Análisis forense

Creación de un #Timeline con #Autopsy en #Linux

Hola secuaces:

En la entrada anterior realizamos dos pasos que considero muy importantes a la hora de proceder con un análisis forense digital. Creamos un caso con Autopsy y extrajimos las cadenas de texto correspondientes.

Ahora vamos a realizar otro paso, que considero igual de importante: El Timeline, la linea temporal de la Evidencia.

Y ¿Por qué considero importante generar la línea temporal ahora? Porque en ella veremos toda la actividad que se ha llevado a cabo en la evidencia. Cuando digo toda, es toda. Podremos ver cuándo se ha creado un fichero, cuándo se ha accedido a él o se ha modificado, cuándo ha sido eliminado. Podemos ver los permisos de esos ficheros. Podemos revisar directamente un periodo de tiempo. Podemos ver sus inodes. Podemos ver si hay actividad inusual, como exceso de cambios. Podemos ver dónde se ha guardado un fichero, dónde se ha creado un log, …

En lo personal, me gusta trabajar siempre sobre líneas temporales. Puede sernos tan útil como para tener medio caso hecho, puede servirnos de referencia para pasos posteriores, …

Vamos al lío.

Tras levantar la terminal, y tipear

sudo autopsy

Abrimos el caso que tenemos creado nos dirigimos a la selección de particiones y clicamos en ‘File Activity Time Lines’

Es un proceso muy intuitivo, que nos dirige a cada paso.

Lo primero que nos dice es que debemos crear un fichero de datos. Así pues, clicamos en ‘Create Data File’

Ahora seleccionamos la o las particiones sobre las que deseemos generar la línea temporal y los tipos de datos que procesará, (‘Allocated Files’ o/y ‘Unallocated Files’). Elegimos un nombre para la salida del fichero resultante y marcamos la casilla de verificación de ‘Generate MD5 Value’.

Clicamos en OK

Comienza el proceso de generación y nos muestra qué herramienta usa y sus parámetros:

fls -r -m

Cuando finaliza este primer paso, nos indica dónde ha guardado el primer fichero resultante, su valor hash en MD5 y nos indicará que ahora debemos ordenar estos datos en una línea temporal, (legible).

Para ello clicamos en OK

Ahora se nos presenta una pantalla donde se nos muestra cómo generar la línea temporal, cómo queremos darle el formato.

Seleccionamos el fichero que contiene los datos temporales de la evidencia, (que está en un formato ilegible). Nos permite especificar un periodo temporal, o hacerlo de forma íntegra. Escribimos el nombre el fichero resultante, el fichero que se generará será la línea temporal, (legible). Seleccionamos el formato de salida. Marcamos la casilla de ‘Generate MD5 Value’.

Clicamos en OK

Y ahora nos indica dónde se ha guardado el fichero resultante de la línea temporal.

Si ahora nos dirigimos a ‘View TimeLine’… se nos muestra…

¿Qué ha pasado? ¿Una linea temporal en blanco? ¿No hay actividad?

Pues si nos dirigimos a la terminal que tenemos abierta es posible que nos encontremos un error como este

Esto se soluciona mediante

sudo cp /usr/bin/mactime /usr/bin/mactime-sleuthkit

Y volvemos a generar el fichero del Timeline. Se nos pedirá que le demos un nombre nuevo, o podemos reemplazar el existente, (el vacío).

Tras clicar en reemplazar

Se vuelve a generar el fichero de la línea temporal. Fijaros que ha cambiado su hash MD5.

Si ahora clicamos en OK


Se nos muestra la línea temporal, al completo en este caso. Muy bien estructurada y detallada.

Aquí podemos navegar de mes en mes, o visitar el sumario, donde se nos indicará, por mes y año, la actividad que ha tenido la evidencia, mostrándonos el número de actividad que ha tenido por días.

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Los datos introducidos se guardarán en nuestra base de datos como parte del comentario publicado, como se indica en la política de privacidad.