automticamente producir el
indice.
Se puede tambin especificar solo el archivo indice y no utilizar el conjunto de hashs completos el
archivo indice es suficiente par identificar archivos conocidos. Esto puede ahorrar espacio. Para
hacer esto se debe especificar el archivo .idx en la ventana de manejo para la base de datos de
hashs.
Utilizar Conjunto de Hashs
Existe un mdulo de asimilacin que puede hacer un hash a los archivos y buscarlos en el conjunto
de hashs. Los marcar los archivos que estn en el conjunto de datos notable y estos resultados
sern mostrados en el rbol de resultados del Explorador de Datos.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Otros mdulos de asimilacin son capaces de utilizar el estado conocido de un archivo para decidir
si deben ignorar el archivo o procesarlo.
Tambin se puede ver los resultados en la ventana de Bsqueda de Archivos. Existe una opcin para
seleccionar el estado conocido. Desde aqu, se puede hacer una bsqueda y ver todos los archivos
conocidos dainos. Aqu tambin se puede seleccionar el ignorar todos los archivos conocidos
que fueron encontrados en el NSRL. Tambin se puede ver el estado de el archivo en una columna
cuando el archivo es listado.
siendo indexados. Primero, la indexacin intentar extraer texto desde formatos soportados, tal
como formatos de archivos de texto puro, Documentos MS Office, archivos PDF, archivos de
correo electrnico y muchos otros. Si el archivos no es soportado por el extractor de textos estndar,
Autopsy recurrir al algoritmo de extraccin. La extraccin de archivo de un formato de archivo
desconocido o de archivos binarios arbitrarios pueden extraer an una gran cantidad de texto desde
un archivo, algunas veces lo suficiente para proporcionar pistas adicionales. Sin embargo, la
extraccin de cadenas podra no ser capaz de extraer cadenas desde archivos vinarios que hayan
sido cifrados o encriptados.
Autopsy proporciona algunas listas previamente construidas que definen expresiones regulares y
permiten al usuario buscar por nmeros telefnicos, direcciones IP, URLs y direcciones de correo
electrnico. Sin embargo, el habilitar algunas de estas listas muy generales puede producir una gran
cantidad de coincidencias, muchas de las cuales pueden ser falsos positivos.
Una vez que los archivos est en el indice, estos pueden ser buscados rpidamente por palabras
clave especficas, expresiones regulares, o utilizar las listas de bsquedas de palabras clave que
puede contener una combinacin de palabras clave y expresiones regulares. Las consultas de
bsqueda puede ser ejecutadas automticamente por la asimilacin durante la ejecucin de la
asimilacin, o al final de la asimilacin, dependiendo de las configuraciones actuales y el tiempo
que demanda asimilar la imagen.
Las consultas de bsqueda pueden ser ejecutadas manualmente por el usuario en cualquier
momento, tan pronto como hayan algunos archivos ya indexados y listos para ser buscados.
El mdulo de bsqueda de palabras clave guardar los resultados sin importar si la bsqueda ha sido
realizada por el proceso de simulacin, o manualmente por el usuario. Los resultados guardados
estn disponibles en el rbol del Directorio ubicado en el panel del lado izquierdo.
Para ver lo resultados de la bsqueda de palabras clave en tiempo real mientras la asimilacin est
en funcionamiento, aadir las listas de palabras clave utilizando el Dialogo de Configuracin de
Palabras Clave y seleccione la opcin Use During ingest. Se puede seleccionar Enable sending
messages to inbox during ingest por lista, si las coincidencias sobre la lista deben ser reportadas en
la bandeja de entrada, el cual es lo recomendado para bsquedas muy especficas.
Revisar la Asimilacin para mayor informacin sobre la asimilacin en general.
Una vez que hayan archivos en el indice, la Barra de Bsqueda de Palabras Clave estar disponible
para el uso de bsqueda manuales en cualquier momento.
