Análisis Forense Digital con Autopsy

Informe de Análisis Forense: El Caso John Doe

Ejercicio diseñado para poner en práctica conocimientos de análisis forense digital con Autopsy, a partir del análisis de una imagen .E01 obtenida desde un sistema Windows sospechoso.

🌱 ¿Cómo empezar este proyecto?

En este laboratorio simularás el rol de un analista forense digital que recibe una imagen .E01 segmentada, creada previamente con FTK Imager en Windows.

ℹ️ Si deseas aprender cómo se creó la imagen .E01, consulta el artículo complementario: Cómo generar una imagen forense .E01 con FTK Imager

Tu objetivo será:

• Descargar la imagen .E01 segmentada. descarga aquí
• Analizar esa imagen en Autopsy.
• Investigar posibles evidencias de fuga de información.

Parte 1 – Análisis con Autopsy

1. Abre Autopsy y selecciona "New Case".

2. Carga la imagen .E01 como disk image or VM file. No necesitas importar cada una de las imagenes segmentadas por separado, solo selecciona el archivo .E01 y el resto se carga automáticamente, ya que Autopsy detecta automáticamente todos los segmentos asociados, siempre y cuando estén en la misma carpeta y tengan nombres secuenciales

3. Ejecuta los siguientes módulos:

   • File Metadata
   • Recent Activity
   • Web Artifacts
   • Deleted Files
   • Keyword Search

Explora artefactos como: archivos comprimidos, historial de archivos abiertos, navegación sospechosa, prefetch de 7-Zip, papelera de reciclaje y timeline.

Parte 2 - Informe técnico del Análisis Forense

A continuación, deberás completar un informe estructurado con tus hallazgos. Cada sección contiene una breve explicación para ayudarte a redactar una presentación clara, profesional y basada en evidencia.

1. Introducción

Redacta un resumen general del caso. Incluye:

• El contexto: ¿quién es el sospechoso? ¿Qué tipo de incidente se investiga?
• El objetivo de tu análisis.
• Qué tipo de evidencia recibiste (una imagen .E01) y cómo fue procesada.

Ejemplo:
Se analiza una posible filtración de información cometida por el usuario interno johndoe. Para ello se examina una imagen forense .E01 extraída de un sistema Windows Server 2019. El objetivo es identificar rastros de manipulación de archivos sensibles, compresión, navegación a sitios de transferencia y posible eliminación de evidencia.

2. Herramientas Utilizadas

Lista todas las herramientas empleadas durante tu investigación. Incluye tanto software forense como complementario.

Ejemplo:

• Autopsy 4.x
• Visualizador de archivos ZIP (7-Zip, WinRAR, etc.)
• HashMyFiles (opcional)
• Navegador web (para búsquedas)

3. Evidencias Relevantes

Describe de forma clara las pruebas encontradas que indiquen actividad maliciosa o sospechosa. Organízalo en subapartados:

a. Archivos manipulados

• Archivos abiertos o accedidos recientemente.
• Rutas, nombres y horarios.

b. Compresión

• Evidencia de uso de software como 7-Zip.
• Archivo comprimido encontrado (backup.zip).
• Contenido y ruta del ZIP.

c. Navegación sospechosa

• Historial de sitios web (wetransfer, mega, etc.).
• Indicadores de intención de fuga.

d. Eliminación de rastros

• Archivos eliminados encontrados en la papelera o recuperados.
• Logs del sistema que muestren actividad reciente.

e. Prefetch y artefactos

• Archivos de prefetch que demuestran ejecución de programas clave (7-Zip, Notepad, navegador).
• Tiempo aproximado de ejecución.

4. Línea de Tiempo (Timeline)

Reconstruye los eventos clave en orden cronológico. Usa metadata de archivos, prefetch y actividad reciente.

Ejemplo:

11:55 – Archivo sensible es accedido desde una ruta inusual  
12:03 – Se detecta creación de un archivo comprimido en una carpeta de usuario  
12:11 – Actividad de navegación hacia servicios de transferencia de archivos  
12:18 – Se registran acciones de eliminación en el sistema  
12:25 – Evento de apagado limpio registrado por el sistema  

5. Conclusiones

Redacta tus conclusiones como si presentaras tu informe a un superior o cliente:

• ¿Se evidencia una posible fuga?
• ¿Cuál fue el método utilizado?
• ¿Qué usuario estuvo involucrado?
• ¿Qué grado de intención o premeditación se puede inferir?

Evita opiniones personales: tu análisis debe basarse en evidencia concreta.

6. Anexos

Incluye cualquier recurso adicional que respalde tu investigación:

• Capturas de pantalla relevantes.
• Hashes de archivos clave.
• Rutas absolutas encontradas.
• Fragmentos de logs, si corresponde.

📦 ¿Cómo entregar este proyecto?

El informe realizado debe ser entregado en PDF a través de la plataforma de la academia.