Imagen lógico

Visión general

El generador de imágenes lógico le permite recopilar archivos desde una computadora con Windows en vivo. El generador de imágenes está configurado con reglas que especifican qué archivos recopilar. Las reglas pueden basarse en atributos de archivo como nombres de carpetas, extensiones y tamaños. Puede usar esta función cuando no tiene tiempo o autorización para realizar una adquisición de unidad completa.

El generador de imágenes lógico puede guardar los archivos coincidentes de dos maneras. El método predeterminado es guardar archivos individuales, que es el método más rápido y utiliza menos espacio en disco. La otra opción es producir una o más imágenes dispersas de VHD que contengan todos los datos del sistema de archivos que se leyeron. Estas imágenes VHD pueden importarse a Autopsia o montarse por Windows. En cualquier caso, el generador de imágenes lógico también enumera las cuentas de usuario en el sistema y puede generar alertas si existen programas de cifrado.

El flujo de trabajo general es:

  • Configure el generador de imágenes lógico utilizando Autopsia. Esto copiará un archivo de configuración que especifica qué archivos recopilar y el generador de imágenes lógico ejecutable en la unidad de destino.
  • Inserte la unidad en el sistema de destino y ejecute el generador de imágenes lógico. Esto le dará una carpeta que contiene los archivos coincidentes o uno o más VHD dispersos, un archivo que contiene información de la cuenta del usuario y un registro de qué archivos generaron alertas.
  • Cargue el resultado de ejecutar el generador de imágenes lógico en Autopsia para examinar los archivos coincidentes y ver la información de la cuenta del usuario.

Actualmente, el generador de imágenes lógico solo se puede configurar en Windows y solo analizará los sistemas Windows. También deberá poder ejecutar el generador de imágenes lógico como administrador en el sistema de destino.

Configuración

Para comenzar, abra Autopsia y vaya a Herramientas-> Crear generador de imágenes lógico.

tools_menu.png
  • Configurar una unidad externa

    El caso de uso normal es seleccionar una unidad de la lista en «Configurar unidad externa seleccionada». Esto colocará el ejecutable del generador de imágenes lógico y un archivo de configuración en el directorio raíz de esa unidad una vez que finalice la configuración. Tenga en cuenta que el generador de imágenes lógicas solo se puede configurar y ejecutar en una unidad que no sea FAT (excepto exFAT) debido al tamaño máximo de archivo de 4 GB en los sistemas FAT.

    configure_drive.png
  • Configurando en una carpeta

    Si aún no está listo para configurar su unidad, o si desea crear un archivo de configuración diferente, puede usar la segunda opción para buscar una carpeta o un archivo de configuración existente. Si está creando un nuevo archivo, busque la carpeta en la que desea crearlo. Observe que el archivo de configuración tiene el nombre predeterminado «logical-imager-config.json». Puede cambiar esto, pero si lo hace, deberá cambiarle el nombre después de copiarlo en su unidad o usar el símbolo del sistema para ejecutar el generador de imágenes. Consulte la sección Ejecución desde un símbolo del sistema .

    select_folder.png

En cualquier caso, ahora puede configurar su generador de imágenes. Si el archivo de configuración ya existe, esta pantalla se cargará con la configuración actual del archivo.

main_config_panel.png

En el lado izquierdo puede ver cada regla en el archivo de configuración. Cada una de estas reglas se aplicará contra el sistema en vivo. Una regla tiene un nombre, una descripción opcional, una o más condiciones y la configuración de lo que debe suceder cuando se encuentra un archivo que coincide con la regla. Cuando seleccione una regla, verá todas las configuraciones para esa regla en el lado derecho del panel. Puede editar o eliminar reglas una vez que las seleccione. También hay configuraciones globales en la parte inferior derecha que se aplican al archivo de configuración en su conjunto:

  • Alertar si se encuentran programas de cifrado : esto agregará una regla predefinida para buscar programas de cifrado y alertar y exportar cualquiera que se encuentre. No podrá editar esta regla.

  • Preguntar antes de salir del generador de imágenes : si está seleccionado, deberá presionar una tecla al final de la ejecución del generador de imágenes lógico. Esto mantiene abierta la ventana del símbolo del sistema para que pueda ver la salida.
  • Crear VHD : si se selecciona, se creará un VHD disperso mientras se ejecuta el generador de imágenes lógico. Ver más detalles a continuación.
    • Continuar con la creación de imágenes después de realizar las búsquedas : solo es relevante al crear un VHD. De forma predeterminada, el generador de imágenes lógico solo copiará los sectores que usa o que son parte de los archivos coincidentes que se exportan. Si se selecciona esta opción, el generador de imágenes lógico volverá a través de la imagen después de que se complete la coincidencia de reglas y copiará sobre los sectores restantes. Esto tardará más en ejecutarse y dará como resultado imágenes VHD mucho más grandes.

