Notas sobre la instalación y el uso de Autopsy.
Contenido
Introducción
Aquí describo el uso de Autopsy, que se basa en herramientas de recuperación de datos y análisis de disco que se encuentran en The Sleuth Kit. Las herramientas de The Sleuth Kit son de línea de comandos y Autopsy permite acceder a estas a través de una GUI para facilitar la recuperación, el análisis y la generación de informes de discos y archivos bajo estudio.
En conjunto, la funcionalidad que se obtiene es:
- Análisis de imágenes de disco: análisis de directorios y archivos, clasificación de archivos, la recuperación de archivos eliminados y la vista previa de archivos.
- Cronogramas de actividad de archivos: creación de cronogramas basados en marcas de tiempo de cuándo se escribieron, accedieron y crearon los archivos.
- Medidas de integridad de imágenes: creación de hashes MD5 del archivo de imagen utilizado, así como de archivos individuales.
- Bases de datos hash: comparación de hashes digitales o huellas digitales de archivos desconocidos (como archivos .exe sospechosos de ser maliciosos) con los de la Biblioteca Nacional de Referencia de Software (NSRL) del NIST.
- Secuenciador de eventos: visualización de eventos ordenados por fecha y hora
- Análisis de archivos: análisis de todo el archivo de imagen para mostrar la información y el contenido del directorio y del archivo.
- Búsqueda de palabras clave: permite realizar búsquedas utilizando listas de palabras clave y listas de expresiones predefinidas.
- Análisis de metadatos: permite ver los detalles de los metadatos y la estructura de los archivos que son esenciales para la recuperación de datos.
Versiones y su instalación
Resulta importante mencionar y saber de las versiones de Autopsy. Por una parte, en Kali Linux, nos encontramos con el Autopsy Forensic Browser, el cual no ha recibido actualizaciones desde hace un tiempo y la última versión distribuida es la 2.24 (que no deja de ser útil de cualquier modo).
Por otro lado, su desarrollo siguió en forma de una aplicación mucho más amigable. Regularmente las referencias a este último desarrollo se hacen simplemente como Autopsy (a veces señalando la versión) y se mantiene Autopsy Forensic Browser para referirse a la vieja interfaz basada en la web.
Autopsy Forensic Browser
Las primeras versiones de Autopsy fueron conocidas como Autopsy Forensic Browser y consistían en una aplicación basada en una interfaz web soportada por un servidor HTTP que se levantaba en forma local. Esta es la versión que se incluye en Kali Linux.
Kali linux
Desde el menú principal de Kali, en la sección forense, se activa el servidor web de Autopsy dando clic en la entrada correspondiente. De no estar en el menú, puede buscarse mediante el campo que está señalado por la lupa entre los íconos de aplicaciones y el menú.
Una vez que el servidor web está activado, basta acceder a la liga del servicio (resaltada en la imagen), escribiéndola en un navegador web, dando clic en ella, copiándola o dando clic derecho sobre ella para abrirla mediante el menú contextual.
El navegador deberá mostrar una página como la siguiente:
macOS
En lo que respecta a esta versión de Autopsy, la mejor alternativa es recurrir a alguno de los dos populares administradores de «ports» o paquetes que existen.
Instalación
Existen dos alternativas para su instalación: vía MacPorts o vía Homebrew.
Via MacPorts
En macOS es posible instalar Autopsy Forensic Browser a través de MacPorts:
$ sudo port install autopsy
Consultar la documentación de MacPorts al respecto.
Via Homebrew
Para la instalación a través de Homebrew:
$ brew install autopsy
Para mayores detalles, consultar la documentación de Homebrew al respecto.
Desinstalación
Dependiendo de la forma de instalación, se realizará su desinstalación. Para el caso de MacPorts, sería:
$ sudo port uninstall autopsy
y para el de Homebrew:
$ brew uninstall autopsy
Autopsy 4
Esta sección se dedica a registrar la instalación, mantenimiento y remoción del producto. Salvo la versión para Windows, cuya distribución se hace con un instalador, en los sistemas operativos tipo Unix se debe proceder a la compilación desde el código fuente.
macOS
En términos de lo que implica una «instalación», se presentan dos escenarios: la instalación por primera vez y una reinstalación. Cabe señalar que Autopsy 4 puede ser construido de varias formas y que, aparentemente, los archivos de configuración y scripts de compilación proporcionan lo necesario para ello. Sin embargo, algunas de estas formas parecen enfocadas al desarrollador del producto más que al usuario final. Aquí se presenta sólo una de estas formas de hacerlo.
