Autopsy

en espaol
escrito por: Alonso E. Caballero Quezada

Ttulo: Autopsy Autor: Alonso Eduardo Caballero Quezada Feha de creacin: Agosto del ao 2007 Revisin: Setiembre 3 del 2007

La razn del presente escrito Siempre es comn que se me solicite informacin de los temas que son motivo de mis cursos o exposiciones, y la gran mayora de las veces remito a las personas que me consultan a informacin en el idioma ingls. Es por este motivo que decid realizar una traduccin libre de los contenidos de Autopsy & The Sleuth Kit; las herramientos de Cdigo Libre por excelencia para temas de anlisis en investigacin digital. Previa consulta a Brian Carrier, su desarrollador. He tratado de respetar los contenidos de los autores originales. He aadido imagenes actuales con las capturas de pantalla de la reciente versin de Autopsy . De la misma manera, he incluido las referencias a 'The Sleuth Kit Informer', que se realizan. Es mi deseo que este aporte pueda acercar mucho ms, estos interesantes temas, a la mayor cantidad de personas. Es obvio que pueden distribuir y copiar gratuitamente el presente documento.

Autopsy Descripcin El navegador Forense Autopsy es una interfaz grfica para las herramientas de anlisis de investigacin digital en lnea de comando contenidas en Sleuth Kit. Juntos pueden analizar discos UNIX y Windows, adems de sistemas de archivos (NTFS, FAT, UFS1/2 y Ext2/3). Autopsy y Sleuth Kit son Open Source (Cdigo Abierto) y pueden ser ejecutados en plataformas UNIX. Como Autopsy se basa en HTML, se puede conectar al servidor Autopsy desde cualquier plataforma utilizando un navegador HTML. Autopsy proporciona una interfaz tipo Manejador de Archivos, y muestra detalles sobre datos borrados y estructuras del sistema de archivos. Modos de Anlisis Un Anlisis En reposo ocurre cuando un sistema dedicado para anlisis es utilizado para examinar los datos de un sistema sospechoso. En este caso, Autopsy y Sleuth Kit son ejecutados en un entorno confiable, tipicamente en un

laboratorio. Autopsy y TSK soportan formatos de archivos AFF (Advanced Forensic Format), Expert Witness, y raw (en bruto). Anlisis En vivo ocurre cuando el sistema sospechoso empieza a ser analizado mientras est en ejecucin. En este caso, Autopsy y Sleuth Kit son ejecutados desde un CD en un entorno no confiable. Esto se utiliza frecuentemente durante respuesta de incidentes mientras se confirma el incidente. Despus de su confirmacin, el sistema puede ser adquirido y realizar un anlisis en reposo.

Tcnicas de bsqueda de e videncia Listado de Archivos: Analiza archivos y directorios, incluyendo los nombres de archivos borrados y nombres de archivos basados en Unicode.

imagen 1 Sleuth Kit Informer #1 / Jail Colocando al HTML en una jaula Uno de los conceptos reconocidos y claves de la forensia digital y respuesta de incidentes es nunca confiar en el sistema sospechoso. Por esta razn se utilizan CDs conteniendo binarios fiables cuando el sistema est en ejecucin y tpicamente el sistema es apagado y reiniciado con un kernel confiable antes realizar la adquisicin. La misma lgica es aplicada a los archivos ejecutables del sistema sospechoso. Solo deben de ser ejecutados en entornos controlados para que no puedan destruir la estacin de anlisis. Este concepto tambin ha sido aplicado a Autopsy cuando se visualizan archivos HTML

