Para realizar un análisis forense de dispositivos móviles con Autopsy, es necesario usar complementos adicionales o módulos que permitan el análisis específico de datos móviles. Aunque Autopsy, por sí misma, es una excelente herramienta de análisis forense digital de código abierto, no está diseñada específicamente para el análisis de dispositivos móviles como lo hacen herramientas como Cellebrite UFED o XRY. Sin embargo, con el complemento adecuado, puedes obtener resultados útiles para el análisis de móviles.
Complemento adecuado para el análisis de dispositivos móviles en Autopsy:
- Autopsy Mobile Device Analysis Module (Android & iOS)Descripción: Existen módulos específicos para la análisis de dispositivos móviles que se pueden agregar a Autopsy. Uno de estos módulos es el Mobile Device Analysis Module, que permite la extracción e interpretación de datos de dispositivos Android e iOS.
- Características:
- Análisis de sistemas de archivos de dispositivos Android e iOS.
- Extracción de mensajes de texto, registros de llamadas, contactos, fotos, videos y otros datos.
- Recuperación de archivos borrados si es posible a partir de la imagen forense.
- Análisis de aplicaciones de mensajería como WhatsApp, Telegram, y otras aplicaciones populares en dispositivos móviles.
- Soporta la creación de informes detallados sobre la evidencia encontrada en dispositivos móviles.
- Requiere que tengas una imagen forense del dispositivo móvil para trabajar.
- No es tan avanzado como las herramientas comerciales especializadas en forense móvil como Cellebrite UFED.
- Características:
- Plataformas de código abierto y complementos Aunque Autopsy es un excelente punto de partida, existen otros módulos y plataformas que puedes integrar para mejorar el análisis móvil:
- The Sleuth Kit (TSK): TSK es la base sobre la cual Autopsy está construido y tiene complementos y herramientas para trabajar con datos de dispositivos móviles. Puedes usar TSK para realizar análisis forenses de imágenes de dispositivos móviles, siempre que estén en un formato compatible como RAW o E01.
- Libyalog: Este complemento permite el análisis de archivos de log de aplicaciones y dispositivos móviles. Es útil para analizar los registros de actividad en dispositivos móviles.
- Herramientas de análisis externo para crear imágenes de dispositivos móviles: Aunque Autopsy puede hacer mucho, para realizar la extracción de datos de un dispositivo móvil necesitarás herramientas externas que puedan generar una imagen forense primero. Algunas herramientas que puedes usar en combinación con Autopsy son:
- ADB (Android Debug Bridge): Utilizado para acceder al sistema de archivos de un dispositivo Android. Si tienes acceso al dispositivo (por ejemplo, si está en modo de depuración), puedes extraer los datos y crear una imagen forense para analizarla en Autopsy.
- FTK Imager: Aunque FTK Imager no es ideal para dispositivos móviles, puede ser útil para crear imágenes de almacenamiento conectado a dispositivos móviles (por ejemplo, tarjetas SD), las cuales pueden ser analizadas más tarde con Autopsy.
- Oxygen Forensics: Oxygen Forensics también ofrece herramientas específicas para extraer datos de dispositivos móviles y convertir esos datos en imágenes que pueden ser analizadas con Autopsy.
- Mobile Forensics with The Sleuth Kit (TSK)Descripción: Si estás familiarizado con TSK (The Sleuth Kit), puedes utilizarlo en conjunto con Autopsy para análisis forenses de dispositivos móviles. Aunque TSK no es tan completo como las soluciones comerciales de forense móvil, tiene algunas funcionalidades útiles para extraer información de sistemas de archivos móviles.
- Funcionalidades:
- Extracción de datos de almacenamiento interno de dispositivos Android e iOS.
- Recuperación de archivos borrados.
- Recuperación de artefactos móviles como contactos, mensajes, fotos, etc.
- Análisis de archivos SQLite utilizados en aplicaciones móviles.
- Necesitas tener la imagen forense del dispositivo móvil para trabajar.
- Las capacidades de TSK son limitadas en comparación con las herramientas comerciales para forense móvil.
- Funcionalidades:
Pasos para trabajar con Autopsy y el análisis móvil:
- Crear una imagen forense del dispositivo móvil:
- Usa herramientas como ADB, Oxygen Forensics, FTK Imager, o XRY para extraer una imagen del dispositivo móvil o crear una copia forense de los datos que deseas analizar.
- Instalar Autopsy y los complementos necesarios:
- Instala Autopsy y el módulo de análisis móvil (si disponible). Si no está incluido por defecto, verifica si puedes descargarlo desde la comunidad de Autopsy o integrarlo a través de The Sleuth Kit.
- Cargar la imagen forense en Autopsy:
- Inicia un nuevo caso en Autopsy y selecciona la imagen forense del dispositivo móvil como evidencia. Autopsy analizará los archivos y extraerá los artefactos relevantes.
- Realizar el análisis forense:
- Usa las herramientas de Autopsy para revisar los archivos recuperados, los mensajes de texto, los registros de llamadas, las fotos y cualquier otro dato relevante. Examina los metadatos, los archivos eliminados y los artefactos de aplicaciones de mensajería.
- Generar un informe forense:
- Una vez que hayas analizado la imagen forense, genera un informe detallado con las pruebas encontradas. Este informe debe incluir todos los hallazgos y ser adecuado para su presentación en un tribunal si es necesario.
Conclusión:
Si bien Autopsy puede no ser tan avanzado en términos de análisis de dispositivos móviles como Cellebrite UFED o XRY, con los complementos adecuados y el uso de herramientas adicionales, puedes realizar análisis forenses efectivos de datos extraídos de dispositivos móviles. Las herramientas como The Sleuth Kit, ADB, y otros módulos pueden ser complementos útiles para realizar extracciones y análisis forenses de dispositivos móviles en un entorno de código abierto. Sin embargo, para análisis avanzados y extracciones físicas de dispositivos móviles, herramientas comerciales siguen siendo más efectivas.