Más información sobre cómo crear un VHD versus guardar archivos coincidentes directamente:

  • Modo no VHD
    • En este modo, cualquier archivo que coincida con una regla que tenga habilitada la opción «Extraer archivo» se copiará en la carpeta de salida del generador de imágenes lógico. Las rutas y los nombres se acortan en la carpeta de salida, pero aparecerán en su forma original una vez que los resultados se carguen en Autopsia.
    • Pros: más rápido que crear un VHD y, por lo general, utilizará significativamente menos espacio en disco
    • Contras: no se conservan todos los metadatos del archivo; no se guardan datos adicionales sobre el sistema de archivos
  • Modo VHD
    • En este modo, todos los datos leídos por el generador de imágenes lógico se copian en un VHD. Esto incluirá todos los archivos coincidentes en su totalidad, y también metadatos para todos los archivos en el sistema.
    • Pros: metadatos más completos para los archivos coincidentes, contiene información sobre el sistema más allá de los archivos coincidentes. Tiene la opción de copiar todo el sistema de archivos.
    • Contras: más lento y usa más espacio en disco. También puede ser confuso en Autopsia porque muchas entradas de archivo no tendrán datos (sus metadatos se copiaron al VHD pero no su contenido)

Para hacer una nueva regla, haga clic en el botón «Nueva regla».

new_attr_rule.png

Hay dos tipos de reglas para elegir:

  • Las reglas de atributo le permiten ingresar múltiples condiciones que deben ser verdaderas para que un archivo coincida
  • Las reglas de ruta completa le permiten ingresar una o más rutas completas (ruta y nombre de archivo) que deben coincidir exactamente

Para cualquier tipo de regla, comienza ingresando un nombre de regla y una descripción opcional. También deberá elegir al menos una acción para realizar cuando se encuentre una coincidencia.

  • Alerta en la consola de Imager si la regla coincide: esto mostrará los datos del archivo en la consola y lo agregará al archivo de salida «alert.txt».
  • Extraiga el archivo si coincide con una regla: esto garantizará que los contenidos del archivo coincidente se copien en la carpeta de salida o en un VHD disperso

Las reglas de atributo pueden tener una o más condiciones. Todas las condiciones deben ser verdaderas para que una regla coincida.

  • Extensiones: el archivo debe coincidir con una de las extensiones dadas (separadas por comas). Las extensiones no distinguen entre mayúsculas y minúsculas.
  • Nombres de archivo: el archivo debe coincidir con uno de los nombres de archivo dados (nueva línea separada). Los nombres de archivo deben incluir extensiones y no distinguen entre mayúsculas y minúsculas.
  • Nombres de carpeta: el archivo debe coincidir con una de las rutas dadas (nueva línea separada). La ruta dada puede ser una subcadena de la ruta del archivo. Puede usar «[USER_FOLDER]» para que coincida con cualquier carpeta de usuario en el sistema. Por ejemplo, «[USER_FOLDER] / Downloads» coincidirá con la carpeta de descargas en cualquier carpeta de usuario, como «Users / username / Downloads».
  • Tamaño mínimo / Tamaño máximo: el archivo debe estar en el rango dado. Puede usar ambos campos para especificar un rango o usar solo uno para hacer coincidir todos los archivos más grandes o más pequeños que el tamaño dado.
  • Modificado dentro: el archivo debe haberse cambiado dentro del último número de días especificado

Las reglas de ruta completas tienen una sola condición.

  • Rutas completas: el archivo debe coincidir exactamente con una de las rutas completas (nueva línea separada)
full_path_rule.png

Una vez que haya configurado todas sus reglas, vaya al siguiente panel y haga clic en «Guardar» para guardar su archivo de configuración y el ejecutable de la cámara lógica en la ubicación que seleccionó.

save.png

Ejecución de Imager lógico

Ejecutando con la configuración predeterminada

El uso de los valores predeterminados en el proceso de configuración creará una unidad con el archivo de configuración (denominado «logical-imager-config.json») y el ejecutable del generador de imágenes lógico en la carpeta raíz de su unidad.

exe_folder.png

El caso predeterminado es ejecutar el generador de imágenes lógico en cada unidad, excepto la que lo contiene. Tenga en cuenta que el ejecutable del generador de imágenes lógico debe estar en el directorio raíz para que se omita la unidad. Para ejecutar el generador de imágenes, haga clic derecho en «tsk_logical_imager.exe» y seleccione «Ejecutar como administrador». Esto abrirá una ventana de la consola donde verá información sobre el procesamiento y si establece alguna regla para crear alertas, también verá coincidencias en la ventana de la consola. Según la opción que haya seleccionado durante la configuración, la ventana puede cerrarse automáticamente cuando se complete el procesamiento.