2.2 Dialogo de Configuracin para Bsqueda de Palabras Clave
El dialogo de configuracin para la bsqueda de palabras clave tienen tres pestaas, cada una de
ellas con su propio propsito.
La pestaa de Listas es utilizada para aadir, eliminar, y modificar listas de palabras clave
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
extraccin.
Para crear una lista, seleccionar el botn New List y seleccionar el nombre para la nueva lista de
Palabras clave. Una vez que la lista ha sido creada, se puede aadir palabras clave a esta. Las
expresiones regulares so soportadas utilizando la la Sintaxis Java Regex. Las listas puede ser
aadidas aadidas al proceso de asimilacin de bsqueda de palabras clave; las bsquedas sern
realizadas a intervalos regulares tanto como sea aadido contenido al indice.
Importar y Exportar Lista
Autopsy soporta listas de EnCase delimitados por tabs como tambin listas creadas previamente
con Autopsy. Para listas Encase, un estructura y jerarqua de carpeta es actualmente ignorada. Esto
ser arreglado en una versin futura. Actualmente no hay manera de exportar listas para utilizarlas
con Encase. Esto tambin ser aadido en futuras versiones.
Configuracin de Extraccin de Cadena
La configuracin de extraccin de cadena define como las cadenas sern extradas desde archivos
desde los cuales no puede ser extrado texto debido a que sus formatos de archivo no son
soportados. Este es el caso con archivos binarios arbitrarios (como con el archivo de pagina) y
trozos de espacio sin asignar que representa archivos borrados.
Cuando se extraen cadenas desde archivos binarios se hace necesario interpretar secuencias de bytes
como texto de manera diferente, dependiendo de la posible codificacin de texto y script/lenguaje
utilizado. En varios casos no se conoce cual es la codificacin / lenguaje especfico en el cual el
texto est codificado con antelacin. Sin embargo, esto ayuda si el investigador est buscando por
un lenguaje especfico, debido que el seleccionar menos lenguajes el desempeo de la indexacin
mejora y el nmero de falsos positivos se reduce.
La configuracin por defecto es buscar unicamente por cadenas en Ingls, codificados en UTF8 o
UTF16. Esta configuracin tiene el mejor desempeo (menor tiempo de asimilacin).
El usuario puede tambin utilizar primero el Visor de Cadenas e intentar diferentes configuraciones
de scripts/lenguajes, y ver cuales configuraciones proporcionan resultados satisfactorios para el tipo
de texto relevante a la investigacin. Adems la misma configuracin que funciona para la
investigacin puede ser aplicada par la asimilacin de bsqueda de palabras clave.
Soporte NIST NSRL
El servicio de asimilacin de bases de datos de hashs pueden ser configurados para utilizar la base
de datos NIST NSRL de archivos conocidos. La pestaa General con el dialogo de configuracin
para bsqueda de palabras avanzada contienen una opcin para saltar la indexacin de palabras
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
clave y buscar en los archivos que han sido previamente marcados como conocidos y archivos no
interesantes. Seleccionar esta opcin puede reducir en gran medida el tamao del indice y mejorar
el desempeo de la asimilacin. En la mayora de los casos, el usuario no necesita buscar palabras
claves por archivos conocidos.
Frecuencia de actualizacin de resultados durante la asimilacin
Para controlar cuan frecuentemente las bsquedas son ejecutadas durante la asimilacin, el usuario
puede ajustar la configuracin del tiempo disponible en la pestaa General de la configuracin de
bsqueda de palabras clave avanzada. El definir un nmero de minutos bajo podra resultar en una
actualizacin de indice ms frecuente y que las bsquedas sean ejecutadas, adems de que el
usuario ser capaz de visualizar los resultados en tiempo real. Sin embargo, actualizaciones ms
frecuentes pueden afectar el desempeo global, especialmente el sistemas con muy potentes, y
pueden potencialmente extender el tiempo total necesario para completar la asimilacin.
