Instalando Sleuthkit e Autopsy no Debian 7

Opa, e aí galera

Tudo bem?
Eu recebi alguns emails me perguntando como instalar a suíte sleuthkit no debian. De antemão, podemos instalar o sleuthkit com a ferramenta automatizada do debian: apt-get install sleuthkit.
Porém, com este procedimento, não iremos instalar a útlima versão da ferramenta. Ou seja, não estaremos instalando a versão mais atualizada.

Por isso, eu vou mostrar neste post como instalar o sleuthkit a partir do código fonte. Assim, estaremos instalando a versão mais atual da ferramenta.

Pra este post, eu instalei o debian 7. Depois de instalado, atualizei o sistema com os comandos "apt-get install update ; apt-get install upgrade".
Depois disso, digitei o comando: apt-get install build-essential


Depois, eu descompactei o sleuthkit que baixei do próprio site da ferramenta. Durante este post, a versão mais atual e estável da ferramenta é a versão 4.0.1. Muito bem, é esta a versão que vou instalar no meu sistema. Para descompactar, eu usei o comando: tar -xzvf sleuthkit-4.1.0.tar.gz


O comando anterior vai gerar um diretório chamado sleuthkit-4.0.1. O próximo passo é entrar neste diretório e aí começar a compilar a ferramenta.


Pronto, agora podemos iniciar o processo de compilação do sleuthkit. Eu volto a falar que escolhi compilar a ferramenta porque assim estarei instalando no meu sistema operacional (Debian 7) a versão mais atualizada. Fazendo uso do comando apt-get install sleuthkit, eu também estarei instalando a ferramente, mas não é a versão mais atual. Beleza?
Então, neste momento, eu digitei o comando: ./configure


Depois disso, digitei o comando: make


O comando anterior leva alguns minutos para ser executado por completo. Depois do comando make ter terminado, o último comando a ser digitado é: make install


Pronto!
A ferramenta foi instalada e já está pronta para ser usada.
Para testar a ferramenta, podemos usar um dos seus comandos e ver qual q versão está instalada no sistema. Conforme a próxima figura, podemos ver que a versão instalada é a 4.0.1


Agora que o sleuthkit está instalado, podemos instalar também o Autopsy que é um front-end para o sleuthkit. Só que esta ferramenta é em HTML. É uma ferramenta bem bacana de se usar.
No momento que estou escrevendo este post, a versão atual para linux é a 2.24. A versão 3 só tem pra Windows.

Vamos fazer o download do Autopsy lá do site. Podemos notar que o arquivo possui extensão .tar.gz: autopsy-2.24.tar.gz.
Eu vou descompactar o arquivo com o comando: tar -xzvf autopsy-2.24.tar.gz


O próximo passo agora é entrar no diretório que foi criado.


Agora, nós vamos criar um diretório onde a ferramenta salva arquivos de configuração, logs, etc. Este diretório é o Evidence Locker.


Agora, iremos digitar o comando: ./configure.
A ferramenta vai nos pedir se queremos usar a biblioteca NSRL (National Software Reference Library) do NIST. Na imagem a seguir, nós vamos escolher a opção "n", que significa que não vamos usá-la.


Neste momento a ferramenta nos pergunta qual o diretório do Evidence Locker. No meu caso, estou indicando que este diretório é: /home/anderson/Evidence_Locker


Pronto, agora a ferramenta foi instalada com exito.
Vamos iniciar o autopsy digitando na linha de comando: ./autopsy


Como eu disse que o autopsy é em HTML, vamos abrir algum browser e digitar no campo de endereço de URL: http://localhost:9999/autopsy


Pronto, podemos acessar a ferramenta, adicionar um caso e partir para a análise.

Bom, é isso, galera
Espero que este post possa ser útil para quem precisar instalar estas 2 ferramentas no seu sistema.
Existe um outro post em um outro blog que mostra exatamente estes mesmos passos que eu mostrei aqui: http://shankaraman.wordpress.com/2012/11/16/how-to-install-autopsy-and-sleuthkit-in-ubuntu/

Um abração e até a próxima!

Nenhum comentário:

Postar um comentário