El generador de imágenes lógico comenzará a escribir en un directorio junto al ejecutable.

output_folder.png

Ejecutando desde un símbolo del sistema

Para ejecutar el generador de imágenes lógico con configuraciones personalizadas, primero deberá abrir un símbolo del sistema en modo administrador (haga clic con el botón derecho y luego seleccione «Ejecutar como administrador»). Luego cambie a la unidad donde se encuentra el generador de imágenes lógico. Puede ejecutar utilizando la configuración predeterminada simplemente escribiendo «tsk_logical_imager.exe».

command_prompt.png

Si su archivo de configuración no se denomina «logical-imager-config.json» (por ejemplo, si tiene varios archivos de configuración para diferentes situaciones), deberá especificar el nombre del archivo utilizando el indicador «-c».

config_flag.png

Si desea especificar la unidad para ejecutar, puede usar el indicador «-i». Esto puede ser útil para probar su archivo de configuración: puede crear una pequeña unidad USB con archivos que deben coincidir con sus reglas para asegurarse de que todo funcione correctamente antes de usarlo en un sistema real. El siguiente ejemplo muestra cómo ejecutar solo en la unidad «G» en este sistema:

image_flag.png

Ver resultados

Estructura de carpeta de salida

Si el generador de imágenes lógico se ejecutó en el modo predeterminado (sin crear un VHD), la carpeta de salida tendrá un aspecto similar a este:

nonVHDfolder.png

Contenido de la carpeta:

  • carpeta raíz que contiene cualquier archivo extraído. Estos se pueden ver directamente en el explorador de Windows, pero dado que se han cambiado los nombres y se han allanado los directorios, es mejor verlos en Autopsia.
    nonVHDexport.png
  • config.json es una copia del archivo de configuración utilizado para generar la salida
  • console.txt es una copia de todo lo escrito en la consola de Windows
  • SearchResults.txt se usa al agregar los resultados a Autopsia para hacer coincidir los archivos exportados con sus rutas y nombres de archivo originales, y la regla con la que coinciden. Este archivo se agregará al caso de autopsia como un informe .
  • users.txt contiene información sobre las cuentas de usuario que se encuentran en el sistema. También se agregará al caso de autopsia como un informe .

Si el generador de imágenes lógico se configuró para crear VHD, verá esos VHD en la carpeta de salida (junto con los otros archivos de salida descritos anteriormente, excepto la carpeta raíz):

VHDfolder.png

Agregar resultados a la autopsia

Los resultados de la cámara lógica se pueden agregar a un caso de autopsia como fuente de datos . Esto trae solo los archivos coincidentes o los VHD dispersos como una imagen de disco, y también agrega los otros archivos creados por el generador de imágenes lógico. Seleccione la opción «Autopsy Imager» y pase a la página siguiente.

dsp_select.png

En la sección superior, puede ver todas las carpetas de resultados de las imágenes lógicas en la carpeta raíz de cada unidad. Seleccione el que desea agregar y luego presione el botón «Siguiente».

import.png

Si los resultados de su generador de imágenes lógicas están en una ubicación diferente, seleccione «Elegir carpeta manualmente» y use el botón «Examinar» para ubicar sus resultados.

En cualquier caso, podrá configurar los módulos de ingesta para ejecutar. Puede ejecutar cualquiera de ellos, pero si creó un VHD, es posible que la imagen de su disco no esté completa, puede ver más errores de lo normal. Por ejemplo, el VHD disperso contendrá la tabla de asignación de archivos completa pero faltarán los datos reales que acompañan a la mayoría de los archivos.

Independientemente de si utilizó un VHD o no, los archivos coincidentes aparecerán en su ruta original con su nombre original en el Visualizador de árbol . Si no creó un VHD, solo verá archivos coincidentes en el árbol. Si creó un VHD, también verá entradas para archivos que no coinciden, aunque el contenido de estos archivos puede no existir.

fileTree.png

Se realizarán artefactos de archivo interesantes para cualquier archivo que coincida con las reglas.

interestingFiles.png

Los archivos de alerta y de usuario creados por el generador de imágenes lógicas se pueden encontrar en la sección Informes del Visor de árboles