Instalando o SleuthKit 3.0 e Autopsy 2.20 no Fdtk.

Autor: pneukamp Neukamp  //  Categoria: SleuthKit


O SleuthKit (TSK) é uma coleção de ferramentas de linha de comando que permitem que você investigue o conteúdo de sistemas de arquivos.
Obtendo:
O pacote oficial com os fontes pode ser obtido em: http://www.sleuthkit.org/
Os pacotes compilados para o Debian/Ubuntu pode ser obtidos em:
Libtsk3
wget http://aderbal.pycontrole.com.br/forense/libtsk3-3_3.0.0-1_i386.deb
Sleuthkit
wget http://aderbal.pycontrole.com.br/forense/sleuthkit_3.0.0-1_i386.deb
Autopsy 2.20
wget http://aderbal.pycontrole.com.br/forense/autopsy-2.20.tar.bz2
Vamos lá…
Baixe os pacotes e instale-os:
dpkg -i libtsk3-3_3.0.0-1_i386.deb
dpkg -i sleuthkit_3.0.0-1_i386.deb
Copie e extraia autopsy-2.20.tar.bz2 para /usr/local
cp autopsy-2.20.tar.bz2 /usr/local/
cd /usr/local/
tar -jxvf autopsy-2.20.tar.bz2
cd autopsy-2.20/
sudo ./configure

aderbal@fenix:/usr/local/autopsy-2.20$ sudo ./configure

Autopsy Forensic Browser Installation

perl found: /usr/bin/perl (version 5.008008)
autopsy already exists, overwrite? (y/n):

y

Digite y e pressione enter;

A configuration file already exists, overwrite? (y/n):
y

Digite y e pressione enter;

—————————————————————

grep found: /bin/grep
file found: /usr/bin/file
md5 found: /usr/bin/md5sum
sha1 found: /usr/bin/sha1sum

—————————————————————

Searching for Sleuth Kit Installation.
Found in: /usr/bin/
Version 3.0.0 found
Required version found

—————————————————————

The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
http://www.nsrl.nist.gov
n
Caso tenha uma cópia da NSRL digite y e indique o caminho
Projeto Americano que promove a utilização das tecnologias em inquérito de crimes que envolvam computadores.
Caso não tenha digite n e continue a instalação.

—————————————————————

Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.

Enter the directory that you want to use for the Evidence Locker:

/home

Indique o diretório onde o autopsy gravará os arquivos gerados pelas investigações.
Baixe o script autopsy.sh
wget http://aderbal.pycontrole.com.br/forense/autopsy.sh
E copie para /usr/local/bin/
Dê permisão para execução
chmod +x /usr/local/bin/autopsy.sh
Agora é ir para o abraço e rodar, sudo autopsy.sh

Pasco – Registro de atividades do IE

Autor: Paulo Neukamp  //  Categoria: Dicas


A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.

Existem duas maneiras de executar a ferramenta Pasco:

Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0x80. Este modo pode recuperar atividades que não foram encontradas no modo normal.

Os parâmetros do comando Pasco são relativamente simples:

# ./pasco

Usage: pasco [options] <filename>

-d Undelete Activity Records

-t Field Delimiter (TAB by default)

O parâmetro "-d" aciona o modo recuperação.

O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é Ler mais…

4 visitantes online agora
1 visitantes, 3 bots, 0 membros
Máx. de visitantes hoje: 9 às 12:04 am UTC
Este mês: 35 às 10-08-2019 03:29 pm UTC
Este ano: 35 às 09-17-2019 05:56 pm UTC
No total: 35 às 09-17-2019 05:56 pm UTC