Laboratorio: Informática Forense - Identificación del tipo de evidencia

Para continuar con el laboratorio se hace necesario identificar el tipo de evidencia analizar. Pues aún no se tiene información sobre la misma (bien podría tratarse de una imágen de disco, partición u otro tipo de imágen).

Para este propósito bastará, con analizar los primeros bytes de la imágen con un editor hexadecimal.

El resultado de esta observación nos muestra que corresponde a un sistema de ficheros NTFS.

Veremos además el procedimiento para determinar el Sistema Operativo de la imágen a analizar.

Para ello veremos como crear un caso con la solución para Análisis Forense conocida como Autopsy (Interfaz gráfico para The Sleuth Kit).

The Sleuth Kit es un conjunto de herramientas en línea de comandos, desarrolladas en Perl y que permiten llevar a cabo Análisis Forenses a sistemas computacionales. Ambas herramientas (The Sleuth Kit y su interfaz web Autopsy) son de libre uso y libre distribución.
Al igual que para las tareas de Test de Penetración y Hacking Ético existe una distribución favorita conocida como Backtack, para las labores relacionadas con la Informática Forense existe otra favorita bajo el nombre de HeliX, la cual incluye un completo Set de utilidades que nos facilitan la vida para este tipo de trabajos (posteriormente publicaré en la sección de recursos un completo análisis a dicha distribución). Entre estas utilidades se incluye a este par de herramientas (The Sleuth Kit -  Autopsy).

Por ahora veamos entonces el videoutorial como crear un caso de Análisis Forense en Autopsy con la imágen para observar como podemos identificar el Sistema Operativo a analizar. Cabe aclarar que está no es la única manera de identificar el Sistema Operativo, pues en varias publicaciones veremos diferentes métodos.

Descargar Videotutorial de iniciación de un caso en Autopsy e identificación de la versión de Windows Instalada. (password: www.dragonjar.org)