Podcast
Questions and Answers
Qual é a principal função do módulo de Recent Activity na análise forense digital?
Qual é a principal função do módulo de Recent Activity na análise forense digital?
- Comparar arquivos encontrados com um banco de dados de hashes.
- Identificar dispositivos conectados anteriormente ao computador.
- Extrair informações das atividades recentes do usuário. (correct)
- Realizar análise de imagens de disco.
Para que serve a computação de valores hash no Hash Lookup?
Para que serve a computação de valores hash no Hash Lookup?
- Para ignorar todos os arquivos que não pertencem ao banco de dados.
- Para alterar os arquivos encontrados em um formato conhecido.
- Para aumentar o tamanho dos arquivos encontrados.
- Para validar a integridade dos arquivos com base em um banco de dados. (correct)
Qual das seguintes afirmações sobre os hashsets é verdadeira?
Qual das seguintes afirmações sobre os hashsets é verdadeira?
- São utilizados apenas por forças policiais para arquivos específicos. (correct)
- São disponíveis apenas para usuários comuns acessarem.
- Podem conter arquivos que são sempre bons ou sempre ruins.
- Não podem ser aplicados em investigações forenses.
O que acontece após baixar as imagens da unidade de disco no Autopsy?
O que acontece após baixar as imagens da unidade de disco no Autopsy?
Quais informações são extraídas do registro no módulo de Recent Activity?
Quais informações são extraídas do registro no módulo de Recent Activity?
O que caracteriza um hashset conhecido?
O que caracteriza um hashset conhecido?
Qual a importância de identificar dispositivos conectados via USB na análise forense?
Qual a importância de identificar dispositivos conectados via USB na análise forense?
Qual é a principal finalidade de um processo de extração de conteúdo em uma análise forense digital?
Qual é a principal finalidade de um processo de extração de conteúdo em uma análise forense digital?
Qual é a principal função da linguagem estruturada STIX?
Qual é a principal função da linguagem estruturada STIX?
Qual dos seguintes itens NÃO é um tipo de indicador aceito pelo STIX?
Qual dos seguintes itens NÃO é um tipo de indicador aceito pelo STIX?
No caso de hacking descrito, qual era a estratégia do suspeito Greg Schardt?
No caso de hacking descrito, qual era a estratégia do suspeito Greg Schardt?
Qual é a relevância da lista de IPs mencionada no conteúdo?
Qual é a relevância da lista de IPs mencionada no conteúdo?
O que a sigla CFReDS representa no contexto mencionado?
O que a sigla CFReDS representa no contexto mencionado?
Qual é o propósito principal do módulo de Hash Lookup?
Qual é o propósito principal do módulo de Hash Lookup?
Qual biblioteca é utilizada para verificar o tipo de arquivo e coletar metadados?
Qual biblioteca é utilizada para verificar o tipo de arquivo e coletar metadados?
O que o módulo de Extração de Arquivos Embutidos faz?
O que o módulo de Extração de Arquivos Embutidos faz?
Qual das opções não aparece como uma ferramenta de busca de hash mencionada?
Qual das opções não aparece como uma ferramenta de busca de hash mencionada?
Qual é uma característica das listas de hash mencionadas?
Qual é uma característica das listas de hash mencionadas?
Qual módulo gera informações para outros módulos com base no tipo de arquivo?
Qual módulo gera informações para outros módulos com base no tipo de arquivo?
Qual dos seguintes tipos de arquivos pode ser processado pela Extração de Arquivos Embutidos?
Qual dos seguintes tipos de arquivos pode ser processado pela Extração de Arquivos Embutidos?
O que caracteriza uma lista de hashes provenientes da National Software Reference Library?
O que caracteriza uma lista de hashes provenientes da National Software Reference Library?
Uma das funções do Tika é:
Uma das funções do Tika é:
Os dados de quais tipos de arquivos são processados novamente pelo módulo de Extração de Arquivos Embutidos?
Os dados de quais tipos de arquivos são processados novamente pelo módulo de Extração de Arquivos Embutidos?
Qual é uma das funcionalidades oferecidas pelo Autopsy em relação à exportação de evidências?
Qual é uma das funcionalidades oferecidas pelo Autopsy em relação à exportação de evidências?
O que é que o Autopsy permite fazer com os arquivos exportados, além de analizá-los?
O que é que o Autopsy permite fazer com os arquivos exportados, além de analizá-los?
Qual é a versão documentada do guia do usuário do Autopsy mencionado na bibliografia?
Qual é a versão documentada do guia do usuário do Autopsy mencionado na bibliografia?
Qual das seguintes opções não é uma função descrita na seção sobre processamento de dados do Autopsy?
Qual das seguintes opções não é uma função descrita na seção sobre processamento de dados do Autopsy?
Quem foi o autor original das apresentações mencionadas no conteúdo?
Quem foi o autor original das apresentações mencionadas no conteúdo?
Qual é um dos principais propósitos da análise de conteúdo no Autopsy?
Qual é um dos principais propósitos da análise de conteúdo no Autopsy?
Qual documento foi referenciado especificamente como um guia do usuário do Autopsy?
Qual documento foi referenciado especificamente como um guia do usuário do Autopsy?
Qual é uma das razões para exportar arquivos utilizando o Autopsy?
Qual é uma das razões para exportar arquivos utilizando o Autopsy?
Qual filtro o Autopsy permite usar para reduzir a quantidade de elementos em uma linha do tempo?
Qual filtro o Autopsy permite usar para reduzir a quantidade de elementos em uma linha do tempo?
Qual é uma das opções de visualização de linha do tempo disponíveis?
Qual é uma das opções de visualização de linha do tempo disponíveis?
Qual funcionalidade permite marcar resultados para referência futura?
Qual funcionalidade permite marcar resultados para referência futura?
Qual dos seguintes tipos de relatórios não é gerado pelo Autopsy?
Qual dos seguintes tipos de relatórios não é gerado pelo Autopsy?
O que é o Structured Threat Information Exchange (STIX)?
O que é o Structured Threat Information Exchange (STIX)?
Qual dos seguintes critérios pode ser aceito em STIX?
Qual dos seguintes critérios pode ser aceito em STIX?
Qual item não está listado como um tipo de relatório disponível no Autopsy?
Qual item não está listado como um tipo de relatório disponível no Autopsy?
Qual função não é realizada pelo Autopsy em relação a filtros?
Qual função não é realizada pelo Autopsy em relação a filtros?
Como os nomes das tags são definidos no processo de etiquetagem?
Como os nomes das tags são definidos no processo de etiquetagem?
O que o sistema Autopsy não permite nas visualizações de linha do tempo?
O que o sistema Autopsy não permite nas visualizações de linha do tempo?
Qual opção refere-se a um tipo de relatório que deve lidar com itens que foram marcados?
Qual opção refere-se a um tipo de relatório que deve lidar com itens que foram marcados?
Qual é um exemplo de indicador que pode ser usado em STIX?
Qual é um exemplo de indicador que pode ser usado em STIX?
Quais resultados são aplicáveis no relatório de resultados?
Quais resultados são aplicáveis no relatório de resultados?
Qual é a principal função do módulo Keyword Search?
Qual é a principal função do módulo Keyword Search?
Quais tipos de arquivos o módulo de Email Parser consegue processar?
Quais tipos de arquivos o módulo de Email Parser consegue processar?
O que o módulo Extension Mismatch Detector tenta identificar?
O que o módulo Extension Mismatch Detector tenta identificar?
Qual é o objetivo do módulo E01 Verifier?
Qual é o objetivo do módulo E01 Verifier?
Que tipo de dados o Interesting Files Identifier gera alertas?
Que tipo de dados o Interesting Files Identifier gera alertas?
Qual comando deve ser selecionado para permitir a descoberta de arquivos recentemente deletados?
Qual comando deve ser selecionado para permitir a descoberta de arquivos recentemente deletados?
Qual é um problema comum associado às listas pré-definidas do módulo Keyword Search?
Qual é um problema comum associado às listas pré-definidas do módulo Keyword Search?
Quais formatos são suportados durante a execução do módulo Keyword Search?
Quais formatos são suportados durante a execução do módulo Keyword Search?
O que faz o módulo Virtual Machine Extractor?
O que faz o módulo Virtual Machine Extractor?
Qual é a função principal do algoritmo de extração de strings para formatos não suportados?
