Autopsy, Back track

**fideldr** · 07-18-2012, 01:52 PM

Hola a Todos.

Bueno la verdad es que he estado haciendo bastantes ejerciciós con la aplicación Autopsy de back track 5, ya quito extenciones y borro archivos de uan USB
entro y generó una imagen de la USB y la guardo para ser auditada.
la imagen del USB la hago asi: dd if=/dev/sdb1 of=/carpetaguado/imagen.dd

al momento de entrar al software de Autopsy, es donde empieza el problema, al cargar la imagen no se si es disco o partición (ya prove con los 2) y al moemnto de cargarla en la parte de análisis, no me deja analizar archivos, solo puedo buscar palabras, pero no puedo ver que archivos tenia la imagen o que archivos fueron borrados, alguien me puede ayudar a manejar el autopsy?

gracias y saludos

**israel.araoz** · 08-01-2012, 01:09 PM

Hola fideldr.

Antes de comenzar a utilizar alguna suite que te permita llevar acabo el análisis de cualquier imagen forense, se debe determinar el tipo de imagen que se va a analizar.

En el caso de linux existe un comando file que permite determinar el archivo, pero ya que mencionas a autospy , podrías utilizar la suite de linea de comando Sleuth para comprender como trabaja a un nivel mas bajo.

Con mmls podes identificar observando los resultados que te devuelve y determinar si es una partición o un disco completo.

En el caso de autospy , cuando encuentra directorios que han sido borrados te los resalta con un color rojo. Es importante saber que es lo que estas buscando para determinar el patrón de búsqueda.

En todo caso te recomiendo que utilices algún editor hexadecimal en entornos windows te sugiero WinHex ya que permite cargar imágenes crudas independiente del tipo de Archivo o el FS del archivo

Saludos!

Tema: Autopsy, Back track

LinkBack

Herramientas

Visualizar