LINUX

Sleuth Kit: herramienta forense de código abierto para analizar imágenes de disco y recuperar archivos

SIFT es una distribución forense basada en Ubuntu proporcionada por SANS Inc. Consiste en muchas herramientas forenses como Sleuth kit / Autopsy, etc. Sin embargo, las herramientas del kit Sleuth / Autopsy se pueden instalar en la distribución de Ubuntu / Fedora en lugar de descargar la distribución completa de SIFT.

Sleuth Kit / Autopsy es una herramienta de investigación forense digital de código abierto que se utiliza para recuperar los archivos perdidos de la imagen del disco y analizar las imágenes para responder a incidentes. La herramienta de autopsia es una interfaz web del kit de detective que admite todas las funciones del equipo de detective. Esta herramienta está disponible para plataformas Windows y Linux.

Instalar el kit de detective

En primer lugar, descargue el software del kit Sleuth de kit de detective sitio web. Use el comando wget para descargarlo en la terminal que se muestra en la figura.

# wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz

Descarga el kit de detective

Extraiga el sleuthkit-4.1.3.tar.gz usando el siguiente comando y vaya dentro del directorio extraído

# tar -xvzf sleuthkit-4.1.3.tar.gz

Proceso de extracciónEjecute el siguiente comando que realiza la verificación de requisitos antes de la instalación del kit de detective

#./configure

configurarHacer que el comando compile el código del kit de detective.

#make

hacer

Finalmente siguiendo el comando instálelo bajo / usr / local camino.

#make install

hacer la instalación

Instalar la herramienta de autopsia

La instalación del kit de detective está completa y ahora instalaremos la interfaz de autopsia. Descargue el software de autopsia de página de autopsia de sleuthkit . Use el comando wget para descargarlo en la terminal que se muestra en la figura.

# wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz

Enlace de descarga de AutpsyExtraiga autopsy-2.24.tar.gz usando el siguiente comando y vaya dentro del directorio extraído

# tar -xvzf autopsy-2.24.tar.gz

Extracción de autopsia

El guión de configuración de la autopsia solicita NSRL (Biblioteca de referencia de software nacional) y la ruta de Casillero_de_evidencia carpeta.

Ingrese «n» para el indicador NSRL y cree la carpeta Evidence_Locker en / usr / local directorio. Autopsy almacena los archivos de configuración, los registros de auditoría y la salida en la carpeta Evidence_Locker.

#mkdir /usr/local/Evidence_Locker

#cd autopsy-2.24

#./configure

Script de configuración de autopsia

Después de agregar la ruta Evidence_Locker en el proceso de instalación, la autopsia almacena los archivos de configuración en ella y muestra el siguiente mensaje para ejecutar el programa de autopsia.

Iniciar autopsia

Escribe ./autopsia comando en la terminal para iniciar la interfaz gráfica de la herramienta del kit Sleuth.

Autopsia iniciada

Escriba la siguiente dirección en el navegador web para acceder a la interfaz de autopsia.

http://localhost:9999/autopsy

La página web principal del complemento de autopsia se muestra en la siguiente figura.

Pagina principal

Clickea en el Nuevo caso para iniciar el análisis en la herramienta de autopsia. Ingrese el nombre del caso, la descripción sobre la investigación y el nombre del agente que se muestra en la siguiente figura.

crear nuevo caso

La siguiente página web aparecerá después de ingresar los detalles en la página anterior. Haga clic en Agregar anfitrión para agregar detalles para la máquina analista.

agregar anfitrión

Ingrese el nombre de host, la descripción y la configuración de la zona horaria de la máquina del analista en la página siguiente.

agregar host-detial

Clickea en el Añadir imagen para agregar un archivo de imagen para análisis forense.

añadir imagen

Clickea en el Agregar archivo de imagen en la siguiente página web. Abre una nueva página web que requiere la ruta del archivo de imagen y seleccione el tipo y el método de importación.

Agregar archivo de imagen

Como se muestra en la siguiente figura, hemos ingresado la ruta del archivo de imagen de Linux. En nuestro caso, el archivo de imagen es una partición del disco.

agregar parición de imagenHaga clic en el botón siguiente y seleccione Calcular hash opción en la página siguiente que se muestra en la siguiente figura. También detecta el tipo de sistema de archivos de la imagen dada.

detalle del sistema de archivos e imágenes

La siguiente ventana muestra el hash MD5 del archivo de imagen antes del análisis estático.

picadillo

En la siguiente página web, la autopsia muestra la siguiente información sobre el archivo de imagen.

  • punto de montaje de la imagen
  • nombre de la imagen
  • tipo de sistema de archivos de la imagen dada

Clickea en el detalles para obtener más información sobre el archivo de imagen dado. También ofrece extracción de cadenas y fragmentos no asignados del volumen del archivo de imagen que se muestra en la siguiente figura.

Detalle de la imagen

Haga clic en Analizar botón que se muestra en la siguiente figura para iniciar el análisis en la imagen dada. Abre otra página que muestra las múltiples opciones para el análisis de imágenes.

análisis

La autopsia ofrece las siguientes funciones durante el proceso de análisis de imágenes.

  • Análisis de archivo
  • Búsqueda por palabra clave
  • Tipo de archivo
  • Detalles de la imagen
  • Unidad de datos

El análisis de archivos en una imagen dada de la partición de Linux se muestra en la siguiente figura.

Análisis de imagen

Extrae todos los archivos y carpetas de la imagen dada. La extracción de archivos eliminados se muestra en la figura.

Archivos eliminados

Conclusión

Con suerte, este artículo será útil para los principiantes en el análisis forense estático de imágenes de disco. Autopsy es una interfaz web para el kit de detective que proporciona funciones como extracción de cadenas, recuperación de archivos eliminados, análisis de la línea de tiempo, extracción del historial de navegación web, búsqueda de palabras clave y análisis de correo electrónico en imágenes de disco de Windows y Linux.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar