UNIVERSIDADE DE UBERABA
FELIPE ESTEVES DE OLIVEIRA

FERRAMENTAS DE COMPUTAÇÃO FORENSE: AUTOPSY

UBERABA – MG
2015
Autopsy
Autopsy é uma ferramenta utilizada para análise de mídias do sistema operacional, descrevendo vários detalhes desde criação até a sua exclusão, podendo recuperar informações de arquivos excluídos, as mídias podem ser diversas: pen drives, disquetes, cd e dvds, etc.
Para exemplo acadêmico iremos utilizar de uma partição de tamanho estimado de 1GB (1024 mb), pois quanto maior o tamanho da unidade a ser examinada maior será o tempo, ao clonar o disco para fazer sua análise, primeiro criamos uma pasta com nome JHTEC, a seguir criamos um arquivo de texto chamado: importante.txt, podendo conter qualquer texto, e em seguida um segundo arquivo com nome: Felipe.txt:

Em seguida deletamos o arquivo importante.txt:

O Autopsy tem a função de fazer a perícia em mídia a fim de descobrir e analisar quais arquivos uma pessoa possa ter apagado do sistema, para prosseguir com a análise é preciso que o objeto a ser analisado esteja conectado ao computador que possua o sistema operacional deft8 instalado, ou possua a ferramenta Autopsy instalada no sistema operacional, o Autopsy pode ser instalado em sistemas Windows e Linux.
Primeiramente precisamos criar uma imagem do disco a ser analisado:

Primeiro utiliza-se o comando sudo –i, para ter permissões do nível de administrador;
Segundo utilizamos o comando fdisk –l, assim será apresentado os discos conectados ao sistema operacional: /dev/sdb1.

Assim pode –se criar a imagem do disco utilizando os seguintes comandos:

Para inicializar basta entrar em ferramentas > Analysis tools > Autopsy Forensic browser:

Ambiente Autopsy, Criamos um novo caso:

1 – Case name: nome para ser dado ao caso;
2 – Descrição opcional para o caso;
3 – Investigator Names: Nome dos investigadores envolvidos no caso;
Abrimos um novo caso clicando em New Case;

Seleção do Host para o caso:

O host