Triaje

Visión general

A veces necesita tomar una decisión rápida sobre un sistema o sistemas y no tiene el tiempo o los recursos para hacer imágenes completas. Por ejemplo, durante un golpe y una conversación, desea saber si hay datos notables en su sistema. O se encuentra en una ubicación con muchos sistemas y desea saber cuál debe analizarse primero. La autopsia tiene características que le permitirán encontrar rápidamente los datos de interés sin hacer imágenes completas de los dispositivos. Esas características se describirán a continuación, seguidas de algunos escenarios de ejemplo que muestran cómo armar todo.

Características relacionadas con el triaje

Hay muchas características de la autopsia que pueden entrar en juego en una situación de clasificación. Algunos lo ayudan a procesar los archivos con mayor probabilidad de ser relevantes antes, y otros le permiten continuar analizando los datos después de desconectarse del sistema de destino.

Priorización

El objetivo es encontrar los archivos más importantes primero cuando hay un tiempo limitado para analizar un sistema. La autopsia siempre se ejecuta primero en las carpetas del usuario (si está presente), ya que en muchas situaciones son las carpetas más probables para contener datos de interés.

pipelineFolders.png

Filtros de archivo

Para un escenario particular, puede conocer los tipos de archivos específicos que le interesan. Por ejemplo, si solo le preocupa encontrar imágenes, puede ahorrar tiempo al no analizar ningún archivo que no sea de imagen. Esto permitirá que un sistema se procese mucho más rápido que si analizara cada archivo.

fileFilterImage.png

Los filtros de archivos le permiten limitar qué tipos de archivos se procesarán. La sección Filtros de archivo personalizados de la página Módulos de ingesta muestra cómo crear un filtro de archivo. Puede filtrar por nombre / extensión de archivo, ruta o qué tan recientemente se modificó el archivo. Una vez guardado, su nuevo filtro de archivos se puede seleccionar al configurar los módulos de ingesta.

fileFilter.png

Perfiles de ingesta

Otra forma de acelerar el análisis es ejecutar solo algunos de los módulos de ingesta. Por ejemplo, si solo estamos interesados ​​en las imágenes, puede que no tenga sentido ejecutar el Módulo de búsqueda de palabras clave o el Módulo de detección de cifrado . Puede seleccionar y configurar manualmente los módulos que desea ejecutar cada vez, pero dado que muchas sesiones son similares, puede ser más fácil configurar un perfil de ingesta. Un perfil de ingesta le permite almacenar qué filtro de archivos desea ejecutar, qué módulos de ingesta deben estar habilitados y su configuración para cada módulo de ingesta.

ingestProfile.png

Una vez que haya configurado al menos un perfil de ingesta, aparecerá una nueva pantalla antes del panel de configuración del módulo de ingesta normal. Si elige su perfil definido por el usuario, ese panel de configuración del módulo de ingesta se omitirá por completo y los módulos de ingesta de ese perfil se ejecutarán en la fuente de datos.

profileSelect.png

Consulte la sección Uso de perfiles de ingesta de la página Módulos de ingesta para obtener información adicional sobre cómo configurar y usar un perfil de ingesta.

Ejecutando en sistemas y dispositivos en vivo

En una situación de clasificación, generalmente no hay tiempo para hacer una imagen completa del sistema en cuestión. Hay algunas formas de procesar sistemas y dispositivos en vivo con Autopsia:

  • Los dispositivos como las unidades USB se pueden analizar como discos locales sin necesidad de crear un archivo de imagen. Consulte la sección Agregar un disco local para obtener más detalles.
  • Se puede crear una unidad de triaje en vivo que le permitirá ejecutar Autopsy desde una unidad USB en un sistema en vivo. Todos los datos del caso se guardarán en la unidad USB con cambios mínimos en el sistema que se analiza. Consulte Crear una unidad de triaje en vivo para obtener más detalles.
  • La computadora de destino se puede iniciar desde un USB de Linux o Windows de confianza y se puede ejecutar la autopsia desde ella. Paladin incluye Autopsia en su USB Linux de arranque y también se puede crear una imagen de Windows FE.

Hacer una imagen dispersa

Con cualquiera de los métodos anteriores para analizar sistemas y dispositivos en vivo, todavía existe el problema de que su caso de autopsia no será muy útil después de desconectarse de la unidad. Se referirá a un dispositivo que ya no existe y, lo que es más importante, es posible que no tenga una copia de los archivos de interés que observó durante la selección.

Para resolver este problema, puede optar por hacer un «VHD disperso» mientras Autopsia procesa el dispositivo. Esto guardará una copia de cada sector que lee Autopsy, que incluirá las estructuras del sistema de archivos (como las Tablas de archivos maestros) y los archivos que pasaron los filtros de ingesta (como todas las imágenes).

