Autopsy es un software informático que simplifica la implementación de muchos de los programas y complementos de código abierto utilizados en The Sleuth Kit . [1] La interfaz gráfica de usuario muestra los resultados de la búsqueda forense del volumen subyacente, lo que facilita a los investigadores marcar las secciones de datos pertinentes. La herramienta es mantenida en gran parte por Basis Technology Corp. con la ayuda de programadores de la comunidad. La empresa vende servicios de soporte y formación para el uso del producto. [2]
La herramienta está diseñada con estos principios en mente:
- Extensible : el usuario debería poder agregar nueva funcionalidad mediante la creación de complementos que puedan analizar todo o parte de la fuente de datos subyacente.
- Centralizado : la herramienta debe ofrecer un mecanismo estándar y coherente para acceder a todas las funciones y módulos.
- Facilidad de uso : Autopsy Browser debe ofrecer a los asistentes y herramientas históricas para que sea más fácil para los usuarios repetir sus pasos sin una reconfiguración excesiva.
- Usuarios múltiples : la herramienta debe ser utilizada por un investigador o coordinar el trabajo de un equipo.
El navegador principal se puede ampliar agregando módulos que ayuden a escanear los archivos (llamado "ingesta"), examinar los resultados (llamado "visualización") o resumir los resultados (llamado "informe"). Una colección de módulos de código abierto permite la personalización.
Proceso
La autopsia analiza los principales sistemas de archivos (NTFS, FAT, ExFAT, HFS +, Ext2 / Ext3 / Ext4, YAFFS2) procesando todos los archivos, descomprimiendo archivos estándar (ZIP, JAR, etc.), extrayendo cualquier valor EXIF y poniendo palabras clave en un índice. Algunos tipos de archivos, como los formatos de correo electrónico estándar o los archivos de contacto, también se analizan y catalogan.
Los usuarios pueden buscar en estos archivos indexados la actividad reciente o crear un informe en HTML o PDF que resuma la actividad reciente importante. Si el tiempo es corto, los usuarios pueden activar funciones de clasificación que utilizan reglas para analizar primero los archivos más importantes. Autopsy puede guardar una imagen parcial de estos archivos en formato VHD.
Correlación
Los investigadores que trabajan con varias máquinas o sistemas de archivos pueden crear un depósito central de datos que les permita marcar números de teléfono, direcciones de correo electrónico, archivos u otros datos pertinentes que puedan encontrarse en varios lugares. La base de datos SQL Lite o PostgreSQL almacena la información para que los investigadores puedan encontrar todas las apariciones de nombres, dominios, números de teléfono o entradas de registro USB.
Idioma
La versión 2 de Autopsy está escrita en Perl y se ejecuta en todas las plataformas principales, incluidas Linux, Unix, macOS y Windows. Se basa en The Sleuth Kit para analizar el disco. La versión 2 se publica bajo GNU GPL 2.0. [3]
Autopsy 3.0 está escrito en Java usando la plataforma NetBeans . Fue lanzado bajo la licencia Apache 2.0. [3]
Autopsy 4.0 se ejecuta en Windows , Linux y macOS .
La autopsia depende de varias bibliotecas con diversas licencias. [3] Funciona con bases de datos SQL Lite y PostgreSQL para almacenar información. Los índices para buscar palabras clave se crean con Lucene / SOLR.
Referencias
- ^ "El kit de detective (TSK) y autopsia: herramientas forenses digitales de código abierto" . Brian Carrier.
- ^ "Análisis forense digital" . Basis Technology Corp.23 de diciembre de 2013.
- ^ a b c "Autopsia: Licencia" . Brian Carrier.