Reinstalación (si es el caso)
Para aquellas situaciones en las que Autopsy ya había sido instalado, es posible que los prerrequisitos del proceso de instalación continúen presentes, por lo que conviene antes revisar el estado de ellos con:
$ brew update
y, dependiendo de los resultados de la actualización, también
$ brew upgrade
Además de permitir que el sistema base de Homebrew se actualice, este revisará lo que administra y proveerá indicaciones de cómo proceder con su actualización. Dependiendo de la cantidad, tipo de elementos a actualizar y hardware, esto tomará de algunos minutos a varias horas. Revisar la sección dedicada a la descripción de la desinstalación de la aplicación en estos apuntes para detalles adicionales.
Una vez revisada esta parte, podrá procederse con las actividades de instalación.
Instalación
Tratándose de una instalación por primera vez, es posible que se necesite instalar Xcode Command Line Tools , Homebrew y The Sleuth Kit. Consultar la página de apuntes de The Sleuth Kit para detalles de instalación de todas estas. De ya contar con alguna de estas, es importante validar que se encuentren actualizadas y alineadas con sus dependencias de versión.
Es importante señalar que, si bien existen algunas guías o tutoriales sobre la instalación de Autopsy 4, que incluyen la instalación de The Sleuth Kit, es difícil encontrar una actualizada1,2 y que además provea alguna orientación sobre mucho de lo que no puede resultar como estas muestran. Solamente una vez que se ha cumplido con todos estos prerrequisitos, puede procederse con la instalación de Autopsy 4.
Igualmente, es importante señalar que si bien se podría clonar el repositorio y entonces hacer checkout de la rama de la versión que uno busca, esto implica algunos pasos más para construir el paquete de archivos sobre el cual se llevaría la construcción del software. Estas acciones parecen más orientadas a ser realizadas por el desarrollador para preparar «un paquete de liberación», por lo que la descarga de un release en forma de un archivo ZIP es más práctica.
1. Descarga
El primer paso en la instalación es la descarga del código fuente. Esto puede hacerse desde la página del programa3 o desde su repositorio en GitHub4. Si se hace desde GitHub debe tenerse cuidado de descargar una «versión de liberación».
Hecha la descarga, el archivo se expande y uno debe cambiarse al directorio resultante. Por ejemplo:
$ unzip autopsy-4.22.1_v2.zip
$ cd autopsy-4.22.1
Y es importante colocar los valores requeridos por TSK en las variables de ambiente:
$ export JAVA_HOME="/Library/java/JavaVirtualMachines/liberica-jdk-17-full.jdk/Contents/Home"
$ export openjdk="$JAVA_HOME"
2. Construcción
La preparación de Autopsy 4 consiste en «hacer un setup» de algunas bibliotecas. Esto se logra con:
$ chmod u+x unix_setup.sh
$ ./unix_setup.sh
---------------------------------------------
Checking prerequisites and preparing autopsy:
---------------------------------------------
~/Projects/Autopsy4/autopsy-4.22.1 ~/Projects/Autopsy4/autopsy-4.22.1
Checking for PhotoRec...Checking for Java...found in /Library/java/JavaVirtualMachines/liberica-jdk-17-full.jdk/Contents/Home
Checking for Sleuth Kit Java bindings...found in /usr/local/share/java
Copying sleuthkit-4.14.0.jar into the autopsy directory...done
~/Projects/Autopsy4/autopsy-4.22.1
Application is now configured. You can execute bin/autopsy to start it
$
El script debe terminar con el mensaje mostrado señalando que la aplicación puede ser usada invocándola con bin/autopsy.
3. Instalación
En este punto, uno puede decidir si desea dejar la aplicación en el directorio de trabajo donde se descargó y se construyó, y de ahí invocarla cuando se necesite. Opcionalmente, uno puede copiar el directorio de autopsy-<versión> a algún otro lado para de ahí invocarlo conforme indique el resultado del punto anterior.
4. Algunas acciones post-instalación
Para evitar abrir una sesión en la terminal para ejecutar la aplicación, puede optar por alguna de las siguientes opciones.