Pestaa de Listas:
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Pestaa General:
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
3. Asimilacin
3.1 Sobre la Asimilacin
Autopsy intenta automatizar las cosas tanto como seas posible para el usuario. Existen muchas taras
que siempre sern realizaras en una investigacin digital y ellas normalmente involucran algn tipo
de imagen o anlisis de archivos adems de la extraccin de algn tipo de informacin. Los anlisis
pueden ser un proceso muy extenso, especialmente con imgenes de gran tamao y cuando un
nmero de tipos de anlisis necesita ser realizado.
La asimilacin es un tcnica para automatizar estos ataques. Autopsy permite ejecutar estas tareas
de anlisis de gran longitud en segundo plano, mientras el usuario puede navegar la interfaz de la
aplicacin y revisar los resultados de la asimilacin cuando aparezcan . La asimilacin es similar a
un triaje. Autopsy intenta procesar los archivos dentro de la imagen asimilada en un orden tal que
los archivos ms interesantes (archivos relacionados al usuario) son los archivos procesados.
El proceso de asimilacin inicia despus de que la informacin bsica del sistema de archivos ha
sido aadida a la base de datos. Una serie de mdulos de asimilacin (descrita en la siguiente
seccin), se ejecuta automticamente detrs de la escena y hace sus resultados disponibles tan
pronto como sea posible. Autopsy est diseado de tal manera que estos resultados son reportados al
usuario e tiempo real, y aunque sean procesadas imgenes de gran tamao los resultados iniciales
estarn disponibles en minutos, algunas veces segundos despus de que ha iniciado el anlisis.
Se puede iniciar la asimilacin de la imagen de dos maneras. Cuando se aade una imagen con el
Asistente para Aadir Fuente de Datos se mostrar una lista de mdulos de asimilacin y se pueden
seleccionar cuales ejecutar. Tambin se puede lanzar el Manejador de Asimilacin ejecutando la
asimilacin haciendo clic derecho sobre la imagen en el rbol de exploracin y seleccionando
Restart Image Ingest.
Una vez que la asimilacin ha iniciado, se pueden revisar las tareas de asimilacin ejecutndose
actualmente en la barra de tareas, de la esquina inferior derecha de la ventana principal. Las tareas
de asimilacin pueden ser canceladas por el usuario si se desea.
Nota: Algunas veces el proceso de cancelacin toma varios segundos o ms para completar de
manera limpia, dependiendo de cual es el modulo de asimilacin estaba en proceso.
La bandeja de entrada de mensajes de asimilacin proporcionar notificaciones cuando un mdulo
de asimilacin particular inicie y finalice su ejecucin.
Los resultados desde los mdulos de asimilacin pueden tpicamente ser encontradas en el rea de
Resultados del rbol de exploracin. Sin embargo, algunos mdulos pueden seleccionar escribir los
resultados en un archivo local o alguna otra ubicacin y no hacerlos disponibles en le Interfaz
Grfica.
Mdulos de Asimilacin
Un mdulo de asimilacin es responsable de extraer datos desde las imgenes buscadas. Diferentes
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Los mdulos de asimilacin son capaces de enviar mensajes cuando ocurren eventos notables, como
una coincidencia de palabra clave o base de datos de hash. Si el mdulo enva varios mensajes
similares en u corto lapso de tiempo, la bandeja de entrada agrupar estos mensajes de tal manera
que actualizaciones nicas no se pierdan entre todo este ruido.
Los mensajes agrupados son coloreados con diferente sombreado para indicar su importancia, si un
grupo de mensajes contienen un nmero bajo de mensajes nicos, este es potencialmente ms
importante que otro grupo con un gran nmero de mensajes nicos. Los mensajes nicos ms
importantes tienen un color de segundo plano mas suave.
Los mensajes de asimilacin pueden ser ordenados por unicidad/importancia, o por orden
cronolgico en el cual estos han aparecido.