desde el cache de un navegador por ejemplo. Los archivos HTML pueden causar estragos de dos maneras durante la investigacin. Primero, pueden contener scripts dainos (java script o java por ejemplo), que pueden causar dao a un sistema de anlisis vulnerable. Segundo, el HTML puede causar que el navegador se conecte a un sitio externo para obtener una imagen u otro archivo. Esto puede alertar sobre la investigacin a alguien (en un mundo ideal, todos los laboratorios forense estn aislados de internet). Por defecto Autopsy no interpretar los contenidos de archivos. Por ejemplo, cuando un archivo HTML es seleccionado, se mostrarn las etiquetas ASCII y texto y no el documento formateado (siempre que se utilice un navegador HTML). Esto se realiza configurando el tipo de contenido content-type a TEXT (texto) en lugar de html. Para ciertos tipos de archivos, citamos HTML e imgenes, Autopsy puede ver los datos interpretados utilizando el enlace view. Este enlace abrir por defecto el interprete de contenido de archivo en una nueva celda, e interpretar el cdigo HTML y dejar sin efecto los scripts y enclaces . Esto se realiza modificando el HTML de las siguientes manera: SRC= se cambia por SRC=AutopsySanitized HREF= se cambia por HREF=AutopsySanitized <script se cambia por <AutopsySanitized-script BACKGROUND= se cambia por BACKGROUND=AutopsySanitized La parte del servidor web de Autopsy es configurado para reemplazar las peticiones de imagenes que tienen AutopsySanitized con un grfico definido. Esto permite al investigador ver la ubicacin donde existe una imagen sn conectarse a un sitio externo. Adems si el investigador visita una URL, Autopsy reportar que no se permite al investigador seguir enlaces externos mientras esta en la jaula. Despus de verificar el contenido de una pagina HTML, el usuario puede salir de la celda utilizando el botn Normal y puede ser exportado con el botn Export Contents. Es una buena prctica deshabilitar los lenguajes de script en los navegadores sobre las estaciones de trabajo. Autopsy alertar si su navegador tiene scripts habilitados. La limpieza que Autopsy realiza cuando se visualizan paginas HTML aade una capa de proteccin adicional en caso de que los scripts sean accidentalmente activados, en caso exista una vulnerabilidad en el navegador, o el sistema est conectado a internet. Despus de que el investigador ha identificado la pagina como segura, puede ser visualizada en su formato nativo.

Contenido de Archivos: Los contenidos de archivos puede ser visualizados en bruto (raw), hexadecimal o en cadenas ASCII que se pueden extraer. Cuando los datos son interpretados, Autopsy los esteriliza para prevenir dao al sistema de anlisis local. Autopsy no utiliza ningn lenguaje script en el lado del cliente.

imagen 2

Base de Datos de HASH: Se realiza operaciones de bsqueda en una base de datos para identificarlos rpidamente archivos desconocidos como buenos o dainos. Autopsy utiliza NIST (National Software Reference Library NSRL) y bases de datos creadas por los usuarios sobre archivos conocidos buenos o dainos.

imagen 3

Ordenando por tipo de archivo: Se ordenan los archivos basndose en sus firmas internas para identificar tipos de archivos conocidos. Autopsy puede tambin extraer solamente imgenes grficas (incluyendo miniaturas). La extensin de un archivo tambin puede ser comparada con un

tipo de archivo para identificar archivos que pueden tener su extensin modificada para ocultarlos.

imagen 4

Lnea de tiempo de actividad de archivos: En algunos casos, el tener una lnea de tiempo de la actividad de archivos puede ayudar a identificar reas de un sistema de archivo que podra contener evidencia. Autopsy puede crear lneas de tiempo conteniendo entradas de los tiempos de Modificacin, Acceso, y Cambio (MAC) de archivos asignados y sin asignar.

imagen 5

Bsqueda de palabras clave: Las bsquedas de palabras clave en una imagen de un sistema de archivos puede ser realizada utilizando cadenas ASCII y expresiones regulares. Las bsquedas pueden ser realizadas en la imagen completa del sistema de archivos o solamente en el espacio sn asignar. Se puede crear un archivo ndice para una bsqueda ms eficiente. Las cadenas buscadas frecuentemente pueden ser fcilmente configuradas dentro de Autopsy para bsquedas automatizadas.

imagen 6

Anlisis de Meta Datos: Las estructuras de Meta Datos contienen detalles sobre archivos y directorios. Autopsy permite visualizar detalles de cualquier estructura de Meta Datos en el sistema de archivos. Esto es til para la recuperacin de contenido borrado. Autopsy buscar los directorios para identificar la ruta completa de un archivo que tiene asignada la estructura.

imagen 7

Anlisis de Unidades de Datos: Las unidades de datos son el lugar donde el contenido del archivo es almacenado. Autopsy permite visualizar el contenido de cualquier unidad de datos en una variedad de formatos incluyendo ASCII, volcado hexadecimal, y cadenas. Se proporciona tambin el tipo de archivo y Autopsy buscar las estructuras de Meta Datos para identificar cuales unidades de datos tiene asignada.

imagen 8

Detalles de la imgen: Los detalles del sistema de archivos puede ser visualizados, incluyendo la disposicin en el disco y tiempos de actividad. Este modo proporciona informacin que es de utilidad durante la recuperacin de datos.