Opción 1 – Creando un lanzador con Automator
- Usando Automator: New Document → Application → Run Shell Script.
- Revise y seleccione el shell adecuado (en este ejemplo se usa
/bin/bash) y mantenga como entradato stdin. - Copie el código a continuación y guarde el archivo como Autopsy.app en ~/Applications.
. .bash_profile # <- Use el profile adecuado
# Ajuste según sea necesario
if /usr/libexec/java_home -v 17 >/dev/null 2>&1; then
export JAVA_HOME="$("/usr/libexec/java_home" -v 17)"
export PATH="$JAVA_HOME/bin:$PATH"
fi
# Apunte a su directorio y ejecute
cd "/La/ruta/a/Autopsy4/autopsy-4.22.1" # <— Cambie esto segun sea necesario (ruta o versión)
exec bin/autopsy >/tmp/autopsy.log 2>&1 &
La primera vez, uno debe buscar la nueva app en el Finder, hacer clic derecho y seleccionar Open para pasar al Gatekeeper. A partir de aquí, la aplicación aparecerá en Spotlight y podrá lanzarse desde ahí.
Opción 2 – Creando un bundle apropiado
Las siguientes instrucciones asumen que se está en el directorio donde se compiló la aplicación.
A) El primer paso consiste en crear el esqueleto del bundle
$ APP="$HOME/Applications/Autopsy.app"
$ mkdir -p "$APP/Contents/MacOS" "$APP/Contents/Resources/app"
B) Procedemos entonces a crear un .plist en la estructura creada con:
$ vi "$APP/Contents/Info.plist"
C) Colocamos como contenido de este:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>CFBundleName</key><string>Autopsy</string>
<key>CFBundleDisplayName</key><string>Autopsy</string>
<key>CFBundleIdentifier</key><string>mx.example.autopsy</string>
<key>CFBundleExecutable</key><string>autopsy-launcher</string>
<key>CFBundleIconFile</key><string>autopsy.icns</string>
<key>LSMinimumSystemVersion</key><string>13.0</string>
<key>NSHighResolutionCapable</key><true/>
</dict>
</plist>
D) Se crea el programa de arranque con
vi "$APP/Contents/MacOS/autopsy-launcher"
E) Como script de arranque se usa (contenido a colocar en el archivo creado en el paso previo).
#!/bin/bash
set -euo pipefail
# Resolve bundle paths
BUNDLE_DIR="$(cd "$(dirname "$0")/.." && pwd)"
RESOURCES="$BUNDLE_DIR/Resources"
APP_ROOT="$RESOURCES/app"
# Prefer a JDK 17 if present; fall back to default
if [ -z "${JAVA_HOME:-}" ]; then
if /usr/libexec/java_home -v 17 >/dev/null 2>&1; then
export JAVA_HOME="$("/usr/libexec/java_home" -v 17)"
else
JAVA_HOME="$("/usr/libexec/java_home" 2>/dev/null || true)"
fi
[ -n "${JAVA_HOME:-}" ] && export PATH="$JAVA_HOME/bin:$PATH"
fi
# Start from the app's root so relative paths work
cd "$APP_ROOT"
exec "$APP_ROOT/bin/autopsy"
F) Asignamos permisos a nuestro programa de arranque:
$ chmod u+x "$APP/Contents/MacOS/autopsy-launcher"
G) Se copia a Autopsy en el bundle. Ojo con la ruta en SRC. Recuérdese que, se aume, estamos en el directorio de trabajo .
# Ojo con la ruta
$ SRC="$PWD" # <— Esto
$ rsync -a --delete --exclude=".git" --exclude="target" \
"$SRC/${autopsy,bin,etc}" "$APP/Contents/Resources/app/"
De no contar con rsync, este puede instalarse con Homebrew. Recuerde habilitar las variables de entorno de Homebrew.
H) Aunque la aplicación cuenta con un icono (un archivo de imagen) y también hay otro archivo en el repositorio de este proyecto, ambos resultan muy pequeños para la UI de macOS. Aquí se proporciona uno más grande (la URL para descargar en el ejemplo de abajo).
