VIDEO
HIGHLIGHT
Log InSign up
📢Como Instalar AUTOPSY 🐶 Primeros Pasos
SummaryTranscriptChat

📢Como Instalar AUTOPSY 🐶 Primeros Pasos

Introducción a Autopsy

Presentación del Tutorial

  • Bienvenida al tutorial sobre la instalación de Autopsy y sus primeras funciones. Se menciona que la documentación está disponible en el canal de Patreon.

Índice del Tutorial

  • El tutorial incluye una introducción, instalación de Autopsy, instalación de un editor hexadecimal en Windows, y los pasos para realizar un análisis forense.

Instalación de Autopsy

Proceso de Instalación

  • Se explican los pasos para instalar Autopsy, comenzando por crear un caso y añadir una fuente de evidencia como un disco o USB.
  • Autopsy es una herramienta de análisis forense digital que permite examinar discos, imágenes y archivos. Ofrece módulos útiles para facilitar el trabajo.

Documentación Oficial

  • Se recomienda utilizar la documentación oficial disponible en línea para obtener información actualizada sobre la versión 4.2.1.

Descarga e Instalación

  • Para instalar Autopsy, se debe acceder a su página oficial y descargar el archivo MSI correspondiente a Windows.
  • Durante la instalación, se selecciona el directorio predeterminado y se completa el proceso en unos minutos.

Editor Hexadecimal HXD

Instalación del Editor

  • Antes de ejecutar Autopsy, se recomienda instalar HXD, un editor hexadecimal gratuito que complementará las funciones de Autopsy.
  • Se detalla cómo descargar e instalar HXD desde su sitio web oficial, manteniendo configuraciones predeterminadas durante el proceso.

Creando un Caso en Autopsy

Primeros Pasos con Autopsy

  • Al abrir Autopsy por primera vez, se informa que almacena datos sobre casos en un repositorio específico.
  • La interfaz inicial permite crear un nuevo caso o abrir uno existente; dado que no hay casos previos, se opta por crear uno nuevo llamado "redes plus01".

Configuración del Caso

  • Se establece el directorio base donde se guardará toda la información relacionada con el caso creado.
  • Información adicional opcional puede ser ingresada como número de caso y detalles del examinador; esta información aparecerá en los informes generados posteriormente.

Estructura del Directorio

Organización Interna

Introducción a la Fuente de Datos en Análisis Forense

Selección del Host

  • Se inicia el proceso seleccionando un "Host", que es una agrupación de fuentes de datos, permitiendo analizar múltiples elementos como discos y memoria RAM juntos.
  • La agrupación facilita la verificación de datos entre diferentes fuentes, como archivos idénticos en un disco y un pendrive.

Tipos de Fuentes de Datos

  • Los tipos más comunes incluyen imágenes de disco, archivos de máquinas virtuales (VMware o VirtualBox), y discos locales conectados físicamente.
  • También se pueden agregar archivos lógicos, que son conjuntos específicos de directorios y ficheros, no necesariamente todo un disco.

Carga y Configuración Inicial

  • Se debe indicar la dirección de la imagen que se va a analizar; en este caso, se utiliza una imagen llamada "redes Plus 1 autopsi img".
  • Es importante seleccionar correctamente la zona horaria para asegurar que los ficheros se muestren con las marcas temporales adecuadas.

Verificación y Módulos de Ingesta

  • Opcionalmente, se pueden introducir hashes para verificar que la fuente no ha sido alterada. Esto es crucial en análisis forenses.
  • Los módulos de ingesta permiten extraer información del disco; es recomendable seleccionar solo los necesarios debido al tiempo elevado que puede requerir cada uno.

Ejecución del Proceso

  • Al elegir módulos como "recent activity" (actividad reciente), se puede obtener información sobre búsquedas web y documentos recientes.
  • El módulo calculará hashes para comparar ficheros entre diferentes fuentes buscando coincidencias.

Resultados del Análisis

  • Se mencionan otros módulos útiles como búsqueda de correos electrónicos o ficheros borrados. Cada módulo tiene su propósito específico según el tipo de análisis requerido.
  • La interfaz comienza a procesar los datos seleccionados; esto puede tardar desde minutos hasta días dependiendo del tamaño del archivo analizado.