imagen 9

Manejo de Caso Manejo de Caso: Las investigaciones son organizadas en casos, los cuales contienen uno o ms hosts . Cada host es configurado para tener su propia zona horaria de modo que los tiempos mostrados sern iguales a los vistos por el usuario original. Cada host puede contener uno o ms imagenes de sistema de archivos para anlisis.

imagen 10 Sleuth Kit Informer # 2 / Caseman Autopsy 1.70 Manejo de caso Manejo previo del caso Antes de la versin 1.70, existia una breve nocin sobre manejo del caso en Autopsy. Autopsy utiliza un directorio morgue, el cual contiene todas las imagenes de sistema de archivos, y archivos de salida que ha creado Autopsy en el curso de una investigacin. El diseo tiene muchas limitaciones. Primero, toda la configuracin era hecha a mano con editor de texto. Segundo, la utilizacin de un directorio para mltiples propsitos hacen difcil imponer permisos estrictos de acceso a los archivos. Despus de esto, el investigador y la localizacin eran especificados en tiempo de compilacin, lo cual hacia difcil manejar mltiples casos a la vez. Revisin sobre manejo de caso El manejo del caso en Autopsy 1.70 fue diseado para investigaciones grandes y globales con mltiples sistemas en mltiples zonas. Todo el manejo se hace utilizando una interfaz grfica y en directorios que han sido organizados de tal manera que se puedan aplicar permisos estrictos. Existen tambin algunos tipos de registros y auditoras que pueden ser realizadas. La organizacin del manejo utiliza directorios y archivos de texto ASCII. Fu diseado para facilitar el archivado de casos y proporcionar consistencia. Utiliza un diseo abierto y genrico, de esta manera cualquier herramiento puede tomar ventaja de los datos sospechosos. Cuando Autopsy es instalado, se identifica un recinto de Evidencia . Este directorio contiene los archivos que lee y escribe Autopsy y por lo tanto debe estar en una

particin con un espacio de disco suficiente. La localizacin tambin puede ser especificada en tiempo de ejecucin con el parmetro flag. Cada investigacin se inicia con un caso. El caso incluye informacin tales como el nombre, un corta descripcin y una lista de investigadores que estarn relacionados con el anlisis. Para manejar mltiples incidentes de sistemas, cada caso puede contener uno o ms hosts. Cada host corresponde a un sistema en el cual los datos estn siendo utilizados en el anlisis y cada uno tiene su propia zona y posicin horaria. El valor de la posicin horaria es utilizado cuando un host no utiliza NTP y el reloj del sistema se atraza o adelanta. Autopsy ajustar los tiempos de manera tal que sea fcil relacionar eventos. Cada host puede tener tambin una base de datos de hash, de lo bueno conocido y lo daino conocido, lo cual facilita la utilizacin de una base de datos que son especficos para un host determinado o un sistema operativo. Cada host puede tener mltiples imagenes. Cada imagen corresponde a un sistema de archivos de un sistema sospechoso. Un sistema windows tiene solo un dispositivo C:\ el cual contiene una imagen, mientras que un sistema Solaris con cinco partes tiene cinco imagenes. Cada imagen tiene un punto de montaje que es utilizado solo para propsitos cosmticos. Detalles del recinto de evidencia El recinto de evidencia contiene los detalles de la investigacin. Es similar a un directorio morgue de versiones anteriores, pero es ms estructurado. Todos los casos tienen un subdirectorio en el recinto de evidencia y el registro de sucesos de Autopsy mostrar cuando fu iniciado Autopsy. Los usuarios pueden crear casos que necesitan permisos de escritura para el Recinto de Evidencia. Todos los dems usuarios solo necesitaran permisos de lectura y ejecucin. Todos los usuarios necesitarn permisos de escritura para el archivo de registro de sucedos de Autopsy, autopsy.log pero no necesariamente necesitarn permisos de lectura para esto. Detalles del Caso Cada Host tiene un directorio en el directorio del caso. El nombre del host es el mismo que el nombre del directorio. Por lo tanto, para renombrar el host despus de su creacin, simplemente se renombra el directorio. # mv nuevo-antiguo nuevo-caso El archivo de configuracin del caso es case.out. Contiene la fecha en la cual el caso fue creado y nombres de los directorios que se reservan para utilizacin futura. Este archivo debe existir para todos los casos. El archivo de auditora para el caso es case.log y su contenido es discutido en la seccin de detalles de registro. El archivo investigators.txt contiene una lista de los investigadores que trabajan en el caso. Estos nombres son utilizados solo para registro y no autentificacin. Para restringir el acceso, se puede utilizar los grupos de Unix. Despus de todo, si los permisos en las estaciones de anlisis permiten al usuario escribir en las imagenes de los sistemas de archivos, el usuario siempre podr evitar cualquier autentificacin que Autopsy requiera. El archivo investigators.txt contiene los nombres de los investigadores en cada lnea. Si