$ curl -o autopsy.png https://dredu.mx/wp-content/uploads/2024/04/autopsy-logo.png
I) Se procede a crear el iconset del bundle (se omite el «$» para facilitar la copia).
mkdir -p tmp/autopsy.iconset
sips -z 16 16 autopsy.png --out tmp/autopsy.iconset/icon_16x16.png
sips -z 32 32 autopsy.png --out tmp/autopsy.iconset/icon_16x16@2x.png
sips -z 32 32 autopsy.png --out tmp/autopsy.iconset/icon_32x32.png
sips -z 64 64 autopsy.png --out tmp/autopsy.iconset/icon_32x32@2x.png
sips -z 128 128 autopsy.png --out tmp/autopsy.iconset/icon_128x128.png
sips -z 256 256 autopsy.png --out tmp/autopsy.iconset/icon_128x128@2x.png
sips -z 256 256 autopsy.png --out tmp/autopsy.iconset/icon_256x256.png
sips -z 512 512 autopsy.png --out tmp/autopsy.iconset/icon_256x256@2x.png
sips -z 512 512 autopsy.png --out tmp/autopsy.iconset/icon_512x512.png
cp autopsy.png tmp/autopsy.iconset/icon_512x512@2x.png
iconutil -c icns tmp/autopsy.iconset -o "$APP/Contents/Resources/autopsy.icns"
J) Se firma la aplicación.
$ codesign -s - --force --deep "$APP"
$ xattr -dr com.apple.quarantine "$APP"
La primera vez, la aplicación podrá ser activada desde Terminal con
$ open "$APP"
A partir de este momento, la aplicación ya debería aparecer en Spotlight.
Mantenimiento
El mantenimiento de la aplicación puede dividirse en dos grandes ramas: la actualización de esta o la adición de funcionalidad.
Actualización
Si bien la herramienta indicará cuando haya una nueva versión disponible, como podrá apreciarse por el proceso aquí descrito, al tener que ser compilada desde el código fuente, el proceso de actualización consistirá en repetir este proceso con los archivos correspondientes a la nueva versión.
Adición de funcionalidad
Al ser Autopsy una interfaz para el uso de las herramientas que The Sleuth Kit proporciona, la adición de funcionalidades dependerá en gran medida de las que se agreguen a TSK.
Soporte a VMDK
El soporte para leer imágenes de disco de VMware y Virtualbox se obtiene de TSK. En Autopsy 4, cuando se carece de esta capacidad y se desea agregar una fuente de datos en formato VMDK, se producirá un error como el mostrado a continuación.
La capacidad de abrir y leer este formato de disco virtual se obtiene mediante la incorporación de la biblioteca libvmdk a TSK. La biblioteca libvmdk debe instalarse primero y luego agregarse a TSK. Tras esto, Autopsy debe reconstruirse.
Desinstalación
La desinstalación consiste en eliminar el directorio de Autopsy, así como la posible «aplicación creada» (ver apartado de Actividades Post-Instalación). Ya sea que se trate del directorio de trabajo donde se construyó la aplicación o si esta se copió a otro lugar. Algunos otros directorios de soporte también deben ser purgados, como
~/Library/Application\ Support/Autopsy~/Library/Caches/Autopsy
Una vez creado un bundle, un desinstalador podrá ayudar en el proceso de remoción de la aplicación y los directorios indicados arriba serán incluidos (dependerá del desinstalador, claro).
Troubleshooting
Algunas notas sobre los problemas que se han presentado durante la instalación de Autopsy 4 en macOS.
Library not found in jar (libtsk_jni)
Aunque este problema se reporta con Autopsy, lo cierto es que se trata de un «detalle» con The Sleuth Kit. El problema se presenta en equipos que ejecutan macOS en Apple Silicon. Una solución se discute en este post y en su continuación. Al momento de escribir estas líneas, se observa que los scripts de construcción de TSK no consideran una arquitectura distinta de X86_64 o AMD64 (a lo que podemos referirnos como «arquitectura Intel»), aunque una biblioteca para la arquitectura ARM64 se genera al compilar en Apple Silicon. Por su parte, algunos archivos de configuración de los scripts de construcción de Autopsy 4 sí parecen considerar AARCH64 y ARM64, pero estos se usan para abordar la construcción (o la preparación del paquete de liberación) de forma alternativa, no cubierta en estas notas.
Command not found
Cuando se activa Autopsy 4 usando el comando bin/autopsy, es posible ver estos mensajes de error:
$ bin/autopsy
...
: command not foundconf: line 18:
: command not foundconf: line 56:
: command not foundconf: line 59:
: command not foundconf: line 64:
: command not foundconf: line 67:
...