A un mensaje se le puede hacer clic para ver los detalles del mensaje. Cuando se hace clic a un
mensaje, este es marcado como ledo. Cuando se envan actualizaciones con relacin a un
resultado o archivo especfico, el mensaje es enlazado al archivo y los botones en la esquina
superior derecha de la vista de los detalles del mensaje pueden ser utilizados para navegar por estos
datos.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
4. Exploradores de Datos
4.1 Sobre los Exploradores de Datos
La vista de Exploracin de Datos en Autopsy es la estructura de nodos del rbol de directorios visto
en el lado izquierdo.
El explorador de dato contiene los siguientes datos:
Sistema de Archivos de la imagen con esta estructura de directorios que puede ser navegado.
El explorador de datos proporciona diferentes mtodos para encontrar datos relevantes como:
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Bookmarks de archivos
El Explorador de Datos publicar todos los datos relevantes en el Visor de Resultados cuando se
haga clic en un nodo especfico. En general, si se est buscando por una tcnica de anlisis
entonces es aqu donde se debe mirar.
4.2 rbol de Directorio
4.2.1 Sobre el rbol de Directorio
El rbol de exploracin de datos es una rea muy importante de la interfaz. Es aqu donde se
iniciar la mayora de las aproximaciones del anlisis y se encontrarn los resultados guardados de
los procedimientos automticos (asimilacin). El rbol tiene tres reas principales.
Imgenes: Donde se puede encontrar la jerarqua del rbol del directorio de los sistemas de
archivos en las imgenes. Aqu se debe ir para navegar en un directorio o archivo especfico.
Vistas: Donde se pueden ver todos los archivos en las imgenes, pero organizadas por tipo
de archivo o fechas en lugar de directorios. Aqu se debe ir se est buscando por archivos de
un tipo determino o que fueron utilizados recientemente.
Resultados: Donde se puede ver los resultados de las tareas de asimilacin en segundo
plano y se puede ver los resultados de bsquedas previas. Aqu se de ir se desea ver lo que
fue encontrado por los mdulos de asimilacin y para encontrar los resultados de bsquedas
previas.
Bookmarks: Donde se pueden ver todos los archivos y resultados que han sido
bookmarked para un acceso fcil.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Bloques Individuales. Debajo del volumen, existe una carpeta de nombre Unalloc. Esta
carpeta contiene todos los bloques individuales sin asignar tal como la imagen est
almacenndolos. Se puede hacer clic derecho y extraerlos de la misma manera que se extrae
cualquier otro tipo de archivo en el rbol del Directorio.
Archivos nicos. Existen dos maneras de extraer el espacio sin asignar como un nico
archivo. Hacer clic derecho sobre el volumen y seleccionar Extract Unallocated Space as
Single File unir todos los archivos sin asignar en un archivo nico y continuo del
volumen. La segunda manera es hacer clic derecho en la imagen, y seleccionar Extract
Unallocated Space to Single Files. Esta opcin extraer un archivo nico para cada
volumen en la imagen. El progreso de la extraccin es enviado a la barra de progreso en la
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
parte inferior derecho. El progreso se basa en el nmero de archivos unidos. Estos archivos
son almacenados en la carpeta Export bajo el directorio del caso. Los archivos son
nombrados de acuerdo a ImageName-Unalloc-ImageObjectID-VolumeID.dat. Este esquema
de nombres asegura que no ocurra un duplicado en los nombres de los archivos aunque
existan dos imgenes con el mismo nombre en el caso.
