AUTOPSY – SUITE DE FERRAMENTAS FORENSE pt.1 – ANÁLISE FORENSE

Análise Forense 5 minutos

Olá!

Bem-vindo à série de publicações que fala sobre o conjunto de ferramentas Autopsy Forensic Suite. Nesta postagem, vou apresentar o Autopsy Forensic Suite e fornecer algumas indicações sobre como instalar a versão 4 no Kali Linux também no Windows.  Também vou mostrar dois casos práticos usando o Autopsy. O primeiro vai ser baseado na análise de uma imagem do sistema Windows, e depois baseado na análise de uma imagem de um dispositivo Android.

Agora veremos uma visão geral e instalação do Autopsy.

VISÃO GERAL DO AUTOPSY

Vou apresentar o Autopsy Suite e cobrir os novos recursos introduzidos nas versões 3 e 4. A versão 2 vem pré-instalada no Kali Linux. Vou fornecer algumas indicações sobre como construir o Autopsy 4 no Kali Linux a partir do código-fonte e sobre como baixar e instalar o Autopsy versão 4 em uma máquina Windows.

O Autopsy foi inicialmente desenvolvido por Brian Carrier como uma interface baseada em HTML “old-school” para o Sleuth Kit Tools. A versão 2.2 que vem instalado por padrão no Kali Linux é o mais recente desse tipo. A partir da versão 3, o Autopsy trabalha de forma autônoma, um programa que fornece um conjunto forense completo para analisar imagens de disco. Os novos recursos introduzidos com as versões mais recentes, especialmente com v.4 são realmente muito notáveis, e eles tornam o Autopsy um programa de código aberto com destaque e uma alternativa gratuita para programas comerciais como EnCASE ou ProDiscover, apenas para citar alguns programas.

Podemos localizar a análise de vários sistemas de arquivos, aproveitando a pesquisa de palavras-chave do Sleuth Kit Tools, artefatos da web, análise de registro, identificação de arquivos, extração de metadados EXIF e também criação de dados e análise de cronograma.  

Muitas das funcionalidades das ferramentas CLI que abordamos nas postagens anteriores que tratam da extração e análise de artefatos com linhas de códigos podemos resolver com o Autopsy fazendo uso de um ambiente gráfico fácil de usar. Além disso, também permite analisar a imagem de um dispositivo Android, criar casos multiusuário, detectar indicadores de comprometimento e gerar relatórios de análise.

O Autopsy tem uma estrutura modular e extensível, pois cada recurso é implementado por um módulo modular e novos recursos podem ser adicionados escrevendo novos módulos. Por todos esses motivos, é realmente válido fazer o esforço de instalar a versão mais recente. No momento da postagem, esta postagem é 4.17.

Digo isso porque surpreendentemente não há pacotes binários compilados para Linux, apenas para Windows.

INSTALAÇÃO DO AUTOPSY NO KALI LINUX

Para construir o Autopsy, primeiro temos que instalar uma série de pacotes necessários. Por exemplo, o Java Development Kit V8, então baixamos, compilamos o código-fonte dos pacotes libtool e Sleuth Kit antes de baixar e compilar o código-fonte do Autopsy. O procedimento não é tão simples. Alguém que não está acostumado a construir software a partir de fontes pode achar complicado.

No endereço eletrônico https://www.autopsy.com/download/ primeiramente, onde está escrito DOWNLOAD FOR LINUX AND OS X existem 3 pontos a serem observados. O primeiro ponto te transfere a conexão para efetuar o Download dos arquivos base. O segundo ponto te transfere a conexão para efetuar o Download do pacote Debian relacionados ao Java.

IMAGEM: Do Autor

No terceiro ponto, ao clicar, abre o endereço eletrônico https://github.com/sleuthkit/autopsy/blob/develop/Running_Linux_OSX.txt com instruções para dar continuidade aos procedimentos de instalação.

IMAGEM: Do Autor

Crie um diretório e faça o download referenciado nos dois primeiros pontos (não instale em seguida).