Interfaz y Herramientas Disponibles

  • Una vez finalizado el proceso, aparece la interfaz principal dividida en seis áreas: menú superior, barra de herramientas rápida, visor árbol con fuentes y artefactos encontrados.

¿Cómo utilizar Autopsy para la investigación digital?

Navegación y visualización de datos

  • Se presenta el visor de árbol en Autopsy, que permite seleccionar carpetas o directorios y visualizar información en el visor de resultados.
  • La herramienta permite exportar datos visualizados en formato CSV y ofrece opciones para ver archivos en diferentes formatos, como miniaturas o tablas.
  • Se menciona la complejidad de los registros de Windows, sugiriendo que es mejor extraer ficheros y usar herramientas externas para su análisis.

Herramientas de búsqueda y análisis

  • El área de trabajo incluye funciones para buscar palabras clave; sin embargo, se requiere ejecutar un módulo específico debido al tiempo elevado de procesamiento.
  • Para realizar búsquedas por palabras clave, se debe activar el módulo "keyword switch mul", lo cual no se ha hecho inicialmente.

Gestión de fuentes de datos

  • Las fuentes de datos se organizan en el área correspondiente donde se pueden añadir discos o USB.
  • Se puede elegir entre fuentes existentes o crear nuevas utilizando un acceso rápido.

Clasificación y visualización de archivos

  • Los archivos pueden ser clasificados por tipo (imágenes, vídeos, documentos), permitiendo una rápida identificación según su extensión.
  • Al seleccionar imágenes eliminadas, se puede visualizar tanto la imagen como su metadata directamente desde la aplicación.

Análisis avanzado con artefactos

  • Se presentan artefactos encontrados tras ejecutar módulos específicos; esto incluye extensiones sospechosas instaladas en navegadores como Google Chrome.

Análisis de Información del Sistema Operativo

Información del Sistema y Propietario

  • Se muestra el sistema operativo detectado, en este caso Windows 10 Home, junto con el nombre del propietario y el Product ID.
  • La información se presenta en formato tabla y texto, permitiendo la obtención del correo electrónico del propietario.
  • Se pueden visualizar documentos recientes ejecutados en el ordenador, como la instalación de WinRAR.

Programas Ejecutados y Actividad del Usuario

  • En la sección de programas ejecutados, se puede observar qué aplicaciones han sido iniciadas por el usuario recientemente.
  • Es posible marcar actividades sospechosas para un seguimiento posterior, como ciertas aplicaciones o directorios accedidos.

Dispositivos Conectados y Almacenamiento

  • La herramienta permite ver todos los dispositivos USB conectados al sistema, no solo durante la clonación sino también previamente.
  • Se identifican diferentes tipos de dispositivos conectados, incluyendo pendrives y teléfonos móviles.

Navegación Web y Cookies

  • Se extraen datos sobre cachés temporales almacenadas en navegadores, mostrando URLs visitadas junto con sus fechas.
  • Las cookies permiten verificar si un usuario ha accedido a ciertas páginas web; esto incluye historial de descargas.

Análisis de Resultados e Imágenes

  • El análisis inicial muestra resultados basados en las imágenes que contienen metadatos EXIF; es recomendable usar analizadores específicos para obtener más información.
  • Los resultados incluyen categorías agrupadas que reflejan cookies e historiales separados para facilitar su revisión.

Cuentas del Sistema Operativo

  • Se presentan todas las cuentas detectadas por Windows junto con detalles como fecha de creación y último acceso.

Informe de Actividades y Herramientas en Autopsi

Creación del Informe

  • Se está creando un informe que compila toda la información recopilada, incluyendo detalles sobre etiquetas y resultados.

Visualización de Resultados

  • En el visor de resultados se muestran datos como la fecha de modificación, tamaño, localización, hash y extensión. Las columnas adicionales incluyen puntuaciones y comentarios.

Etiquetado y Comentarios

  • Al añadir etiquetas como "notable", los elementos se marcan con colores específicos: amarillo para sospechoso y rojo para notable. Esto indica la necesidad de análisis adicional.
  • Los comentarios pueden añadirse directamente a través del sistema, permitiendo una mejor organización de las anotaciones relacionadas con cada elemento.