Qual é a função principal do algoritmo de extração de strings para formatos não suportados?
O que é o PhotoRec Carver capaz de processar?
O que é o PhotoRec Carver capaz de processar?
O que o módulo de Extension Mismatch Detector pode gerar durante o processo?
O que o módulo de Extension Mismatch Detector pode gerar durante o processo?
O que significa o módulo de identificação de arquivos interessantes?
O que significa o módulo de identificação de arquivos interessantes?
Qual é o formato que o FTK Imager pode ler além de arquivos de disco virtual?
Qual é o formato que o FTK Imager pode ler além de arquivos de disco virtual?
Flashcards
Nome de usuário
Nome de usuário
Identificação de um utilizador num sistema, para acesso autorizado.
Hash Lookup
Hash Lookup
Técnica para comparar valores hash de ficheiros com bases de dados de valores hash.
Valores Hash
Valores Hash
Resumos únicos de dados de ficheiros, usados para verificação.
Conjunto de Hash
Conjunto de Hash
Signup and view all the flashcards
Pesquisa
Pesquisa
Signup and view all the flashcards
Imagens de drives do PC
Imagens de drives do PC
Signup and view all the flashcards
Atividade Recente
Atividade Recente
Signup and view all the flashcards
Autopsy
Autopsy
Signup and view all the flashcards
Base de Dados NSRL
Base de Dados NSRL
Signup and view all the flashcards
Identificação de Tipo de Arquivo
Identificação de Tipo de Arquivo
Signup and view all the flashcards
Biblioteca Tika
Biblioteca Tika
Signup and view all the flashcards
Extração de Arquivos Incorporados
Extração de Arquivos Incorporados
Signup and view all the flashcards
Módulo de Indexação (sem saída própria)
Módulo de Indexação (sem saída própria)
Signup and view all the flashcards
Detector de Discrepâncias de Extensão
Detector de Discrepâncias de Extensão
Signup and view all the flashcards
Pesquisa por Palavras-chave
Pesquisa por Palavras-chave
Signup and view all the flashcards
VirusShare
VirusShare
Signup and view all the flashcards
Análise Forense Digital
Análise Forense Digital
Signup and view all the flashcards
STIX (Structured Threat Information Exchange)
STIX (Structured Threat Information Exchange)
Signup and view all the flashcards
Indicadores em STIX
Indicadores em STIX
Signup and view all the flashcards
IP Watchlist
IP Watchlist
Signup and view all the flashcards
CFReDS (Computer Forensic Reference Data Sets)
CFReDS (Computer Forensic Reference Data Sets)
Signup and view all the flashcards
Exemplo de caso: Hacking
Exemplo de caso: Hacking
Signup and view all the flashcards
Formatos suportados
Formatos suportados
Signup and view all the flashcards
Extração de strings
Extração de strings
Signup and view all the flashcards
Listas predefinidas
Listas predefinidas
Signup and view all the flashcards
Parser de e-mail
Parser de e-mail
Signup and view all the flashcards
Detector de inconsistências de extensão
Detector de inconsistências de extensão
Signup and view all the flashcards
Validador E01
Validador E01
Signup and view all the flashcards
Identificador de arquivos interessantes
Identificador de arquivos interessantes
Signup and view all the flashcards
Arquivos recuperados
Arquivos recuperados
Signup and view all the flashcards
Extração de máquina virtual
Extração de máquina virtual
Signup and view all the flashcards
Conversão de disco virtual
Conversão de disco virtual
Signup and view all the flashcards
Módulos de Ingestão
Módulos de Ingestão
Signup and view all the flashcards
Análise de Conteúdo Manual
Análise de Conteúdo Manual
Signup and view all the flashcards
Exportação de Evidências
Exportação de Evidências
Signup and view all the flashcards
STIX
STIX
Signup and view all the flashcards
Linhas do Tempo
Linhas do Tempo
Signup and view all the flashcards
Relatório
Relatório
Signup and view all the flashcards
Evidências
Evidências
Signup and view all the flashcards
Visualização Timeline
Visualização Timeline
Signup and view all the flashcards
Visão Detalhada
Visão Detalhada
Signup and view all the flashcards
Filtros na Timeline
Filtros na Timeline
Signup and view all the flashcards
Filtro por Arquivos Conhecidos
Filtro por Arquivos Conhecidos
