Guia dinstallaci de lentorn de treball: Autopsy - CAINE
Mster Interuniversitari en Seuretat de
les !ecnoloies de la In"or#aci i de les Co#unicacions Anlisi forense de sistemes d'informaci Guia d'installaci de l'entorn de treball Autopsy - CAINE 1- Mquina virtual La mquina virtual utilitzada en el nostre cas ser Virtual Box, s gratuta i es pot descarregar des de la pgina: http://www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html En aquesta pgina trobarem versions per a diferents sistemes operatius, noms fa falta descarregar la versi adequada pel nostre sistema operatiu i installar-la 2- Sistema operatiu El sistema operatiu que utilitzarem s una distribuci italiana !"#$L%"#& anomenada '(%"E )Computer Aided Ivestigative !nvironment* '(%"E oferei+ un entorn forense complet, basat en la integraci d,eines forenses -a e+istents com a m.duls de programari, integrats en una interf/cie gr0ca amigable '(%"E es diferencia de les altres distribucions del seu tipus )"orensic Boot C#, $elix, #e%t, etc* per la seva facilitat d12s i per proporcionar una interf/cie gr0ca 3omog4nia que guia als investigadors digitals durant l1adquisici i l1anlisi de les proves electr.niques, i els oferei+ un procs semi-automtic durant la documentaci i generaci d1informes 5odem descarregar la darrera versi estable, a data d,avui, des de: 3ttp:$$666caine-livenet$page7$page73tml 3- on!"uraci de la mquina virtual #na vegada tinguem la mquina virtual installada i el sistema operatiu descarregat, podem decidir si fem servir el 0t+er .iso com a &iveC#, o l,installem en una mquina virtual amb un disc dur virtual assignat La recomanaci, en el nostre cas, s installar el sistema operatiu '(%"E i copiar-3i la imatge forense facilitada a l,assignatura 8,aquesta manera tindrem un rendiment ms .ptim a l,3ora de realitzar la nostra anlisi forense 1 Guia dinstallaci de lentorn de treball: Autopsy - CAINE 5er realitzar la installaci obrim Virtual Box9 a la part superior esquerra 3i 3a un bot amb la etiqueta :nova;, el premem i ens aparei+er l1assistent per la nova mquina virtual, on ens demanar el nom de la mquina virtual i el tipus ( mode d,e+emple podem posar els valors seg<ents: La quantitat de mem.ria =(> que assigneu a la mquina pot variar en funci de les necessitats, es recomana seleccionar 0ns el m+im de la barra verda per assegurar que el sistema operatiu funcioni de forma ?uda: @ot seguit cal seleccionar la creaci d1un nou disc dur virtual: 2 Guia dinstallaci de lentorn de treball: Autopsy - CAINE En cas que la imatge que creem noms 3agi de ser utilitzada per Virtual Box, podeu crear la imatge en format A8%: Bi es selecciona la mida reservada dinmicament, tindrem el problema que en el cas d,esborrar informaci no es recuperaria l1espai esborrat, per tant s ms .ptim seleccionar mida 0+a: 3 Guia dinstallaci de lentorn de treball: Autopsy - CAINE ( continuaci s13a de seleccionar la mida que voleu assignar al sistema operatiu9 amb CD !E n,3i 3aur prou Finalment, seleccionem crear, i la maquina virtual es crear (bans de e+ecutar-la, 3em d,anar a la con0guraci de la mquina virtual per tal d, establir un dispositiu tipus '8$8A8 que contingui la imatge .iso de '(%"E que ens 3em descarregat al punt G d,aquest manual 5er tant, seleccionem la maquina virtual :Caine' del panel esquerra de V( VirtualBox Administrator i premen el bot :Con)guraci*n' ( continuaci seleccionem :Almacenamiento; del panel esquerra, triem el dispositiu de tipus '8$8A8, i introdum la ruta a la imatge .iso de '(%"E: 4 Guia dinstallaci de lentorn de treball: Autopsy - CAINE
(ra -a tenim la unitat virtual '8$8A8 :apuntant; al '8 d,installaci de '(%"E: 5 Guia dinstallaci de lentorn de treball: Autopsy - CAINE #- $nstallaci del sistema operatiu en la mquina virtual Ha tenim con0gurada la maquina virtual correctament, de forma que ara passarem a la installaci del sistema operatiu 5er tant, e+ecutarem la mquina virtual prement el bot :Iniciar; ( l,iniciar la mquina ens aparei+er el seg<ent men2, on seleccionarem :Install + start the installer directl,; i premerem ;!nter; per comenIar la installaci: ( la primera pantalla d,installaci de '(%"E, noms seleccionarem el nostre idioma i premerem el bot :Continuar;: La seg<ent pantalla s informativa 'al prmer el bot :Continuar; 6 Guia dinstallaci de lentorn de treball: Autopsy - CAINE ( continuaci ens demanar el tipus d,installaci 5odem seleccionar :automtic; )fer servir tot el disc dur virtual* o :manual; )s a dir, fer les particions necessries a m, com qualsevol altra distribuci de Linu+* En el nostre cas, podem seleccionar la primera opci 'ontinuem i en la pantalla seg<ent podem triar el bot :Instalar ahora;: Juan comenci la installaci ens demanar la nostre ubicaci, on, per e+emple, podem trobar Earcelona: 7 Guia dinstallaci de lentorn de treball: Autopsy - CAINE ( continuaci establirem el teclat: La seg<ent pantalla demana el nom de l,estaci de treball, l,usuari i la forma d,iniciar Juan 0nalitzi la installaci ens demanar que es reinici la mquina #na vegada reiniciada, -a tenim accs a '(%"E 8 Guia dinstallaci de lentorn de treball: Autopsy - CAINE %- &brir un cas en Autopsy Autops, s una eina de codi lliure per a l1anlisi de l,evid4ncia digital La seva interf/cie gr0ca s un navegador 6eb que, basat en les eines de l/nia de comandes de -leuth .it, permet una anlisi de diversos tipus d1evid4ncia mit-anIant una captura d1una imatge de disc El primer pas s obrir el programa, ubicat :"orensic /ools; del men2 d,inici: (questa opci ens obrir un servidor 6eb pel port KKKK del localhost, on s,e+ecutar l,aplicaci >arquem l,opci :ew Case; 9 Guia dinstallaci de lentorn de treball: Autopsy - CAINE Les primeres dades que ens demanar Autops, a l,3ora d,obrir l,e+pedient sn el nom del cas, la descripci i els noms dels investigadors que intervenen en el cas ( continuaci veiem que ens 3a creat l,estructura de carpetes pel nostre cas i noms caldr afegir la imatge forense que tenim al cas Ls important saber que l,evidencial de la prctica noms s d,una partici i no d,un disc sencer (i+/ matei+, en la seg<ent pantalla s,observa com s,3a copiat abans la imatge a l,escriptori de l,usuari: 10 Guia dinstallaci de lentorn de treball: Autopsy - CAINE Bi acceptem, veiem que ens crea l,estructura de carpetes per aquest host i podem afegir la imatge de la prctica 11 Guia dinstallaci de lentorn de treball: Autopsy - CAINE 'om podem veure, 3em d,indicar on est l,evidencial )o imatge forense*, quin tipus s i el m4tode d,importaci En el cas aqu/ descrit, -a s,3a copiat pr4viament l,evidencial a l,escriptori de l,usuari :caine', per. es pot utilitzar el m4tode d,importaci :Cop,' per copiar l,evidencial directament des d,un 8A8 ( continuaci ens mostrar informaci de l,evidencial seleccionat, com ara particions, tipus de partici, etc En el nostre cas, disposem d,una partici de tipus "@FB 12 Guia dinstallaci de lentorn de treball: Autopsy - CAINE #na vegada afegit, ens mostra el resultat i l,%8 de la imatge carregada, i ens oferei+ l,oportunitat d,afegir ms imatges: 'om en el nostre cas no tenim ms imatges a afegir per aquest host, 0nalitzem i -a podem veure el cas i analitzar la informaci de qu4 disposem 13 Guia dinstallaci de lentorn de treball: Autopsy - CAINE '- (ecerca d)indicis en un cas en Autopsy Bi premem :Anal,0e; dins del cas, i seleccionant l,evidencial a analitzar, s,obrir una nova pgina 6eb amb diferents opcions en la part superior del navegador En la part superior d,aquesta pantalla es mostren diferents opcions de l,aplicaci: File Analysis (questa opci proporciona la matei+a interf/cie que els usuaris solen utilitzar en un ordinador normal per a analitzar 0t+ers i directoris, i tamb permet veure els ar+ius esborrats (questa funcionalitat permet e+aminar el contingut d1ar+ius i directoris a la recerca de proves Fins i tot permet fer una anlisi binria bsica mit-anIant l1e+tracci de les cadenes de carcters (B'%% d1un ar+iu binari Els ar+ius tamb es poden ordenar per qualsevol camp Finalment, notem que en la part esquerra de l,aplicaci, podem veure d,altres opcions disponibles: 14 Guia dinstallaci de lentorn de treball: Autopsy - CAINE Bi li triem l,opci :!xpand #irectories;, veiem que aparei+ el seg<ent panel, amb els directoris e+istents dins del sistema a analitzar : Keyword Search (questa opci permet realitzar cerques mit-anIant una cadena de te+t o una e+pressi regular a l,estil de la comanda Mgrep,, 0ns i tot sobre contingut esborrat 15 5ermet introduir l,adreIa d,un directori directament per tal de veure el seu contingut al panel central Es pot fer servir com una drecera 5ermet fer cerques de 0t+ers emprant e+pressions regulars >ostra tots els 0t+ers esborrats que s,3an trobat al panel central 5er defecte, la llista de directoris no aparei+ per primera vegada En seleccionar