Sleuth Kit: herramienta forense de código abierto para analizar imágenes de disco y recuperar archivos
SIFT es una distribución forense basada en Ubuntu proporcionada por SANS Inc. Consiste en muchas herramientas forenses como Sleuth kit / Autopsy, etc. Sin embargo, las herramientas del kit Sleuth / Autopsy se pueden instalar en la distribución de Ubuntu / Fedora en lugar de descargar la distribución completa de SIFT.
Sleuth Kit / Autopsy es una herramienta de investigación forense digital de código abierto que se utiliza para recuperar los archivos perdidos de la imagen del disco y analizar las imágenes para responder a incidentes. La herramienta de autopsia es una interfaz web del kit de detective que admite todas las funciones del equipo de detective. Esta herramienta está disponible para plataformas Windows y Linux.
Instalar el kit de detective
En primer lugar, descargue el software del kit Sleuth de kit de detective sitio web. Use el comando wget para descargarlo en la terminal que se muestra en la figura.
# wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz
Extraiga el sleuthkit-4.1.3.tar.gz usando el siguiente comando y vaya dentro del directorio extraído
# tar -xvzf sleuthkit-4.1.3.tar.gz
Ejecute el siguiente comando que realiza la verificación de requisitos antes de la instalación del kit de detective
#./configure
Hacer que el comando compile el código del kit de detective.
#make
Finalmente siguiendo el comando instálelo bajo / usr / local camino.
#make install
Instalar la herramienta de autopsia
La instalación del kit de detective está completa y ahora instalaremos la interfaz de autopsia. Descargue el software de autopsia de página de autopsia de sleuthkit . Use el comando wget para descargarlo en la terminal que se muestra en la figura.
# wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz
Extraiga autopsy-2.24.tar.gz usando el siguiente comando y vaya dentro del directorio extraído
# tar -xvzf autopsy-2.24.tar.gz
El guión de configuración de la autopsia solicita NSRL (Biblioteca de referencia de software nacional) y la ruta de Casillero_de_evidencia carpeta.
Ingrese «n» para el indicador NSRL y cree la carpeta Evidence_Locker en / usr / local directorio. Autopsy almacena los archivos de configuración, los registros de auditoría y la salida en la carpeta Evidence_Locker.
#mkdir /usr/local/Evidence_Locker #cd autopsy-2.24 #./configure
Después de agregar la ruta Evidence_Locker en el proceso de instalación, la autopsia almacena los archivos de configuración en ella y muestra el siguiente mensaje para ejecutar el programa de autopsia.
Escribe ./autopsia comando en la terminal para iniciar la interfaz gráfica de la herramienta del kit Sleuth.
Escriba la siguiente dirección en el navegador web para acceder a la interfaz de autopsia.
http://localhost:9999/autopsy
La página web principal del complemento de autopsia se muestra en la siguiente figura.
Clickea en el Nuevo caso para iniciar el análisis en la herramienta de autopsia. Ingrese el nombre del caso, la descripción sobre la investigación y el nombre del agente que se muestra en la siguiente figura.
La siguiente página web aparecerá después de ingresar los detalles en la página anterior. Haga clic en Agregar anfitrión para agregar detalles para la máquina analista.
Ingrese el nombre de host, la descripción y la configuración de la zona horaria de la máquina del analista en la página siguiente.
Clickea en el Añadir imagen para agregar un archivo de imagen para análisis forense.
Clickea en el Agregar archivo de imagen en la siguiente página web. Abre una nueva página web que requiere la ruta del archivo de imagen y seleccione el tipo y el método de importación.
Como se muestra en la siguiente figura, hemos ingresado la ruta del archivo de imagen de Linux. En nuestro caso, el archivo de imagen es una partición del disco.
Haga clic en el botón siguiente y seleccione Calcular hash opción en la página siguiente que se muestra en la siguiente figura. También detecta el tipo de sistema de archivos de la imagen dada.
La siguiente ventana muestra el hash MD5 del archivo de imagen antes del análisis estático.
En la siguiente página web, la autopsia muestra la siguiente información sobre el archivo de imagen.
- punto de montaje de la imagen
- nombre de la imagen
- tipo de sistema de archivos de la imagen dada
Clickea en el detalles para obtener más información sobre el archivo de imagen dado. También ofrece extracción de cadenas y fragmentos no asignados del volumen del archivo de imagen que se muestra en la siguiente figura.
Haga clic en Analizar botón que se muestra en la siguiente figura para iniciar el análisis en la imagen dada. Abre otra página que muestra las múltiples opciones para el análisis de imágenes.
La autopsia ofrece las siguientes funciones durante el proceso de análisis de imágenes.
- Análisis de archivo
- Búsqueda por palabra clave
- Tipo de archivo
- Detalles de la imagen
- Unidad de datos
El análisis de archivos en una imagen dada de la partición de Linux se muestra en la siguiente figura.
Extrae todos los archivos y carpetas de la imagen dada. La extracción de archivos eliminados se muestra en la figura.
Conclusión
Con suerte, este artículo será útil para los principiantes en el análisis forense estático de imágenes de disco. Autopsy es una interfaz web para el kit de detective que proporciona funciones como extracción de cadenas, recuperación de archivos eliminados, análisis de la línea de tiempo, extracción del historial de navegación web, búsqueda de palabras clave y análisis de correo electrónico en imágenes de disco de Windows y Linux.