Trabalhando com Autopsy

Opa, e aí galera.

Tudo bem?
Semana passada, nós mostramos como instalar o sleuthkit e autopsy no debian.
Muito bem. Agora, nós vamos ver como trabalhar com o autopsy, adicionando uma imagem e analisando essa imagem forense.

O que é o autopsy?
É uma interface gráfica para as ferramentas em linhas de comando do sleuthkit. O propósito do autopsy é analisar um file system de uma imagem forense.

Neste post, estaremos usando a distribuição SIFT (SANS Investigative Forensic Toolkit).
É uma distribuição voltada para forense computacional, que possui várias ferramentas com este propósito. A SIFT é baseada no Ubuntu. No entanto, podemos usar outras distribuições como a BackTrack (Kali), Caine, DEFT, etc.
Nós vamos analisar uma imagem física do Windows Vista
OBS: no fim deste post existe um link de referência. Nesta referência, a análise foi feita usando uma imagem lógica de uma partição do Windows

Para iniciar o autopsy, digite: autopsy.
Depois, selecione com o mouse o link que a ferramenta irá te passar, clique com o botão direito do mouse e escolha a opção: Open Link


Seção 1 - Criando um novo Caso no Autopsy                                                                                 
1.1) Criando um novo caso:
     1.1.1) Clique no botão: New Case











1.2) Criando um novo caso:
     1.2.1) Case Name: Analisando-Windows
     1.2.2) Description: Procurando arquivos deletados
     1.2.3) Investigator Names: aqui vai o seu nome. No meu caso, vou colocar Anderson
     1.2.4) Clique no botão: New Case












1.3) Adicionando Host
     1.3.1) Clique no botão: Add Host











1.4) Adicionando Host
     1.4.1) Host Name: host1
     1.4.2) Clique no botão: Add Host











1.5) Adicionando Imagem
     1.5.1) Clique no botão: Add Image











1.6) Adicionando Imagem
     1.6.1) Neste momento, vou informar o diretório onde a imagem está armazenada: ls $PWD/vis*
     1.6.2) Selecione com o mouse e copie o path completo da imagem










1.7) Adicionando Imagem
     1.7.1) Clique no botão: Add Image File











1.8) Adicionando Imagem
     1.8.1) Cole o path completo da imagem
     1.8.2) Type: no meu caso, eu vou escolher a opção Partition
     1.8.3) Import Method: no meu caso, eu vou escolher a opção Symlink
     1.8.4) Clique no botão: Next











1.9) Adicionando Imagem
     1.9.1) Na opção Data Integrity, seleciona a opção: Ignore...
     1.9.2) Clique no botão: Add











1.10) Adicionando Imagem
     1.10.1) Clique no botão: Ok











1.11) Calculando a integridade da imagem com o algoritmo MD5
     1.11.1) Clique no botão: Image Integrity



1.12) Calculando a integridade da imagem com o algoritmo MD5
     1.12.1) Clique no botão: Calculate











1.13) Visualizando o Check Sum MD5
     1.13.1) O resultado será mostrado logo abaixo.
     1.13.2) Clique no botão: Close















Referência: http://computersecuritystudent.com/FORENSICS/AUTOPSY/lesson1/


Existem alguns vídeos no youtube que mostram uma versão mais recente do autopsy, versão esta que roda somente em Windows.
Os links para os vídeos são:
- vídeo 1: https://www.youtube.com/watch?v=J1vhU0ZJNCs
- vídeo 2: https://www.youtube.com/watch?v=DlZTYBuvkZY
- vídeo 3: https://www.youtube.com/watch?v=_NSEufvkZIs
- vídeo 4: https://www.youtube.com/watch?v=e5O-d5M90EI
Postado por às 2 comentários:
Marcadores: , , , , , , , , , , ,

Instalando o DCFLDD

Opa, e aí galera

Tudo bem?
Nós já falamos aqui sobre o DCFLDD que é uma ferramenta semelhante ao DD. O Eriberto até comenta sobre esta ferramenta em seu novo livro (Descobrindo o Linux - 3ª Edição).
Pois bem, algumas pessoas já me perguntaram como eu faço pra instalar essa ferramenta. Então agora eu vou mostrar esse procedimento, que é bem simples.

A primeira coisa que vamos fazer é entrar no site: http://dcfldd.sourceforge.net/#download
Vamos fazer o download do arquivo "source code" que é o código fonte da ferramenta. E depois vamos compilar e instalar no sistema.
O sistema que estou usando é o Debian 7.
Existem algumas distribuições voltadas para forense que já vem com esta ferramenta pré-instalada, como é o caso da CAINE, DEFT, Backtrack (que agora o projeto se chama Kali), SIFT, etc.