VHD es un formato de archivo utilizado por Microsoft Virtual Machines que Windows y otras herramientas forenses pueden leer. El VHD aumentará de tamaño a medida que Autopsy lea más datos de la unidad de destino.

Para crear un VHD escaso, marque la casilla «Crear una imagen VHD …» al seleccionar el disco para analizar.

createVHD.png

Escenarios

Escenario: Vista previa de la computadora para material de explotación infantil

En este escenario, está tratando de responder si las imágenes de explotación infantil existen en una situación de tipo golpear y hablar donde tendrá una cantidad limitada de tiempo con el sistema de destino.

Preparación en la oficina:

  • Cree una unidad de triaje en vivo en su unidad USB
  • Inicie Autopsia desde esa unidad USB y cree un perfil de ingesta que:
    • Utiliza un filtro de archivos que se ejecuta solo en extensiones de imagen y ZIP
    • Ejecuta solo el módulo de búsqueda de hash , el módulo de análisis EXIF , el módulo de identificación de tipo de archivo y el módulo de extracción de archivos incrustado
    • Utiliza conjuntos de hash de explotación infantil conocidos, siguiendo las instrucciones en Uso de conjuntos de hash para copiarlos en la unidad USB

En la casa:

  • Comience el análisis:
    • Conecte la unidad de triaje en vivo que hizo en la oficina a su computadora portátil
    • Inicie Autopsia desde el archivo .bat
    • Crear un caso (guardar en su unidad USB)
    • Agregar una fuente de datos de unidad local
      • «C:»
      • Elija hacer VHD y mantener la ubicación predeterminada
  • A medida que continúa el análisis automatizado:
    • Elija Ver-> Tipos de archivo-> Imágenes en el visor de árbol y revise las miniaturas
    • Espera los resultados de hash set
    • Revisar archivos EXIF
    • Etiquete cualquier archivo notable encontrado
  • Puede detener el análisis en cualquier momento. Todos los datos leídos hasta ahora estarán en el archivo VHD.
  • Crear una unidad de triaje en vivo

    Visión general

    La función Live Triage le permite cargar Autopsy en una unidad extraíble para ejecutar en los sistemas de destino mientras realiza cambios mínimos en ese sistema de destino. Actualmente, esto solo funcionará en sistemas Windows.

    Crear una unidad de triaje en vivo

    Para crear una unidad de triaje en vivo, vaya a Herramientas-> Crear unidad de triaje en vivo para que aparezca el cuadro de diálogo principal.

    live_triage_dialog.png

    Seleccione la unidad que desea usar: cualquier tipo de dispositivo de almacenamiento USB funcionará. Para obtener los mejores resultados, utilice el disco más rápido disponible. Una vez que se complete el proceso, la carpeta raíz contendrá una carpeta de autopsia y un archivo RunFromUSB.bat.

    Ejecutar Autopsia desde la unidad de triaje en vivo

    Inserte la unidad en la máquina de destino y busque en el Explorador de Windows. Haga clic derecho en RunFromUSB.bat y seleccione «Ejecutar como administrador». Esto es necesario para analizar las unidades locales.

    live_triage_script.png

    La ejecución del script generará algunos directorios más en la unidad USB. El directorio configData almacena todos los datos utilizados por Autopsia, principalmente archivos de configuración y archivos temporales. Puede realizar cambios en la configuración de la autopsia y persistirán entre ejecuciones. El directorio de casos se crea como un lugar recomendado para guardar los datos de su caso. Tendrá que buscarlo cuando cree un caso en Autopsia.

    Una vez que se esté ejecutando Autopsy, proceda a crear un caso de forma normal, asegurándose de guardarlo en la unidad USB.

    live_triage_case.png

    Luego elija la fuente de datos del Disco local y seleccione la unidad deseada.

    live_triage_ds.png

    Consulte la página Agregar un disco local para obtener más información sobre las fuentes de datos del disco local.

    Usar conjuntos hash

    Siga estos pasos para importar un conjunto de hash para usar con el módulo de búsqueda de hash :

    1. Ejecute Autopsy desde la unidad de triaje en vivo, como se describió anteriormente
    2. Vaya a Herramientas-> Opciones y luego a la pestaña «Conjunto de hash»
    3. Importe el conjunto de hash de forma normal (utilizando un destino «Local») pero marque la opción «Copiar conjunto de hash en la carpeta de configuración del usuario» en la parte inferior

      live_triage_import_hash.png

    Esto permitirá que se use el conjunto de hash independientemente de la letra de unidad asignada a la unidad de triaje en vivo.