Opciones de Configuración

  • El menú "Tools options" permite modificar configuraciones generales del visor, incluyendo opciones para multiusuario, búsqueda de palabras clave y gestión de archivos.
  • Se puede acceder a configuraciones globales mediante un ícono en forma de rueda que permite personalizar qué áreas o columnas se visualizan en el visor.

Herramientas Adicionales para Análisis

  • Autopsi ofrece herramientas como "image and videos gallery" que facilitan la organización del contenido multimedia por directorios y categorías.
  • La herramienta también permite identificar imágenes según su modelo de cámara, lo cual es útil para el análisis forense.

Geolocalización y Línea de Tiempo

  • La función de geolocalización busca coordenadas GPS en imágenes; si encuentra datos relevantes, muestra la ubicación exacta donde fueron tomadas las fotos.
  • La herramienta "timel" genera una línea temporal personalizable que organiza archivos cronológicamente, permitiendo visualizar eventos secuencialmente.

Personalización Avanzada

  • Los usuarios pueden ajustar el rango temporal al seleccionar fechas específicas dentro del gráfico proporcionado por la herramienta.

¿Cómo generar un informe en Autopsy?

Proceso de generación del informe

  • Se ha completado el análisis y se han marcado los ficheros relevantes, ahora es necesario generar un informe que compile todos los resultados obtenidos.
  • Para iniciar la generación del informe, se debe seleccionar el icono "generate report" o acceder a través de "Tools" y luego "Jary report".
  • Al crear el informe, se puede elegir entre varios formatos como HTML, Excel o texto. También se pueden personalizar encabezados y pies de página.
  • Es posible seleccionar qué datos incluir en el informe: todos los artefactos analizados o solo aquellos etiquetados como notables, bookmarks, etc.
  • Una vez finalizado, el informe se guarda en el directorio correspondiente y puede ser revisado en un navegador web donde se presenta toda la información recopilada.

Contenido del Informe

Video description

Introducción a Autopsy, la herramienta general más usada para el análisis forense de datos no volátiles. En este video te enseño paso a paso cómo instalar Autopsy, una potente herramienta de análisis forense digital de código abierto. Si quieres aprender cómo analizar discos, recuperar archivos eliminados y entender los fundamentos del análisis forense, este tutorial es para ti. #Autopsy #AnálisisForense #Ciberseguridad #AutopsyTutorial #RedesPlus #ForenseDigital #TutorialAutopsy #RecuperarArchivos #DFIR #OpenSource #DigitalForensics #artefactos #windows • Suscríbete a mi canal de Patreon y obtén la documentación ◦ https://www.patreon.com/redesplus 0:00 ⏯ Entrada 1:23 ⏯ 1. INTRODUCCIÓN 2:27 ⏯ #2. INSTALAR AUTOPSY EN WINDOWS 3:31 ⏯ #3. INSTALAR HxD EN WINDOWS 4:59 ⏯ #4. CREAR MI PRIMER CASO EN AUTOPSY 14:46 ⏯ #5. ÁREAS DE AUTOPSY 18:36 ⏯ #6. VISOR DE ÁRBOL (Artefactos) 32:17 ⏯ #7. VISOR de RESULTADOS - COLUMNAS SCO 34:25 ⏯ #8. CONFIGURACIÓN GENERAL 35:56 ⏯ #9. HERRAMIENTAS 39:55 ⏯ #10. GENERAR INFORMES 42:40 ⏯ Desdedida PLAYLIST 🔍Análisis Forense Informático🔎 ANZ https://www.youtube.com/playlist?list=PLXXiznRYETLdJ430wstkLcNw0kMNXlnF9 La imagen que utilizo en este vídeo la puedes descargar desde aquí: https://www.patreon.com/posts/como-instalar-120920203 ------------------------------------------------------------------------------- SÍGUEME EN REDES Patreon: https://www.patreon.com/redesplus Twitter: https://twitter.com/hugoredesplus Facebook: https://www.facebook.com/hugoredesplus -------------------------------------------------------------------------------