A continuacin se muestra donde encontrara la opcin sencilla de extraccin de archivos.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
b. Tamao:
Busca por todos los archivos y directorios cuyos tamaos coincidan con un patrn dado. El patrn
puede ser igual a, mayor que, y menor que. La unidad par el tamao puede ser Byte(s),
KB, MB, GB, y TB.
c. Fecha:
Busca por todos los archivos y directorios cuyas Propiedad de Fecha esta dentro del rango de
fechas dado. Las propiedades de fecha son Fecha de Modificacin, Fecha de Acceso, Fecha
de Cambio, y Fecha de Creacin. Se debe tambin especificar una zona horario para la fecha
proporcionada.
d. Estatus de Conocido:
Busca todos los archivos y directorios cuya estado de conocido es reconocido ya sea como
Desconocido, Conocido o Conocido como Daino. Para ms informacin sobre el Estado de
Conocido, consultar la seccin de Manejo de Bases de Datos de Hashs.
Para utilizar cualquiera de estos filtros, se debe activar la recuadro a continuacin de la categora y
hacer clic en el botn Search para iniciar el proceso de bsqueda. El resultado ser mostrar en el
Visor de Resultados.
Ejemplo:
Aqu hay un ejemplo donde se intenta obtener todos los directorios y archivos cuyos nombres
contienen hello, tengan un tamao mayor a 1000 Bytes, y que hayan sido creados entre el
06/15/200 y el 06/16/2010 (en zona horaria GMT -5), y sean u archivo conocido.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
5. Visores de Resultados
5.1 Sobre los Visores de Resultados
Las ventanas con Visores de Resultados estn en el rea superior derecha de la interfaz y muestran
los resultados de seleccionar algo en el rea del rbol de Exploracin de datos. Se podra tener la
opcin de mostrar los resultados en una variedad de formatos.
Actualmente, existen 2 pestaas principales en en la ventana del Visor de Resultados.
accedidos cuando un nodo de cierto tipo es seleccionado (un archivo, directorio o un resultado).
Aqu hay algunos ejemplos que se pueden ver:
Abrir un Archivo con un Visor Externo: Abre el archivo seleccionado con una aplicacin
externa como se he definido en el Sistema Operativo. Por ejemplo los archivos HTML
pueden ser abiertos por IE o Firefox, dependiendo del cual sea el que haya sido configurado
e el sistema local.
Vista en una Nueva Ventana: Abre el contenido en un nuevo Visor de Contenido interno
(en lugar de la ubicacin por defecto en la parte inferior derecha).
Extraer: Hace una copia local del archivo o directorio bajo anlisis.
Bsqueda de archivos con el mismo hash MD5: Busca el sistema de archivos completo
por cualquier archivo con el mismo hash MD5 seleccionado.
Ejemplo:
A continuacin se presenta un ejemplo de una ventana Visor de Resultados
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
formatos JPG, GIF, y PNG). Se debe hacer clic en la pestaa Thumbnail para seleccionar esta vista.
Se debe anotar que para un nmero gran de imgenes en el directorio seleccionado en el Explorador
de datos, o para una Vista seleccionada que contenga un gran nmero de imgenes, esto puede
tomar un momento el poblar esta vista la primera vez ates de que las imgenes sean almacenadas en
un cache.
Ejemplo:
A continuacin se presenta un ejemplo de la ventana Visor de Resultados en Miniatura.
6. Visores de Contenido
6.1 Sobre Visores de Contenido
El rea del Visor de Contenido est en el rea inferior derecha de la interfaz. Esta rea es utilizada
para visualizar un archivo especfico en una variedad de formatos. Existen diferentes pestaas para
los visores. No todas las pestaas soportan todos los tipos de archivos, as que solo alguna de ellas
se habilitarn. Para mostrar datos en esta rea, un archivo debe ser seleccionado desde la ventana
Visor de Resultados.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Visor de Resultados
Visor de Medios
Visor de Texto
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
tambin utilizado para mostrar de manera resaltada las coincidencias de palabras clave cuando se
operan en el modo Coincidencias de Bsqueda, seleccionada sobre el lado derecho de la barra de
herramientas del visor.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
1. Presentacin:
Autopsy es una plataforma basada en Windows para forense digital de fuente abierta (Open
Source), para realizar anlisis de discos duros, la cual es utilizada por fuerzas del orden, militares, y
miles de investigadores alrededor del mundo. Esta plataforma es intuitiva, rpida, y ampliable, con
el gran apoyo de la comunidad open source. Este curso de Autopsy 3 se basa en un caso de estudio
prctico, el cual proporciona al investigador digital una mejor comprensin de la herramienta. Los
participantes aprendern como utilizar Autopsy 3 y ejecutar una investigacin forense sobre un
disco duro, entendiendo las mejores prcticas para alcanzar ptimos resultados.