aquest bot, es mostrar la llista completa dels directoris El s/mbol 1N1 representa la profunditat de la guia Guia dinstallaci de lentorn de treball: Autopsy - CAINE 5er e+emple, si realitzem una cerca de la paraula :drug;, al panel esquerre veurem els resultats de la cerca i la posici del disc on es troben les coincid4ncies localitzades: File Type 16 On posem l,e+pressi a cercar 5er distingir ma-2scules i min2scules @ipus de codi0caci Bi fem servir e+pressions regulars 'ercar a l,espai ;unallocated; del disc 5atrons de cerques prede0nides, com %5s, etc =esultat de la cerca 'ontingut del 0t+er 8ades del 0t+er Guia dinstallaci de lentorn de treball: Autopsy - CAINE L,anlisi d1imatges de gran mida, dins del sistema de 0t+ers, pot ser molt descorat-ador #na manera d1identi0car els ar+ius que 3an de ser e+aminats s classi0car els ar+ius segons el seu tipus 5er realitzar aquesta tasca, tenim al panel esquerre, l,opci :-ort "iles b, /,pe;, la qual recorrer tot l,evidencial i ens agrupar els 0t+ers segons la seva e+tensi B,3a de tenir present que aquest procs pot ser lent i podria durar molt en funci de la mida de l,evidencial, encara que segurament el temps invertit en aquesta tasca pot agilitar en gran mesura l,anlisi posterior Pem de tenir present que 3i 3a accions que triguen molt de temps en 0nalitzar, per ai+. podem obrir diferents 0nestres 6eb en Autops, per continuar treballant en el nostre cas Image Details (questa opci proporciona les dades d1informaci general de l,evid4ncia9 el contingut pot variar segons el tipus de sistema de 0t+ers 17 Juan 0nalitzi l,opci :Bort Files bQ @Qpe;, podem veure el resultat en aquesta opci Guia dinstallaci de lentorn de treball: Autopsy - CAINE Meta Data (questa opci permet a l1investigador veure els detalls de les estructures de metadades, les quals contenen els detalls d1un ar+iu, com ara els temps i refer4ncies a les unitats de dades asignades ( la part esquerra, aparei+ l,opci d,introduir directament la direcci >F@ )en el nostre cas, -a que recordem que tenim una partici "@FB*, o de veure totes les entrades i seleccionar aquella que desitgem: 18 Guia dinstallaci de lentorn de treball: Autopsy - CAINE Data nit (questa opci permet a l,investigador veure el contingut d1una unitat de dades individual 1nitats de dades s un terme gen4ric utilitzat per descriure les rees en el disc que s1utilitzen per a emmagatzemar les dades )s a dir, fragments o cl2sters* %gual que en el cas anterior, podem indicar manualment el cl2ster on comenIar i la quantitat d,unitats, o veure un llistat dels cl2sters ):allocation list;* i triar el que volem 5er e+emple, a continuaci veiem el contingut del cl2ster G7DD, on a la capIalera veiem que tenim l,opci :"ind (eta #ata Address; per accedir directament a veure la informaci sobre aquest registre : 19 Guia dinstallaci de lentorn de treball: Autopsy - CAINE 20 Guia dinstallaci de lentorn de treball: Autopsy - CAINE *- Generar informes de les evid+ncies trobades #na de les coses que l1investigador 3a de fer s generar un informe amb totes les evidencies que 3a localitzat #na vegada localitzat un indici d,inter4s, com per e+emple el ar+iu :2inball.lnk; de l,escriptori de l,usuari Ian, veiem que podem disposar de les opcions seg<ents: 5er e+emple, el resultat de la funci :displa,; del 0t+er seleccionat en format (B'%% -trings seria : 21 L,opci displaQ modi0ca la forma com s,est visualitzant el contingut del 0t+er per pantalla, en funci si seleccionem (B'%%, Pe+ o (B'%% Btrings L,opci report ens genera un informe de l,evidencia i mostra el contingut del 0t+er a l,informe en funci si seleccionem (B'%%, Pe+ o (B'%% Btrings E+porta el 0t+er a la ruta local on desitgem (fegei+ una nota, la qual pot ser desprs vista des de les propietats del cas Guia dinstallaci de lentorn de treball: Autopsy - CAINE % la generaci automtica d,un informe d,aquesta evid4ncia )en format (B'%% -trings* comprendia les dades seg<ebnts seria: 22 Guia dinstallaci de lentorn de treball: Autopsy - CAINE Es pot veure la ubicaci de l,evid4ncia, diferents valors hash per la matei+a, dades relatives a la imatge forense, data i 3ora de la seva generaci, l,investigador del cas, la ubicaci f/sica de l,evidencia, metadades i, al 0nal, el contingut en el format seleccionat Es pot consultar tota la informaci necessria per emprar Autops, a la refer4ncia d, internet : 3ttp:$$666sleut3Ritorg$autopsQ$3elp$