no se especificaron investigadores cuando se cre el caso, entonces el archivo no existir. Para aadir o retirar usuarios, simplemente se edita a mno este archivo. Para borrar un caso, simplemente se elimina el directorio (utilizando 'rm -rf CASO'). Para archivar el caso, se puede utilizar el comando 'tar' (Donde CASO es reemplazado por el nombre actual del caso): # tar cf CASO.tar CASO # gzip CASO.tar Los usuarios que necesiten aadir hosts a un caso necesitarn permisos de escritura para el directorio del caso. Todos los dems usuarios necesitarn permisos de lectura y ejecucin. Todos los usuarios necesitan permisos de escritura para el archivo de registro del caso, pero no necesitan permisos de lectura. Todos los usuarios necesitan permisos de lectura para el archivo de configuracin, pero no necesitan permisos de escritura. Detalles del Host Cada Host tiene un directorio en el directorio del caso. El nombre del Host es el mismo que el nombre del directorio. Por lo tanto, para renombrar el Host despus de que ha sido creado, simplemente se renombra el directorio. # mv host-antiguo host-nuevo El directorio Host contiene cinco directorios: - images: Donde todos las imgenes de sistema de archivos estn localizados. - logs: Donde el registro del Host, registro del investigador, y las notas del investigador son almacenadas. Este contenido se discutir en la seccin de Detalles de Registro. - mnt: Actualmente no utilizado por Autopsy, pero puede ser utilizado para montar manualmente imagenes en el loopback de Linux. Futuras versiones de Autopsy montarn aqu las imgenes. - output: Donde se guardan todos los archivos de salida de Autopsy. Esto incluye espacio sn asignar, cadenas de archivos, lneas de tiempo del cuerpo de archivos, lneas de tiempo, y archivos temporales. - reports: Actualmente no es utilizado por Autopsy, pero puede contener reportes que sern creadas en futuras versiones de Autopsy. Los directorios images y output tienen un archivo md5.txt. Este archivo contiene el valor MD5 de los archivos en el directorio, de esta manera se puede verificar la integridad de la imagen durante la investigacin. El archivo de configuracin del host, host.aut, esta ubicado en el directorio del host. Contiene entradas de los archivos utilizados por el host e informacin de la zona horaria. La primera columna de cada lnea especifica el tipo de configuracin. Los siguientes son tipos de configuracin validas: Tipo: desc Descripcin: Descripcin del host Argumentos: La cadena de descripcin Ejemplos: desc El servidor DNS del centro de datos de New York

Tipo: image Descripcin: Imgenes de sistema de archivos Argumentos: Ruta a la imgen del sistema de archivos, tipo de sistema de archivos, y punto de montaje. Ejemplos: image images/part1.dd ntfs C: Tipo: dls Descripcin: Datos si asignar de imgenes del sistema de archivos Argumentos: Ruta a la imagen 'dls' y ruta a la imagen original del sistema de archivos. Ejemplos: dls output/part1.dls images/part1.dd Tipo: strings Descripcin: Archivo de cadenas de un sistema de archivo o imagen dls Argumentos: Ruta al archivo de cadenas y ruta a la imagen original Ejemplos: strings output/part1.str images/part1.dd Tipo: body Descripcin: Archivos de estructura utilizados cuando se hacen lneas de tiempo. Argumentos: Ruta al archivo de estructura Ejemplos: body output/body Tipo: timeline Descripcin: Archivos de lneas de tiempo de actividad Argumentos: Ruta al archivo de lneas de tiempo Ejemplos: timeline output/timeline.march15 Tipo: timezone Descripcin: La zona horaria del cual es el sistema sospechoso Argumentos: variable zona horaria (Valores TZ legales) Ejemplos: timezone EST5EDT Tipo: timeskew Descripcin: El desplazamiento del reloj del sistema sospechoso Argumentos: Entero positivo o negativo Ejemplos: timeskew -24 Tipo: alert_db Descripcin: Base de datos HASH de lo 'daido conocido' Argumentos: Ruta a la Base de datos Ejemplos: alert_db /usr/local/forensics/databases/linux-rootkits.md5 Tipo: exclude_db Descripcin: Base de datos de lo 'bueno conocido' Argumentos: Ruta a la Base de datos Ejemplos: alert_db /usr/local/forensics/databases/redhat-8.0.md5 Despus de que la imagen ha sido aadida al host, el usuario no necesita permisos de escritura al directorio images. Sin embargo todos los usuarios podran necesitar permisos de escritura al directorio output. Todos los usuarios necesitan permisos de lectura, escritura y ejecucin para el directorio logs, y cada usuario necesita permisos de escritura y lectura para un log especfico y archivo de notas. Todos los usuarios podran necesitar permisos de escritura al archivo general de suscesos del host. Todos los usuarios podran necesitar permisos de lectura y escritura al archivo de configuracin del host.

