Autopsy, interface gráfica desenvolvida para o conjunto de ferramentas forenses The Sleuth Kit, permite a análise de discos rígidos, imagens forenses, dispositivos móveis e mídias removíveis em investigações de crimes digitais. Criado por Brian Carrier, pesquisador de renome na área de computação forense, o software é utilizado por agências policiais, laboratórios periciais e equipes corporativas de resposta a incidentes em dezenas de países.

Pontos-chave

  • Interface gráfica gratuita para The Sleuth Kit, principal suíte de análise forense open-source do mundo
  • Suporte a sistemas de arquivos NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS e formatos de imagem como E01, AFF e raw
  • Reconstrução automática de linha do tempo (timeline) de atividades do usuário no sistema analisado
  • Verificação de hashes contra bases de arquivos conhecidos (NSRL) e integração com projetos de hash colaborativo

O que é o Autopsy

O projeto The Sleuth Kit (TSK) foi iniciado na década de 2000 por Brian Carrier, que na época era pesquisador do @stake e posteriormente obteve doutorado em ciência da computação pela Purdue University, com tese sobre análise forense de sistemas de arquivos. O TSK consiste em um conjunto de ferramentas de linha de comando que operam em baixo nível, examinando estruturas internas de partições, tabelas de alocação, entradas de diretório e metadados de arquivos.

O Autopsy foi criado como camada visual sobre o TSK para facilitar a investigação de casos forenses sem exigir que o analista memorize dezenas de comandos. Escrito em Java e executado sobre a plataforma NetBeans, o Autopsy apresenta os dados extraídos pelo TSK em uma interface organizada por abas, com visualização de arquivos em formato hexadecimal, texto, imagem e vídeo.

Distribuído sob licença Apache 2.0, o Autopsy é mantido pela empresa Basis Technology, que oferece uma versão comercial com recursos adicionais — como detecção automatizada de CSAM (child sexual abuse material), integração com fontes de dados de telefone celular e relatórios customizados. A versão gratuita permanece completa e sem limitação de funcionalidades para a maioria dos casos de investigação digital.

Principais funcionalidades

O Autopsy organiza a investigação em casos. Cada caso agrupa fontes de dados, marcadores de evidências, anotações do analista e relatórios. A plataforma oferece módulos automatizados que processam dados assim que uma nova fonte de evidência é adicionada ao caso.

  • Análise de sistema de arquivos: listagem de arquivos ativos, excluídos e órfãos, com visualização do conteúdo em formatos múltiplos, incluindo preview de imagens e documentos
  • Timeline (linha do tempo): reconstrução cronológica de eventos do sistema — criação, modificação e acesso a arquivos, com fusos horários normalizados para comparação entre dispositivos
  • Hash lookup: comparação automática de hashes de arquivos contra bases como a NSRL (National Software Reference Library) do NIST, para identificar arquivos conhecidos e eliminar falsos positivos da investigação
  • Keyword search: busca por texto em todo o conteúdo do disco, incluindo espaço não alocado e slack space, com suporte a expressões regulares e indexação de texto completo via Apache Solr
  • Módulos de ingestão: extração de EXIF de imagens, análise de registros do Windows Registry, decodificação de e-mails e parsing de histórico de navegadores web

Aplicação em investigações

Em laboratórios forenses de polícias civis e federais, o Autopsy é utilizado para examinar computadores apreendidos em operações contra fraude, pedofilia, narcotráfico e terrorismo. O analista cria uma imagem bit-a-bit do disco suspeito — tipicamente no formato E01, padronizado pela EnCase — e carrega essa imagem no Autopsy para análise sem alterar o conteúdo original, preservando a cadeia de custódia exigida em processos judiciais.

Em contexto corporativo, equipes de resposta a incidentes (CSIRT) utilizam o Autopsy para determinar o escopo de uma invasão. Após um ataque de ransomware, por exemplo, os analistas examinam o disco do servidor comprometido para identificar como o invasor obteve acesso inicial, quais ferramentas foram instaladas e que dados foram exfiltrados. A capacidade de recuperar arquivos deletados e analisar logs em formato bruto permite reconstruir a sequência de ações do atacante com precisão.

Adoção e reconhecimento

O Autopsy é citado em manuais de computação forense publicados por instituições como o NIST e o Departamento de Justiça dos Estados Unidos. A ferramenta integra o conjunto de software padrão de distribuições como Kali Linux e Tsurugi Linux, voltadas à investigação digital. A comunidade de usuários inclui departamentos de polícia de países como Brasil, Reino Unido, Alemanha e Japão, além de consultores independentes de perícia judicial.

Em 2019, a versão comercial do Autopsy recebeu certificação do National Institute of Standards and Technology (NIST) em testes de conformidade com padrões forenses. A base aberta do projeto permite que pesquisadores acadêmicos desenvolvam módulos personalizados para análise de novos formatos de dados e sistemas operacionais. Para conhecer outras soluções de análise e ferramentas de cibersegurança, nosso portal oferece um catálogo abrangente.

Importância para a perícia

O Autopsy democratizou o acesso a ferramentas de perícia digital de nível profissional. Ao oferecer capacidades comparáveis a softwares comerciais como EnCase e FTK sem custo de licença, a ferramenta tornou possível que pequenos laboratórios e países em desenvolvimento realizem investigações digitais com padrão técnico elevado. Downloads e documentação estão disponíveis na página oficial do projeto. Para explorar mais soluções de análise e investigação, consulte o catálogo de ferramentas de cibersegurança em nosso portal.