HERRAMIENTAS USADAS EN LA INFORMÁTICA FORENSE

ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.

pd Proccess Dumper – Convierte un proceso de la memoria a fichero.
FTK Imager – Permite entre otras cosas adquirir la memoria.
DumpIt – Realiza volcados de memoria a fichero.
Responder CE – Captura la memoria y permite analizarla.
Volatility – Analiza procesos y extrae información util para el analista.
RedLine – Captura la memoria y permite analizarla. Dispone de entrono gráfico.
Memorize – Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla.

ImDisk – Controlador de disco virtual.
OSFMount – Permite montar imágenes de discos locales en Windows asignando una letra de unidad.
raw2vmdk – Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager – Comentada anteriormente, permite realizar montaje de discos.
vhdtool – Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .
LiveView – Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.
MountImagePro – Permite montar imágenes de discos locales en Windows asignando una letra de unidad.

CARVING Y HERRAMIENTAS DE DISCO 

Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.

PhotoRec – Muy útil, permite la recuperación de imágenes y vídeo.
Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.
RecoverRS – Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco. 
NTFS Recovery – Permite recuperar datos y discos aún habiendo formateado el disco.
Recuva – Utilidad para la recuperación de ficheros borrados.
Raid Reconstructor – Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.
CNWrecovery – Recupera sectores corruptos e incorpora utilidades de carving.
Restoration – Utilidad para la recuperación de ficheros borrados.
Rstudio – Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
Freerecover – Utilidad para la recuperación de ficheros borrados.
DMDE – Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
IEF – Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.

Bulk_extractor – Permite extraer datos desde una imagen, carpeta o ficheros.

 

 

 

 

 

 

UTILIDADES PARA EL SISTEMA DE FICHEROS 

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.

analyzeMFT – David Kovar’s utilidad en python que permite extraer la MFT
MFT Extractor– Otra utilidad para la extracción de la MFT 
INDXParse – Herramienta para los indices y fichero $I30.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT 
MFT_Parser – Extrae y analiza la MFT
Prefetch Parser – Extrae y analiza el directorio prefetch
Winprefectchview – Extrae y analiza el directorio prefetch 

Fileassassin – Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWARE 

PDF Tools de Didier Stevens.
PDFStreamDumper – Esta es una herramienta gratuita para el análisis PDFs maliciosos.
SWF Mastah – Programa en Python que extrae stream SWF de ficheros PDF.
Proccess explorer – Muestra información de los procesos.
Captura BAT – Permite la monitorización de la actividad del sistema o de un ejecutable.
Regshot – Crea snapshots del registro pudiendo comparar los cambios entre ellos
Bintext – Extrae el formato ASCII de un ejecutable o fichero.
LordPE – Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.
Firebug – Analisis de aplicaciones web.
IDA Pro – Depurador de aplicaciones.
OllyDbg – Desemsamblador y depurador de aplicaciones o procesos.
Jsunpack-n – Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits
OfficeMalScanner – Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.
Radare – Framework para el uso de ingeniería inversa.
FileInsight – Framework para el uso de ingeniería inversa.
Volatility Framework con los plugins malfind2 y apihooks.
shellcode2exe – Conversor de shellcodes en binarios.

FRAMEWORKS 

Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.

PTK – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
Log2timeline – Es un marco para la creación automática de un super línea de tiempo.
Plaso – Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.
OSForensics – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
DFF – Framework con entorno gráfico para el análisis.
SANS SIFT Workstation – Magnifico Appliance de SANS. Lo utilizo muy a menudo.
Autopsy – Muy completo. Reescrito en java totalmente para Windows. Muy útil.

 

REFERENCIAS

  Documentación:

  1. La informática forense, una herramienta para combatir la ciberdelincuencia
  2. Metodologías y Estrategias en la Informática Forense
  3. Cómo Obtener y Presentar Evidencia Digital
  4. Forensics PowerTools (Lisado de herramientas forenses)

Vídeos:

  1. Herramientas para la Recolección de Datos
  2. Análisis Forense de una Evidencia Digital
  3. Herramientas Forenses de Código Abierto ¿Cómo ganar un juicio?
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s