Detalles de la imagen Cada imagen debe estar localizada en el directorio images del directorio host. All se debe ubicar cualquier imagen reciente o un enlace simblico a la imagen. Como se ha visto previamente, los detalles de la imgen tales como punto de montaje y tipo de sistema de archivos son guardados en el archivo de configuracin del host, host.aut. Cuando el archivo de imagen es analizado, todos los datos de salida son guardados en el directorio output. Sn embargo, el directorio images debe tener permisos de solo lectura despus de que todas las imgenes son aadidas. Detalles de Registro de sucesos El directorio repositorio de evidencia contiene un registro, autopsy.log, con entradas de las veces en que se ha iniciado y detenido Autopsy. Este registro identifica cuando Autopsy fu iniciado, en que puerto, y en que host. Los registros del caso son almacenados en el directorio del caso con el nombre case.log. El registro contiene una entrada del momento de la creacin del caso, cuando es abierto, y cuando los hosts en el caso fueron abiertos. Se almacenan tambin otras acciones en el archivo de registro del host. Aqu hay dos tipos de archivos de registro del host. Ambos son guardados en el directorio del host. El archivo host.log en el archivo de registro genrico de host y tiene entradas del momento en que el host es abierto y el momento en que las imagenes son abiertas. El directorio log tambin contiene un archivo de registros para cada investigador. El archivo de registros es nombrado con el nombre del investigador y una extensin .log. Este contiene entradas de todas las acciones realizadas por un usuario especfico, tales como cual directorios son listados y que archivos son vistos. Cualquier nota creada por el investigador es guardado en un archivo de texto en el directorio logs. El archivo es nombrado con el nombre del investigador y extensin .notes. La siguiente tabla muestra cuales registros grabados dan un alto nivel de accin. Inicio de Autopsy - Registro de almacn de evidencia Creacin del caso - Registro de caso Apertura de caso - Registro de caso Creacin de host - Registro de caso, Registro de log Apertura de host - Registro de caso, Registro de log, Registro del investigador Creacin de imagen - Registro de host Apertura de imagen - Registro de host, Registro del investigador Listado de directorio - Registro del invesigador Visualizacin de archivos - Registro del invesigador Visualizacin de Meta Datos - Registro del invesigador Visualizacin de unidades de datos - Registro del invesigador Bsqueda de palabras clave - Registro del invesigador Ordenamiento de tipo de archivo - Registro del invesigador Creacin de lneas de tiempo - Registro del invesigador Cracin de notas - Registro del invesigador, Notas del investigador Conclusin Autopsy 1.70 integra el manejo del caso en su diseo. El manejo del caso ha sido

diseado para facilitar a los investigadores la utilizacin de otras herramientas y ver la configuracin utilizando herramientas de edicin de texto estndar. Las futuras versiones de Autopsy integrarn habilidades de modificacin desde la interfz grfica.

