Para los que no lo conocen autopsy y sleuthkit jntos son la interfaz y el software necesarios para poder realizar un analisis forense informatico y tambien para poder recuperar archivos borrados.
En este ejemplo es para poder instalarlo y ejecutarlo desde debian.
Se encuentra en los repositorios de debian, claro que si quieren una version mas nueva ya saben desde la pagina de www.sleuthkit.com.
aptitude install autopsy sleuthkit
alli ya se instala y listo para usar: ahora bien, para ejecutarlo solo hay que ir al termina y escribir
autopsy
aparecera lo siguiente:
============================================================================
Autopsy Forensic Browser
http://www.sleuthkit.org/autopsy/
ver 2.08
============================================================================
Evidence Locker: /var/lib/autopsy
Start Time: Tue Aug 3 11:52:31 2010
Remote Host: localhost
Local Port: 9999
Open an HTML browser on the remote host and paste this URL in it:
http://localhost:9999/autopsy
Keep this process running and use <ctrl-c> to exit
con eso ya esta funcionano. solo hay que entrar en la pagina que nos dice osea
http://localhost:9999/autopsy
alli abrimos un caso y luego la imagen del disco que queremos recuperar o analizar
para crea una imagen de disco en linux debemos primero saber como se llama la particion
fdisk -l
Disco /dev/sdb: 1000.2 GB, 1000204886016 bytes
255 heads, 63 sectors/track, 121601 cylinders
Units = cilindros of 16065 * 512 = 8225280 bytes
luego creamos con dd la imagen del disco
dd if=/dev/sdb of=/home/miperfil/imagen.dd
y listo a seguir con autopsy
agregamos la imagen y le decimos analizar