dañinos (java script o java por ejemplo), que pueden causar daño a un sistema de
análisis vulnerable. Segundo, el HTML puede causar que el navegador se conecte a un
sitio externo para obtener una imagen u otro archivo. Esto puede alertar a una persona
de la investigación (en un mundo ideal, todos los laboratorios forense están aislados de
internet).
Por defecto Autopsy no interpretará los contenidos de archivos. Por ejemplo, cuando se
selecciona un archivo HTML, se mostrarán las etiquetas y textos en ASCII y no el
documento formateado (siempre que se utilice un navegador HTML). Esto se realiza
configurando el tipo de contenido “content-type” a text (texto) en lugar de html.
Para ciertos tipos de archivos, citamos HTML e imágenes, Autopsy permite al usuario
visualizar los datos interpretados utilizando un enlace “view”. Este enlace abrirá por
defecto el interprete de contenido de archivo en una nueva “celda”. La “celda” por
defecto interpretará el código HTML y dejará sin efecto los scripts y enclaces . Esto se
realiza modificando el HTML de las siguientes manera:
.
.
.
.

SRC= se cambia por SRC=AutopsySanitized
HREF= se cambia por HREF=AutopsySanitized
<script se cambia por <AutopsySanitized-script
BACKGROUND= se cambia por BACKGROUND=AutopsySanitized

La parte del servidor web de Autopsy es configurado para reemplazar las peticiones de
imagenes que tienen “AutopsySanitized” con un gráfico definido. Esto permite al
investigador ver la ubicación donde existe una imagen sín conectarse a un sitio externo.
Además si el investigador visita una URL, Autopsy reportará que no se permite al
investigador seguir enlaces externos mientras esta en la jaula. Después de verificar el
contenido de una pagina HTML, el usuario puede salir de la celda utilizando el botón
“Normal” y este puede ser exportado con el botón “Export Contents”.
Es una buena práctica deshabilitar los lenguajes de script en los navegadores sobre las
estaciones de trabajo. Autopsy alertará si su navegador tiene scripting habilitado. La
limpieza que Autopsy realiza cuando se visualizan paginas HTML añade una capa de
protección adicional en caso de que los scripts sean activados accidentalmente, en caso
exista una vulnerabilidad en el navegador, o el sistema esté conectado a internet.
Después de que el investigador ha identificado la pagina como segura, puede ser
visualizada en su formato original.
* Fín de Referencia: Sleuth Kit Informer 1

Contenido de Archivos: Los contenidos de archivos puede ser visualizados en bruto
(raw), hexadecimal o en cadenas ASCII extraidas.
Cuando los datos son interpretados, Autopsy los esteriliza para prevenir daño al sistema
de análisis local. Autopsy no utiliza ningún lenguaje script en el lado del cliente. Ver
Figura 2.