Secuenciador de eventos: Los eventos basados en tiempos pueden ser aadidos desde un archivo de actividad o registro de IDS (Sistema Detector de Intrusos) y Firewall (cortafuegos). Autopsy ordena los eventos de tal manera que la secuencia de eventos de incidentes pueda determinarse facilmente.

imagen 11

Notas: Las anotaciones pueden ser guardadas en base al investigador o al host. Esto permite realizar notas rpidas sobre archivos y estructuras. La ubicacin original puede ser recordada fcilmente con el click de un botn cuando las notas sean revisadas posteriormente. Todas las notas con almacenadas en un archivo ASCII.

imagen 12

Integridad de la imagen: Es crucial asegurarse que no se modificacn los archivos durante el anlisis. Autopsy, por defecto, genera un valor MD5 para todos los archivos que son importados o creados. La integridad de cualquier archivo utilizado por Autopsy puede ser verificado en cualquier momento.

imagen 13

Reportes: Autopsy puede crear reportes de archivos ASCII y otras estructuras del sistema de archivos. Esto permite que se hagan hojas de datos rpidas y consistentes durante la investigacin

Registros: Los registros de auditora se crean sobre un caso, host o investigador, de esta manera se pueden recordar las acciones facilmente. El comando exacto que se ejecutad de The Sleuth Kit es tambin registrado. Diseo Abierto: El cdigo de Autopsy es Cdigo abierto (Open Source ) y todos los archivos que son utilizados estn en un formato en bruto. Todos los archivos de configuracin estn en texto ASCII y se organizan los casos en directorios. Esto facilita el exportacin los datos y su archivado. Esta no restringe la posibilidad de utilizar otras herramientas para resolver apropiadamente problemas especficos. Modelo Cliente Servidor: Autopsy est basado en HTML, y por ello no se tiene que estar en el mismo sistema donde residen las imagenes del sistema de archivos. Esto permite que varios investigadores utilicen el mismo servidor y puedan conectarse desde sus sistemas personales. Autopsy est escrito en Perl y se ejecuta sobre las mismas plataformas UNIX de Sleuth Kit: Linux Mac OS X Open & FreeBSD Solaris Pagina de Manual de Autopsy
Sinopsis: autopsy [-c] [-C] [-d evid_locker] [-i dispositivo sistema de archivos mnt] [-p puerto] [addr] Descripcin: Por defecto Autopsy inicia el Navegador Forense Autopsy en el puerto 9999 y acepta conexiones desde el host local. Si -p puerto es definido, entonces el servidor abre en ese puerto, y si addr es definido, entonces las conexiones son solo aceptadas desde ese host. Cuando el argumento -i es definido, entonces Autopsy entra en modo de anlisis en vivo. Los argumentos son los siguientes: -c Fuerza al programa a utilizar siempre cookies para localhost. -C Fuerza al programa a no utilizar cookies para el host remoto. -d evid_locker

Directorio donde los casos y hosts son almacenados. Esto elimina el valor de LOCKDIR en conf.pl . La ruta debe de ser absoluta (iniciar con /). -i dispositivo sistema de archivos mnt Especifica la informacin del modo de anlisis en vivo. Puede ser especificado cuantas veces sea necesario. El campo dispositivo es para el sistema de archivos del dispositivo en bruto, el campo sistema de archivos es para el sistema de archivos, y el campo mnt es para el punto de montaje de el sistema de archivos. -p puerto El puerto TCP donde el server atender. addr Direccion IP o nombre del host donde el investigador esta localizado. Si localhost es utilizado, entonces localhost debe ser utilizado en la URL. Si se utiliza un hostname o IP ser rechazado. Cuando es iniciado, el programa mostrar un URL para pegarla en un navegador HTML. El navegador debe soportar cuadros y formularios. El navegador Forense Autopsy permite al investigador analizar imagenes generadas por dd en busca de evidencia. El programa permite analizar navegando en archivos, bloques, inodos, o por bsqueda de bloques. El programa tambin genera reportes Autopsy que incluyen tiempo de recoleccin, nombre del investigador, y valores hash MD5.

Conclusin: Todo lo detallado en el presente documento solo reinvindica el poder y utilidad de Autopsy para facilitar el trabajo del investigador. As tambien, pone de manifiesto los conocimientos previos que se necesitan poseer para adecuada utilizacin. Siempre expreso a mis oyentes o lectores la siguiente frase, con la cual cierro el presente documento: La herramienta no es mgica, no la ejecutars y te dira si se realiz tal accin o no. Es el investigador el cual aplica sus conocimientos y experiencia al utilizar la herramienta y conseguir la evidencia que requiere.

Dedicatoria: A mi familia y a mis amigos de la PNP .

e-mail: ReYDeS@gmail.com Sitio web: http://alonsocaballero.informatizate.net

Basado en el documento: http://www.sleuthkit.org/autopsy/desc.php