Thiago Teixeira
EN | PT

Autopsy / TSK

Basis Technology

Plataforma forense digital open-source baseada no The Sleuth Kit, para análise de imagens de disco.

Forense Digital e Resposta a Incidentes Gratuito e Open Source GUI Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Autopsy é o front-end gráfico do The Sleuth Kit (TSK), a principal biblioteca open-source de forense de disco. É a alternativa gratuita de fato ao EnCase/FTK para análise dead-box e amplamente usada por polícia técnica e educação.

Módulos a conhecer:

  • Timeline — MAC times combinados de FS + logs.
  • Hash Lookup — NSRL e conjuntos custom para ignorar good knowns.
  • Keyword Search indexada.
  • Web Artifacts — histórico/cookies/cache.
  • Registry / Recent Activity — integração RegRipper.
  • PhotoRec carving e EXIF.

Casos de uso

  • Análise dead-box de imagem adquirida
  • Reconstrução de timeline para relatório
  • Hash-matching de evidências contra listas de IOC