Signup and view all the flashcards
Filtro por Texto
Filtro por Texto
Signup and view all the flashcards
Filtro por Tipo de Evento
Filtro por Tipo de Evento
Signup and view all the flashcards
Filtro por Intervalo de Tempo
Filtro por Intervalo de Tempo
Signup and view all the flashcards
Marcação de Resultados
Marcação de Resultados
Signup and view all the flashcards
Itens para Referência Futura
Itens para Referência Futura
Signup and view all the flashcards
Marcar Arquivos ou Resultados
Marcar Arquivos ou Resultados
Signup and view all the flashcards
Nome da Tag Definido pelo Investigador
Nome da Tag Definido pelo Investigador
Signup and view all the flashcards
Exibição das Tags
Exibição das Tags
Signup and view all the flashcards
Geração de Relatórios
Geração de Relatórios
Signup and view all the flashcards
Relatório de Resultados
Relatório de Resultados
Signup and view all the flashcards
Relatório de Marcados
Relatório de Marcados
Signup and view all the flashcards
Study Notes
MCIF - Digital Forensic Analysis 1 - Autopsy
- Autopsy: A graphical tool for digital investigations of storage media images. Developed in Java, mainly for Windows. It's expandable, supporting modules in Python for Java and has limited support for Android.
- Autopsy Workflow:
- Create a Case: Includes case name, type, directory, basic information.
- Add a Data Source: Can use raw (dd) or EnCase (E01) images, drives, files, or virtual machine drives.
- Analyze with Ingest Modules: Ingest modules perform tasks like analysis with pre-installed modules.
- Manual Analysis: Manual inspection of data.
- Report Generation: Creating reports of findings.
Introductory Concepts
- Autopsy's url: http://www.sleuthkit.org/autopsy/
- Autopsy is a graphical tool for digital investigation of storage media images.
- Autopsy is developed in Java, mainly for Windows.
- Autopsy is expandable (supports modules developed in Python for Java).
- Autopsy has limited support for Android.
Tips: Making Autopsy Run Faster
- Run Autopsy under Linux: Avoids anti-virus interference and reduces concurrent processes for better CPU performance. However, certain tools like OCR may not work.
- Give more RAM to Autopsy JVM: For example, change the value from 4 GB to 8 GB. Increasing CPU cores increases needed RAM.
- More memory to Solr: The indexing service enhancing search features.
- Increasing from 1 to 2 GB should be sufficient; never give more than 2 GB for the JVM.
Tips: Autopsy Installation on Ubuntu
- Download the snap package from https://github.com/sleuthkit/autopsy/releases
- Install the package using
sudo snap install --dangerous autopsy.snap
- Connect to snap using
sudo snap connect {}
(replace {} with the output fromsnap connections autopsy | sed -ne 's/^[^ ]* *([^]*) *- *- *$/\1/p'
) - Run the first time:
snap run autopsy --nosplash
Data Processing - Ingest Modules
- Automated Processing: Using ingest modules effectively processes data.
- Ingest Modules: Examples include:
- All Files, Directories, and Unallocated Space
- Recent Activity
- Hash Lookup
- File Type Identification
- Embedded File Extractor
- Exif Parser
- Keyword Search
- Email Parser
- Extension Mismatch Detector
- E01 Verifier
- Encryption Detection
- Interesting Files Identifier
- PhotoRec Carver
- Virtual Machine Extractor
- Multi-core support: Enables parallel processing of files to reduce processing time. Configure the number of threads using Tools -> Options -> Ingest -> Settings.
Case 1: Hacking
- Lost PC: On 20-09-2004, a computer was found abandoned, with potential use for hacking.
- Suspect: Nicknamed "Mr. Evil."
- Goal: Intercept internet traffic to obtain credit card information, usernames and passwords.
- Tasks:
- Download PC drive images from Moodle.
- Create a new case in Autopsy.
- Start automated processing.
Module: Recent Activity
- Extracts information: from the last 7 days.
- Information included: Internet usage (including searches), installed programs, connected devices , processes.
- Display: Results are displayed in "Extracted Content."
Module: Hash Lookup
- Computes hash values: of found files and compares to existing MD5 hashsets.
