O SleuthKit (TSK) é uma coleção de ferramentas de linha de comando que permitem que você investigue o conteúdo de sistemas de arquivos.
Obtendo:
O pacote oficial com os fontes pode ser obtido em: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Os pacotes compilados para o Debian/Ubuntu pode ser obtidos em:
Libtsk3
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Sleuthkit
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Autopsy 2.20
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Vamos lá…
Baixe os pacotes e instale-os:
dpkg -i libtsk3-3_3.0.0-1_i386.deb
dpkg -i sleuthkit_3.0.0-1_i386.deb
Copie e extraia autopsy-2.20.tar.bz2 para /usr/local
cp autopsy-2.20.tar.bz2 /usr/local/
cd /usr/local/
tar -jxvf autopsy-2.20.tar.bz2
cd autopsy-2.20/
sudo ./configure
aderbal@fenix:/usr/local/autopsy-2.20$ sudo ./configure
Autopsy Forensic Browser Installation
perl found: /usr/bin/perl (version 5.008008)
autopsy already exists, overwrite? (y/n):
y
Digite y e pressione enter;
A configuration file already exists, overwrite? (y/n):
y
Digite y e pressione enter;
—————————————————————
grep found: /bin/grep
file found: /usr/bin/file
md5 found: /usr/bin/md5sum
sha1 found: /usr/bin/sha1sum
—————————————————————
Searching for Sleuth Kit Installation.
Found in: /usr/bin/
Version 3.0.0 found
Required version found
—————————————————————
The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
n
Caso tenha uma cópia da NSRL digite y e indique o caminho
Projeto Americano que promove a utilização das tecnologias em inquérito de crimes que envolvam computadores.
Caso não tenha digite n e continue a instalação.
—————————————————————
Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.
Enter the directory that you want to use for the Evidence Locker:
/home
Indique o diretório onde o autopsy gravará os arquivos gerados pelas investigações.
Baixe o script autopsy.sh
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
E copie para /usr/local/bin/
Dê permisão para execução
chmod +x /usr/local/bin/autopsy.sh
Agora é ir para o abraço e rodar, sudo autopsy.sh
Obtendo:
O pacote oficial com os fontes pode ser obtido em: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Os pacotes compilados para o Debian/Ubuntu pode ser obtidos em:
Libtsk3
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Sleuthkit
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Autopsy 2.20
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Vamos lá…
Baixe os pacotes e instale-os:
dpkg -i libtsk3-3_3.0.0-1_i386.deb
dpkg -i sleuthkit_3.0.0-1_i386.deb
Copie e extraia autopsy-2.20.tar.bz2 para /usr/local
cp autopsy-2.20.tar.bz2 /usr/local/
cd /usr/local/
tar -jxvf autopsy-2.20.tar.bz2
cd autopsy-2.20/
sudo ./configure
aderbal@fenix:/usr/local/autopsy-2.20$ sudo ./configure
Autopsy Forensic Browser Installation
perl found: /usr/bin/perl (version 5.008008)
autopsy already exists, overwrite? (y/n):
y
Digite y e pressione enter;
A configuration file already exists, overwrite? (y/n):
y
Digite y e pressione enter;
—————————————————————
grep found: /bin/grep
file found: /usr/bin/file
md5 found: /usr/bin/md5sum
sha1 found: /usr/bin/sha1sum
—————————————————————
Searching for Sleuth Kit Installation.
Found in: /usr/bin/
Version 3.0.0 found
Required version found
—————————————————————
The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
n
Caso tenha uma cópia da NSRL digite y e indique o caminho
Projeto Americano que promove a utilização das tecnologias em inquérito de crimes que envolvam computadores.
Caso não tenha digite n e continue a instalação.
—————————————————————
Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.
Enter the directory that you want to use for the Evidence Locker:
/home
Indique o diretório onde o autopsy gravará os arquivos gerados pelas investigações.
Baixe o script autopsy.sh
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
E copie para /usr/local/bin/
Dê permisão para execução
chmod +x /usr/local/bin/autopsy.sh
Agora é ir para o abraço e rodar, sudo autopsy.sh
Comment