IMAGEM: Do Autor

IMAGEM: Do Autor

Escolhi fazer os downloads por meio do comando wget, além de ter criado o diretório por meio do comando /mkdir , mas você pode efetuar o download  por meio do navegador web  e criar o diretório pelo gerenciador de arquivos do seu sistema. Terminado, para resumir, digite os comandos abaixo como root (ou então acrescente o comando sudo no início, conforme sugere o endereço eletrônico do terceiro ponto):


# sed –Ei ‘s/^# deb-src /deb-src /’ /etc/apt/sources.list
# apt-get update
# apt-get –y install build-essential autoconf libtool git-core
# apt-get –y build-dep imagemagick libmagickcore-dev libde265 libhneif

# cd /usr/src/

# git clone https://github.com/strukturag/libde265.git
# git clone https://github.com/strukturag/libheif.git

# cd libde265/
# ./autogen.sh
# ./configure
# make
# make install

# cd /usr/src/libheif/
# ./autogen.sh
# ./configure
# make
# make install

# cd /usr/src/
# wget https://www.imagemagick.org/download/ImageMagick.tar.gz
# tar xf ImageMagick.tar.gz

# ImageMagick-7*
# ./configure –with-heic=yes
# make
# make install

# ldconfig

# wget –q –O – https://download.bell-sw.com/pki/GPG-KEY-bellsoft | apt-key add –
# echo “deb [arch=amd64] https://apt.bell-sw.com/ stable main” |tee /etc/apt/sources.list.d/bellsoft.list
# apt-get update
# apt-get –y install bellsoft-java8-full
# export JAVA_HOME=’/usr/lib/jvm/bellsoft-java8-full-amd64’

Encerre a sessão e faça login novamente.

***Para confirmar se o Java está rodando***
# java –version

IMAGEM: Do Autor

Agora que os pacotes que necessitam de repositório para serem baixados estão todos instalados, seguimos com a instalação dos dois arquivos baixados no início do processo. No diretório criado no início, digite seguido de Enter:

# apt-get –y remove sleuthkit
# apt-get –y remove libtsk19:amd64
# apt-get –y install ./sleuthkit-java_4.10.1-1_amd64.deb

# unzip autopsy-4.17.0.sip
# cd autopsy-4.17.0

# sh unix_setup.sh

IMAGEM: Do Autor

Agora, saia do usuário root (caso tenha feito como eu), acesse o diretório /bin dentro do diretório do Autopsy (Ex. /Autopsy/autopsy-4.17.0/bin/) com o comando cd e digite para executar o programa:

$ sudo ./autopsy

IMAGEM: Do Autor

IMAGEM: Do Autor

IMAGEM: Do Autor

Uma imagem com um caso aberto, funcionando no Linux:

IMAGEM: Do Autor

Agora iremos para a instalação no sistema operacional Windows.

INSTALAÇÃO DO AUTOPSY NO WINDOWS

Devemos voltar agora a página de downloads oficial do Autopsy nesse endereço eletrônico: https://www.autopsy.com/download/ . Selecione qual tipo de versão serve para seu sistema operacional, clique no botão para download.

IMAGEM: Do Autor

O arquivo tem aproximadamente 1Gb de tamanho, e tem o formato de arquivo .msi . Terminando o download, abra o arquivo. Na primeira tela clique em Next.

IMAGEM: Do Autor

Escolha o destino da instalação, em seguida clique em Next.

IMAGEM: Do Autor

Clique em Install e conceda os direitos de Administrador para que a instalação execute.

IMAGEM: Do Autor

Após a instalação ser concluída, clique em Finish.

IMAGEM: Do Autor

Pode-se notar que o programa não executa automaticamente após a instalação. Deve-se então abri-lo manualmente.
Foi criado automaticamente um link na área de trabalho. Pode ser que deseje executar por meio deste.

Feito. Nesta postagem, apresentei o Autopsy Forensic Suite e abordei os novos recursos introduzidos nas versões 3 e 4, em relação à 2 que já vem pré-instalada no Kali Linux. Forneci as instruções de como construir o Autopsy Forensic Suite 4 a partir do código-fonte no Kali Linux e depois instalar o programa em um SO Windows.

Na próxima postagem, analisaremos a imagem do Windows com a autópsia. Vou mostrar um exemplo prático de como usar o Autopsy Forensic Suite 4 para analisar uma imagem de disco do Windows.

Deixe seus comentários e um joínha!

Até mais.

Avatar de Desconhecido

Publicado por Douglas Mendes

Formado em Redes de Computadores pela UNIP - Universidade Paulista e pós-graduado em Perícia Forense Computacional pela Universidade Cruzeiro do Sul.

Publicado

2 comentários em “AUTOPSY – SUITE DE FERRAMENTAS FORENSE pt.1 – ANÁLISE FORENSE

  1. Pingback: AUTOPSY – SUITE DE FERRAMENTAS FORENSE pt.2 – ANÁLISE FORENSE – Douglas Mendes
  2. Pingback: AUTOPSY – SUITE DE FERRAMENTAS FORENSE pt.3 – ANÁLISE FORENSE – Douglas Mendes

Deixe um comentário