Analisis Forense – Parte III – Autopsy: Como analizar

un disco duro
Como una imagen vale más que mil palabras, voy a hacer una explicación en imágenes que
creo que se va a entender mejor. Haremos la prueba en Kali. Fijaros que en cada imagen
está el ratón sobre el botón que hemos pulsado. Lo primero será arrancar el autopsy.

En Linux se accede a la aplicación de Autopsy desde el navegador ya que la arranca como

servicio.
Creamos un caso nuevo.

Añadimoss un nombre al equipo que vamos a investigar.

Añadimos la imagen que queremos analizar.
Escribiremos la ruta del disco duro que tenemos en formato .dd y le indicamos que es una
partición, si fuese un disco entero pincharíamos en la opción «disk». A la hora de importar
tenemos 3 métodos. Los 2 más utilizados son el primero, que trabaja directamente sobre la
copia que le pasemos (si tenemos las 2 copias hechas del original como dije en el primer
post de la serie, esta es la mejor opción) y el segundo que trabaja la copia que realiza la
propia herramienta.
Aquí podemos pedirle que nos calcule el hash MD5 del disco a analizar o ponerle nosotros
uno para verificar que se ha realizado la copia correctamente. En nuestro caso el hash del
original y el de la copia lo hemos comprobado anteriormente por nuestra cuenta. Vemos
como nos ha reconocido que se trata de un sistema de ficheros NTFS y asume como punto
de montaje C:
Ya hemos terminado de preparar nuestra imagen y entonces procedemos a analizarla.
La primera de las pestañas que tiene la herramienta es la de analizar los ficheros. Aquí nos
aparecen también los archivos borrados. Hay una carpeta que se llama $OrphanFiles que es
donde se guarda todo lo que se elimina.

La segunda pestaña es para buscar cadenas en ASCII y Unicode en toda la imagen.

La tercera pestaña es para que te ordene y clasifique todos los ficheros de la imagen por su
tipo.
La cuarta pestaña es para ver detalles de la imagen como el tipo de archivos o la versión del
sistema operativo (siempre que sea posible) entre otras cosas.
La ultima pestaña es para buscar el cluster que te interese a partir de su número.

Esta imagen es en realidad un pequeño reto para aprender a utilizar la herramienta autopsy,
así que voy a resolverlo para que lo veáis.

Como hemos comentado anteriormente en la carpeta $OrphanFiles podemos encontrar

ficheros borrados. Si pinchamos en el primero y seleccionamos que nos muestro el ASCII
del fichero podremos ver que hay un numero en hexadecimal.
 Seguimos explorando
y encontramos un .doc que al descargarlo vemos que tiene una contraseña.

Podemos pensar que el numero hexadecimal que hemos encontrado antes es en realidad una
contraseña y lo transformamos de Hexadecimal a ASCII.
 Despues lo introducimos como contraseña al .doc
y vemos que era la contraseña que protegía el fichero.

Pues ya sabéis utilizar la herramienta forense Autopsy y habéis obtenido una noción básica
sobre como resolver un reto forense.