Esto se debe a que el archivo <path/to/autopsy/>etc/autopsy.conf, tiene un formato DOS e incluye terminadores carriage return (CR). Convertir el archivo a un formato Unix evitará que estos mensajes aparezcan, pero esto puede acarrear otras consecuencias (ver post).
javafx.base y javafx.controls
Al activar Autopsy desde la terminal con el script bin/autopsy, mensajes de «Unknown module» aparecen en la consola de la aplicación.
$ bin/autopsy
...
WARNING: Unknown module: javafx.base specified to --add-exports
WARNING: Unknown module: javafx.controls specified to --add-exports
WARNING: Unknown module: javafx.controls specified to --add-opens
...
La versión o distribución de Java con la que se intenta levantar Autopsy 4 no incluye JavaFX. Revisar la documentación de The Sleuth Kit de su desarrollador y los apuntes en este sitio sobre el apartado correspondiente al JDK empleado para empatar versiones o realizar los ajustes necesarios en el entorno de ejecución para que las bibliotecas requeridas puedan ser localizadas.
Security Manager
Autopsy no arranca y aparece un mensaje de error que hace referencia a un «security manager» de Java.
$ bin/autopsy
...
Error occurred during initialization of VM
java.lang.Error: A command line option has attempted to allow or enable the Security Manager. Enabling a Security Manager is not supported.
at java.lang.System.initPhase3(java.base@24.0.1/System.java:1947)
La versión o distribución de Java con la que se intenta levantar Autopsy 4 ya no incluye la funcionalidad de Java conocida como Security Manager. Revisar la documentación de The Sleuth Kit, tanto la de su desarrollador como los apuntes en este sitio sobre el apartado correspondiente al JDK empleado, para empatar versiones.
java.lang.NoClassDefFoundError: Could not initialize class
Revisar los valores de las variables de entorno JAVA_HOME y openjdk. Ambas deben apuntar a la versión de Java con la que se compiló The Sleuth Kit.
Windows
La descripción que se hace aquí sobre la instalación, el mantenimiento y la desinstalación de Autopsy 4 se realiza en una máquina virtual de Windows en Parallels 26, con una Macbook Pro con chip M1 como anfitrión y macOS 26.
Instalación
En el caso de Windows se cuenta con un instalador, por lo que la instalación de esta aplicación es relativamente simple. Se inicia con la descarga de la aplicación:
Una vez terminada la descarga, se hará clic sobre el archivo .msi y la instalación comenzará.
El instalador guiará el proceso.
Terminada la instalación, un atajo deberá aparecer en el lanzador de aplicaciones.
Desinstalación
En Windows, la desinstalación de Autopsy se realiza desde Settings usando la funcionalidad de desinstalación de programas.
Uso
… en desarrollo …
… en desarrollo …
…. en desarrollo …
Referencias
- ArcPoint Forensics, «Installing Autopsy on macOS Big Sur«, medium.com, web. Published: 2021.09.30; visited: 2025.10.15. URL: https://arcpointforensics.medium.com/installing-autopsy-on-macos-big-sur-1e9cff8fa5ef.
- «Installing Autopsy on MacOS Catalina«, github.io, repository. Visited: 2025.10.15. URL: https://slo-sleuth.github.io/tools/InstallingAutopsyOnMacOS.html.
- «Autopsy. Digital Forensics«, autopsy.com, web. Visited: 2025.10.15. URL: https://www.autopsy.com/.
- «autopsy«, github.com, repository. Visited: 2025.10.15. URL: https://github.com/sleuthkit/autopsy.
|
© Todos los derechos reservados. Dr. Eduardo René Rodríguez Ávila |
Creación: 2024.04.10 Última actualización: 2025.11.02 |
|||
| El contenido de este sitio puede ser copiado y reproducido libremente, siempre que no se altere y se cite su origen. Marcas y productos registrados se citan por referencia y sin fines de lucro ni dolo. Todas las opiniones son a título personal del o de los autores de estas y, salvo que se exprese de otro modo, deben considerarse como registro y expresión de la experiencia de uso de aquello de lo que se trata. Para conocer más sobre la posición de privacidad y responsabilidad respecto de lo que se presenta en este sitio web y de cómo se ha obtenido, consulte la declaración correspondiente. | |||||
Dr. Edu 