- Known bad hashsets: Files to be validated.
- Known good hashsets: Files that can be safely ignored.
- Known hashsets: Files that can be good or bad depending on context.
- Hash sets: Commonly available for police forces (e.g., child pornography images).
- National Software Reference Library (NSRL): A publicly available hash database from NIST, available through URLs http://www.nsrl.nist.gov/, http://sourceforge.net/projects/autopsy/files/NSRL/. VirusShare URL: https://virusshare.com/hashes.4n6.
Module: File Type Identification
- Checks file types: according to characteristics and collects metadata.
- Uses Tika: (http://tika.apache.org/) as an indexing module.
- Generates information: for other modules, including Extension Mismatch Detector and Keyword Search.
Module: Embedded File Extraction
- Uncompresses files: like ZIP, RAR and embedded files (DOC, DOCX, PPT, PPTX, XLS, XLSX).
- Processing: Process files again, enabling analysis of files within compressed/embedded files.
- Results: displayed under results → Archives.
Module: EXIF Parser
- Extracts EXIF data: (Exchangeable Image File Format) for images.
- Data included: Geolocation, date/time, camera model, setup, resolution, etc.
- Results: Displayed in the "Extracted Content" area under "EXIF Metadata".
Module: Keyword Search
- Searches by keywords: During initial or on-demand processing.
- Extract text: from files and adds to the index (Solr).
- Supported formats: Text, MS Office, PDF, Emails.
- String Extraction Algorithm: Identifies encodings and languages for non-supported formats.
- Default lists: include web addresses (URLs), IP addresses, phone numbers, email addresses.
Module: Email Parser
- Identifies and processes: Emails in MBOX, PST files.
- Processes: emails and their attachments.
Module: Extension Mismatch Detector
- Identifies files: with mismatched file patterns and filename extensions, potentially camouflaging malicious code.
- Possible false positives: May result in identifying valid files incorrectly.
Module: E01 Verifier
- Verifies EWF files: Calculates the hash of EWF file data and compares it to metadata in the E01 file. Identifies corrupted EWF files and prevents automated process issues.
Module: Interesting Files Identifier
- Detects specific files: and folders based on characteristics (type, size, extension, name, MIME type).
- Generates alerts: for files and folders matching the specified criteria.
Module: PhotoRec Carver
- Extracts files: from unallocated disk space.
- Multiple file types: Supported including recently deleted files.
- Custom file patterns: Allows custom inclusion of file types.
- "Process Unallocated Space" option needed for activation.
Module: Virtual Machine Extractor
- Identifies virtual machine disks: which are added as new data sources.
- Supports different formats: Including VMWare (vmdk) and Microsoft Virtual Hard Drives (vhd).
- Conversion capability: FTK Imager can convert virtual disks to E01 format.
Report Generation
- Types available:
- Results: Applied to the items.
- Tagged: Applied to tagged items.
- Files: List of files under analysis.
- KML: GPS Coordinates in Google Earth format.
- TSK: MAC timeline of all files.
- STIX: Compares results to a threat file.
- Other functions: can include filtering and advanced artifact selection options for reports.
Labeling
- Tagging results for future reference.
- Enables marking files and results.
- Tag names are set by the investigator.
- Tags appear in the results view.
Timelines
- Created using: Event dates.
- Recognizes various: Event types: Files (modification, access, creation, change); Internet access (downloads, cookies, bookmarks, searches, browser history); Other events (messages, phone calls, emails, GPS tracks, etc.).
- Visualizations: Including histograms and detailed views.
- Filter options: Allowing reduction of elements.
Exporting Evidences
- Exporting file types (PDF, Plain Text, Rich Text, Executable, Deleted Files): analysis with external tools, comparisons, or archival purposes.
Bibliography and Credits
- Autopsy User's Guide available at https://github.com/sleuthkit/autopsy/tree/release-4.7.0/docs/doxygen-user.
- Autopsy Forensic Browser User Guide (2013), author: Julia Keffer. Available at https://juliakeffer.files.wordpress.com/2013/06/autopsy_user_guide.pdf.
- The slides' original author is António Pinto.
- The document was translated, adapted, and updated by Miguel Frade.
Studying That Suits You
Use AI to generate personalized quizzes and flashcards to suit your learning preferences.