Estou baixando o arquivo que é o código-fonte da ferramenta. Neste momento, a versão mais atual do dcfldd é a 1.3.4
Depois de baixar a ferramenta, eu vou descompactá-la: tar -xzvf dcfldd-1.3.4.tar.gz


Depois eu vou entrar no diretório que foi criado para a ferramenta


Neste momento, estou pronto para compilar a ferramenta. Então, vou usar o comando ./configure para configurar o meu ambiente


O próximo passo é digitar o comando: make


Por fim, basta digitar o comando: make install


Pronto. Instalamos a ferramenta.
Para ter certeza qual a versão que foi instalada, basta digitarmos: dcfldd --version

Bom, é isso galera.
Espero que esse post seja interessante.

Um abração!


Postado por às Nenhum comentário:
Marcadores: , , , , , ,

Instalando Sleuthkit e Autopsy no Debian 7

Opa, e aí galera

Tudo bem?
Eu recebi alguns emails me perguntando como instalar a suíte sleuthkit no debian. De antemão, podemos instalar o sleuthkit com a ferramenta automatizada do debian: apt-get install sleuthkit.
Porém, com este procedimento, não iremos instalar a útlima versão da ferramenta. Ou seja, não estaremos instalando a versão mais atualizada.

Por isso, eu vou mostrar neste post como instalar o sleuthkit a partir do código fonte. Assim, estaremos instalando a versão mais atual da ferramenta.

Pra este post, eu instalei o debian 7. Depois de instalado, atualizei o sistema com os comandos "apt-get install update ; apt-get install upgrade".
Depois disso, digitei o comando: apt-get install build-essential


Depois, eu descompactei o sleuthkit que baixei do próprio site da ferramenta. Durante este post, a versão mais atual e estável da ferramenta é a versão 4.0.1. Muito bem, é esta a versão que vou instalar no meu sistema. Para descompactar, eu usei o comando: tar -xzvf sleuthkit-4.1.0.tar.gz


O comando anterior vai gerar um diretório chamado sleuthkit-4.0.1. O próximo passo é entrar neste diretório e aí começar a compilar a ferramenta.


Pronto, agora podemos iniciar o processo de compilação do sleuthkit. Eu volto a falar que escolhi compilar a ferramenta porque assim estarei instalando no meu sistema operacional (Debian 7) a versão mais atualizada. Fazendo uso do comando apt-get install sleuthkit, eu também estarei instalando a ferramente, mas não é a versão mais atual. Beleza?
Então, neste momento, eu digitei o comando: ./configure


Depois disso, digitei o comando: make


O comando anterior leva alguns minutos para ser executado por completo. Depois do comando make ter terminado, o último comando a ser digitado é: make install


Pronto!
A ferramenta foi instalada e já está pronta para ser usada.
Para testar a ferramenta, podemos usar um dos seus comandos e ver qual q versão está instalada no sistema. Conforme a próxima figura, podemos ver que a versão instalada é a 4.0.1


Agora que o sleuthkit está instalado, podemos instalar também o Autopsy que é um front-end para o sleuthkit. Só que esta ferramenta é em HTML. É uma ferramenta bem bacana de se usar.
No momento que estou escrevendo este post, a versão atual para linux é a 2.24. A versão 3 só tem pra Windows.

Vamos fazer o download do Autopsy lá do site. Podemos notar que o arquivo possui extensão .tar.gz: autopsy-2.24.tar.gz.
Eu vou descompactar o arquivo com o comando: tar -xzvf autopsy-2.24.tar.gz


O próximo passo agora é entrar no diretório que foi criado.


Agora, nós vamos criar um diretório onde a ferramenta salva arquivos de configuração, logs, etc. Este diretório é o Evidence Locker.


Agora, iremos digitar o comando: ./configure.
A ferramenta vai nos pedir se queremos usar a biblioteca NSRL (National Software Reference Library) do NIST. Na imagem a seguir, nós vamos escolher a opção "n", que significa que não vamos usá-la.


Neste momento a ferramenta nos pergunta qual o diretório do Evidence Locker. No meu caso, estou indicando que este diretório é: /home/anderson/Evidence_Locker


Pronto, agora a ferramenta foi instalada com exito.
Vamos iniciar o autopsy digitando na linha de comando: ./autopsy


Como eu disse que o autopsy é em HTML, vamos abrir algum browser e digitar no campo de endereço de URL: http://localhost:9999/autopsy


Pronto, podemos acessar a ferramenta, adicionar um caso e partir para a análise.

Bom, é isso, galera
Espero que este post possa ser útil para quem precisar instalar estas 2 ferramentas no seu sistema.
Existe um outro post em um outro blog que mostra exatamente estes mesmos passos que eu mostrei aqui: http://shankaraman.wordpress.com/2012/11/16/how-to-install-autopsy-and-sleuthkit-in-ubuntu/

Um abração e até a próxima!
Postado por às Nenhum comentário:
Marcadores: , , , , , , , , ,
Assinar: Postagens (Atom)