2. Temario:
Introduccin a Autopsy
Creacin y Manejo de Casos
Fuentes de Datos
Manejo de Base de Datos de Hash
Bsqueda de Palabras Clave
Mdulos de Asimilacin
Exploradores de Datos
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
3. Material:
El participante deber tener los siguientes archivos descargados en su sistema, para desarrollar el
Curso.
Autopsy 3:
Link de Descarga: http://sourceforge.net/projects/autopsy/files/autopsy/3.1.0/
Nombre del Archivo: autopsy-3.1.0-32bit.msi
Hacking Case:
Link de Descarga: http://www.cfreds.nist.gov/Hacking_Case.html
Nombre de los Archivos: SCHARDT.001, SCHARDT.002, SCHARDT.003,
SCHARDT.004, SCHARDT.005, SCHARDT.006, SCHARDT.007, SCHARDT.008.
[*] Si el participante lo requiere se le puede enviar un DVD con los archivos, aadiendo S/. 30
Soles por el concepto de gastos de envo a cualquier lugar del Per.
4. Da y Horario:
La duracin total del Curso es de 6 (seis) horas. El Curso se dictar en los siguientes das y horarios.
Sbado 11 y Sbado 18 de Octubre del 2014
De 9:00am a 12:00m (UTC -05:00)
[*] No habr reprogramaciones. El Curso se dictar sin ningn requisito mnimo de participantes.
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
ScotiaBank
Cuenta de Ahorros en Soles: 324-0003164
A nombre de: Alonso Eduardo Caballero
Quezada
MoneyGram: https://www.moneygram.com
Confirmado el depsito o la transferencia se enviar al correo electrnico del participante, los datos
necesarios para conectarse al Sistema, adems del material del Curso, para participar en el Curso.
El Curso se dicta utilizando el sistema de Video Conferencias Anymeeting. El cual proporciona la
transmisin de audio y video en tiempo real, tanto para el instructor como tambin para los
participantes, entre otras caractersticas que lo hacen ideal para el dictado de Cursos de manera
Virtual.
http://www.anymeeting.com
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS
6. Ms Informacin:
Si desea mayor informacin sobre el Curso Virtual de Hacking con Kali Linux, tiene a su
disposicin los siguientes mecanismos de contacto:
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/
Va Web: http://www.reydes.com
7. Sobre el Instructor:
Alonso Eduardo Caballero Quezada es Brainbench Certified Network Security, Computer Forensics
(U.S.) & Linux Administration (General), CNHE, CNCF, CNHAW, GIAC SSP-CNSA y Miembro
de Open Web Application Security Project (OWASP). Cuenta con ms de once aos de experiencia
en el rea y desde hace seis aos labora como Consultor e Instructor Independiente en las reas de
Hacking tico & Informtica Forense. Perteneci por muchos aos al grupo internacional de
Seguridad RareGaZz e integra actualmente el Grupo Peruano de Seguridad PeruSEC. Ha dictado
cursos en Per y Ecuador, presentndose tambin constantemente en exposiciones enfocadas a,
Hacking tico, Informtica Forense, GNU/Linux y Software Libre. Su correo electrnico es
ReYDeS@gmail.com y su pgina personal est en: http://www.ReYDeS.com
Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Telfono: 949304030 -: @Alonso_ReYDeS