Problema para guardar casos en Sleuthkit/Autopsy

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Problema para guardar casos en Sleuthkit/Autopsy

Notapor gnomius » Dom Feb 08, 2009 8:48 pm

Hola,

Tengo un problemilla, he estado consultando por la web y no encuentro la solución, a ver si alguien me puede echar un cable.

Básicamente es eso: Autopsy no me guarda la información de los casos en el directorio Evidence Locker (en mi caso, situado en /var/lock/autopsy)

Es decir, sí me lo guarda, pero al reiniciar la sesión (de Linux, no simplemente al cerrar Autopsy) los archivos ya no están allí, solamente los subdirectorios vacíos.

He revisado los permisos del directorio y lo he probado abriendo sesión directamente como root, pero nada...

¿Alguna idea?

Muchas gracias por adelantado,

Gnomius
gnomius
:-)
:-)
 
Mensajes: 39
Registrado: Lun Abr 07, 2008 6:25 am

Notapor SLaYeR » Dom Feb 08, 2009 10:30 pm

Lo estas ejecutando con un Linux instalado o estas con un Live CD???
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor gnomius » Dom Feb 08, 2009 11:32 pm

Instalado, instalado. Es un OpenSUSE 10.3
gnomius
:-)
:-)
 
Mensajes: 39
Registrado: Lun Abr 07, 2008 6:25 am

Notapor neofito » Mar Feb 10, 2009 12:06 am

Hola

Mira a ver si los tiros van por aqui. Suerte!

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor gnomius » Mar Feb 10, 2009 6:43 pm

Hola neofito, gracias por contestar.

Me he estado mirando el link, pero no sé si sería el mismo problema que yo tengo. Si fuera eso, me fallarían todas las operaciones de escritura en el disco, ¿no?

Solamente me pasa con Autopsy. De hecho, SÍ guarda los archivos en /var/lock/autopsy. Pero cuando al día siguiente miro, están los directorios creados, pero vacíos de archivos.

Por ejemplo, está el subdirectorio con el nombre del caso, y dentro el subdirectorio con el nombre del host, y dentro están correctamente creados /images, /output, etc... pero ni un solo archivo dentro de ellos. :?
gnomius
:-)
:-)
 
Mensajes: 39
Registrado: Lun Abr 07, 2008 6:25 am

Notapor neofito » Mar Feb 10, 2009 9:10 pm

gnomius escribió:Solamente me pasa con Autopsy. De hecho, SÍ guarda los archivos en /var/lock/autopsy. Pero cuando al día siguiente miro, están los directorios creados, pero vacíos de archivos.


Hace algun tiempo que no "juego" con autopsy pero hay un documento por aqui que hice algun tiempo con un ejemplo muy basico de su uso.

De todas formas, me suena que los directorios lock en linux contienen ficheros de bloqueo que solo estan presentes durante el uso de la aplicacion. ¿Estas seguro que esos son los ficheros con los datos del analisis?

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor gnomius » Mié Feb 11, 2009 5:48 pm

neofito escribió:Hace algun tiempo que no "juego" con autopsy pero hay un documento por aqui que hice algun tiempo con un ejemplo muy basico de su uso.


Sí, de hecho con ese tutorial tuyo me inicié. ;)


Pues efectivamente era eso. He probado a iniciar el programa con:

Código: Seleccionar todo
autopsy -d /otro_directorio


Y me guarda los archivos correctamente. Lo que sigo sin entender es por qué la instalación por defecto de Autopsy te configura /var/lock/autopsy como Evidence Locker por defecto, si allí no se puede guardar nada... :?

Ahora solamente me falta cambiar el directorio por defecto en /usr/share/autopsy/conf.pl y supongo que funcionará.

Muchas gracias, neofito.


Por cierto, quizá se sale del tema inicial un poco, pero aprovechando que te tengo por aquí... ¿conoces este otro front-end para Sleuth Kit?

http://ptk.dflabs.com/

No sé, tiene buena pinta. ¿Lo conoces y/o recomiendas su uso?

Saludos y gracias de nuevo! :)
gnomius
:-)
:-)
 
Mensajes: 39
Registrado: Lun Abr 07, 2008 6:25 am

Notapor neofito » Mié Feb 11, 2009 6:34 pm

gnomius escribió:Sí, de hecho con ese tutorial tuyo me inicié. ;)


Me alegra mucho haber conseguido despertar tu interes.

gnomius escribió:Por cierto, quizá se sale del tema inicial un poco, pero aprovechando que te tengo por aquí... ¿conoces este otro front-end para Sleuth Kit?

http://ptk.dflabs.com/

No sé, tiene buena pinta. ¿Lo conoces y/o recomiendas su uso?


Pues llevo algo de tiempo oyendo hablar muy bien de el, pero lo tengo en pendientes. Espero poder ponerme en breve, dado que estoy empezando a jugar con el tema del clonado y posterior analisis de discos dinamicos de Windows.

Saludos

PD: Me alegro de que lo hayas solucionado
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor neofito » Vie Feb 13, 2009 12:12 am

yo mismo escribió:Pues llevo algo de tiempo oyendo hablar muy bien de el, pero lo tengo en pendientes. Espero poder ponerme en breve, dado que estoy empezando a jugar con el tema del clonado y posterior analisis de discos dinamicos de Windows.


Bueno, al final he sacado un ratito y he probado ptk en una instalacion de Fedora 10. Salvando algunas modificaciones manuales que he tenido que hacer para que localice los binarios de sleuthkit la instalacion es muy sencilla.

Mis primeras impresiones son realmente buenas, a ver si saco otro ratito y escribo un articulo.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor neofito » Mié Feb 18, 2009 12:08 am

La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor gnomius » Mié Feb 18, 2009 2:42 am

OH, perfecto, muchas gracias neofito!! Voy a probarlo en cuanto pueda! :D
gnomius
:-)
:-)
 
Mensajes: 39
Registrado: Lun Abr 07, 2008 6:25 am


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron