Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
▼
junio
(Total:
8
)
- ntopng - network top next generation - analizador ...
- Tutorial - Manual SQLmap: ataques SQLi - Inyección...
- Distribuciones con Herramientas para Análisis Forense
- RHEL - Red Hat Enterprise Linux 7
- XSSF - Cross Site Scripting Framework
- Ataques UDP Reflection Flood DrDoS (Inundación med...
- Wifislax 4.9 - Live-CD Auditorías Wireless
- TrueCrypt ya no es seguro
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
354
)
ransomware
(
340
)
vulnerabilidad
(
303
)
Malware
(
264
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
204
)
hardware
(
193
)
linux
(
125
)
twitter
(
116
)
ddos
(
95
)
WhatsApp
(
91
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Distribuciones con Herramientas para Análisis Forense
lunes, 16 de junio de 2014
|
Publicado por
el-brujo
|
Editar entrada
El análisis forense digital permite la identificación y descubrimiento
de información relevante en fuentes de datos como imágenes de discos duros, memorias USB, capturas de tráfico de red, o volcados de memoria sin alterar su contenido. Veamos algunas de las herramientas más populares como Autopsy y distribuciones como Caine o Deft.
La obtención de imágenes forenses podemos definirla, sencillamente, como la copia de la información contenida en dispositivos físicos de almacenamiento, sin alterar su contenido. No estamos hablando de la copia de archivos individuales, sino de discos o particiones enteras, obteniendo una imagen o instantánea de un disco en un momento determinado.
El objetivo no es otro que garantizar la preservación y posterior análisis de la evidencia digital.
Entre algunas de estas distribuciones encontramos:
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Ello condujo a la adopción de otro enfoque, el análisis forense, que se compone de tres pasos: - Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.
ForLEx, está basada en Debian y se caracteriza por ser liviana, flexible y orientada a aplicaciones de Informática Forense. Además, incluye la herramienta FTK Imager, la cual es muy útil para adquisiciones forenses y no está presente en versiones Live de otras distribuciones. Debemos considerar también, que se pueden agregar en forma sencilla al Live USB aquellas herramientas que creamos convenientes, copiándolas en la carpeta apps.
DEFT Linux, distribución de Linux para análisis forense informático basada en Ubuntu que incluye herramientas para el análisis forense de móviles y/o dispositivos con iOS o Android
CAINE (Computer Aided INvestigative Environment), es una distribución Live DVD (2,2GB) y versión para pendrive, basada en Ubuntu de origen italiano, enfocada a realizar análisis forenses informáticos.Incluye numerosas herramientas y scripts para facilitar el trabajo.
Antes existían dos versiones, una estandar, CAINE con la que se puede generar el DVD live y otra denominada NBCANINE, preparada para la creación de un USB y adaptada para equipos netbook
CAINE contaba con un subproyecto llamado NBCAINE mantenido por Nanni Bassetti, que permitía utilizar esta distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense y poder guardar los cambios realizados en el sistema.
Recordar que siempre habrá que hacer un mínimo de 2 copias del disco duro original a analizar. La primera copia siempre la tendremos de reserva, y trabajaremos con la segunda copia. Si esta segunda se estropea, aun tenemos la primera copia. Entonces tendremos que hacer otra copia de la primera copia, para que no sea necesario tocar el disco duro original y poder trabajar siempre sobre una copia, a su vez teniendo otra copia de respuesto.
Caine 5.0 en pendrive puede arrancar con Uefi/Uefi+secure boot/Legacy Bios/Bios.
Caine 5.0 en DVD puede arrancar con Legacy Bios/Bios.
Herramientas como apktool, dex2jar, jd, Droidbox, Androguard son de gran utilidad al momento de analizar un malware para Android
Novedades:
ExifTool
ExifTool es un programa de software con el que podemos acceder y manipular los metadatos de una gran variedad de formatos (JPEG, PNG, MP3, PDF, WEBM, RAR, RTF, SWF, PDF, RAW,PSD o PSP…) incluyendo archivos de video, sonido, imágenes o texto. Es una plataforma construida sobre Perl y que se utiliza habitualmente desde linea de comandos.
ExifTool también está disponible como un ejecutable independiente de Windows y un paquete de Macintosh OS X : (Tenga en cuenta que estas versiones contienen el ejecutable solamente, y no incluyen la documentación de HTML u otros archivos de la distribución completa más arriba).
Grampus
Esta herramienta escrita en python y de código abierto facilita la recopilación de información a traves de la extracción de metadatos de diferentes documentos y tareas de finger/foot printing.
Características:
Mount Manager
Esta herramienta permite detectar, montar, desmontar, examinar y administrar las unidades de almacenamientos, conectadas a disco duro, tanto las unidades internas como las externas.
Guymager
Es una herramienta forense, con la capacidad de crear copias bit a bit o réplicas de imagen de disco, es bastante ágil en su funcionamiento y crea replicas en formatos dd, EWF, AFF.
Air(Imagen y Restauración Automática)
Air Es una aplicación en modo grafico para el uso del comando dd/dclfdd (Datataset Definition (dd)). Fue diseñado como una mejora en modo gráfico de todas las variantes de dd, su fácil uso permite crear imágenes forenses de discos y de particiones completas del mismo. Soporta MD5/SHAx hashes, cintas SCSI, proyección de imágenes sobre una red TCP/IP, imágenes partidas, y registración detallada de la sesión.
Autopsy es una plataforma forense digital e interfaz gráfica para The Sleuth Kit y otras herramientas forenses digitales. Puede ser utilizada por fuerzas del orden, militares, y examinadores corporativos para investigar lo que ocurrió en una computadora. Aunque se puede utilizar para recuperar las fotos desde la tarjeta de memoria de una cámara digital.
Autopsy 3, utiliza la popular interfaz web de The Sleuth Kit. La v3 sólo está disponible Windows y está basada en Java.
Una característica muy útil es el módulo de Ingest y la posibilidad de seleccionar los plugins que van a utilizarse; de esta forma, para ganar algo de tiempo, podemos realizar una ingesta de datos con un único plugin para tener algo sobre lo que trabajar y, mientras realizamos un análisis preliminar, podemos dejar cargando y procesando el resto de plugins.
Uno de los plugins que nos puede ahorrar algo de tiempo a la hora de descartar archivos conocidos sin manipular es la base de datos de hashes, que compara el hash de los archivos con dicha base de datos. La base de datos que es de obligada descarga es la NSRL del NIST, National Software Reference Library, con un tamaño actual de 6 GB de software conocido (tanto bueno como “malo”). No obstante, hay que recordar que no contiene entradas de malware sino más bien herramientas consideradas para hacking, desde nmap a herramientas de esteganografía
Con el plugin del hash database activado, seleccionando la base de datos del tipo NSRL. Si queremos utilizar una base de datos de malware, tendremos que recurrir a algunas de pago o utilizar servicios online de consulta de hashes que nos dirá, uno a uno, si se reconoce como malware. Entre esos servicios online tenemos la Hash Database de SANS, OWASP File Hash Repository, Malware Hash Registry de Team Cymru, o VirusTotal, entre muchos otros.
The Sleuth Kit es un conjunto de herramientas open source para el análisis de imágenes de discos. Inicialmente desarrollada para plataformas UNIX, esta suite actualmente se encuentra disponible también para OS X y Windows. Además, TSK cuenta con una interfaz gráfica conocida como Autopsy que agrupa todas sus herramientas y plugins.
Tal vez la mejor herramienta libre que existe para el análisis de evidencia digital. Su interfaz gráfica es un browser que basado en las herramientas en línea de comandos del Sleuth Kit, permite un análisis de diversos tipos de evidencia mediante una la captura de de una imagen de disco.
Estos módulos son los que permitirán el descubrimiento de información relevante y se describen a continuación:
Permite cargar los datos de cualquier archivo, ver y editar en formato hexadecimal o ASCII. Por medio del editor hexadecimal, el usuario puede ver, redactar, reparar o modificar el contenido intacto y exacto de un archivo binario.
PhotoRec
Recupera datos y archivos perdidos incluyendo vídeo, documentos y archivos de discos duros y CD/DVD. Incluyendo la búsqueda en el espacio no asignado en disco, examinando cabecera tipo de archivo específico y los valores de pie de página.
Gtkhash
Una magnifica herramienta para el cálculo de diferentes funciones hash de un archivo y sumas de comprobación de mensajes. Actualmente los tipos soportados incluyen funciones de hash MD5, SHA1, SHA256, SHA512, RIPEMD, HAVAL, TIGER y WHIRLPOOL. Esta herramienta es bastante útil, para comprobar el correcto estado de un archivo, o la comparación entre dos(2) archivos iguales, para comprobar su integridad.
Hfsutils
HFS es una herramienta para leer y escribir volúmenes de Macintosh, de su "sistema de ficheros jerárquico", el formato de volumen nativos utilizados en los modernos ordenadores Macintosh. hfsutils es el nombre de un completo paquete de software están desarrollando para permitir la manipulación de los volúmenes HFS de UNIX y otros sistemas.
Dvdisaster
Dvdisaster es una fabulosa herramienta que examina CD / DVD / BD, con el fin de recuperar archivos, incluso después de algunos errores de lectura. Esto permite rescatar información dañada o de difícil lectura a un nuevo medio de almacenamiento tras su recuperación.
Ophcrack
Utilidad para romper u obtener contraseñas de usuario en el sistema operativo Windows. Su funcionamiento se basa en el análisis de las tablas rainbow para el acceso a las claves de la SAM (Security Accounts Manager).
SAM es el gestor de seguridad para cuentas de usuario, de los actuales sistemas operativos Microsoft Windows. Este servicio se emplea durante los procesos de acceso al sistema, y retiene información del usuario que se ha logeado ante el sistema.
Tesdisk
TestDisk es una buena herramienta diseñada para recuperar particiones perdidas de almacenamiento de datos, o recuperar la capacidad del disco para hacerlo booteable. Estas funciones son exitosas cuando los problemas son causados por software con fallas, ciertos tipos de virus o en caso de borrar accidentalmente una tabla de particiones. Su función no aplica para discos duros con daños físicos, sin embargo puede intentar el acceso a las particiones dañadas u ocultas.
La obtención de imágenes forenses podemos definirla, sencillamente, como la copia de la información contenida en dispositivos físicos de almacenamiento, sin alterar su contenido. No estamos hablando de la copia de archivos individuales, sino de discos o particiones enteras, obteniendo una imagen o instantánea de un disco en un momento determinado.
El objetivo no es otro que garantizar la preservación y posterior análisis de la evidencia digital.
Entre algunas de estas distribuciones encontramos:
- Helix
- CAINE
- ForLEX
- EnCase
- DEFT Linux
- o incluso Kali Linux.
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Ello condujo a la adopción de otro enfoque, el análisis forense, que se compone de tres pasos: - Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.
- - Análisis de los datos así protegidos por medio de un software especial y de métodos para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de contraseñas, la recuperación de archivos borrados, la obtención de información del registro de Windows (base de datos de registro), etc.
- - Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la reconstrucción de los hechos o incidentes.
ForLEx
ForLEx, está basada en Debian y se caracteriza por ser liviana, flexible y orientada a aplicaciones de Informática Forense. Además, incluye la herramienta FTK Imager, la cual es muy útil para adquisiciones forenses y no está presente en versiones Live de otras distribuciones. Debemos considerar también, que se pueden agregar en forma sencilla al Live USB aquellas herramientas que creamos convenientes, copiándolas en la carpeta apps.
DEFT
DEFT Linux, distribución de Linux para análisis forense informático basada en Ubuntu que incluye herramientas para el análisis forense de móviles y/o dispositivos con iOS o Android
- File Manager with disk mount’s status
- Full support for Bitlocker encrypted disks, thanks libbde
- The Sleuthkit 4.1.3
- Digital Forensics Framework 1.3
- Full support for Android and iOS 7.1 logical acquisitions (via libmobiledevice & adb)
- JD GUI,
- Skype Extractor 0.1.8.8,
- Maltego 3.4 Tungsten,
- A new version of the OSINT browser
Descarga
deft-8.1.iso
- Analysis - Herramientas de análisis de ficheros de diferentes tipos
- Antimalware - Búsqueda de rootkits, virus, malware, así como PDFs con código malicioso.
- Data recovery - Software para recuperación de ficheros
- Hashing - Scripts que permiten la realización de cálculo de hashes de determinados procesos (SHA1, SHA256, MD5...)
- Imaging - Aplicaciones que podemos utilizar para realizar los clonados y adquisición de imágenes de discos duros u otras fuentes.
- Mobile Forensics - Análisis de Blackberry, Android, iPhone, así como información sobre las típicas bases de datos de dispositivos móviles en SQLite utilizadas por las aplicaciones.
- Network Forensics - Herramientas para procesamiento de información almacenada en capturas de red
- OSINT - Aplicaciones que facilitan la obtención de información asociada a usuarios y su actividad.
- Password recovery - Recuperación de contraseñas de BIOS, ficheros comprimidos, ofimáticos, fuerza bruta, etc.
- Reporting tools - Por último, dentro de esta sección encontraremos herramientas que nos facilitarán las tareas de generación de informes y obtención de evidencias que nos servirán para documentar el análisis forense. Captura de pantalla, recopilación de notas, registro de actividad del escritorio, etc.
CAINE (Computer Aided INvestigative Environment)
CAINE (Computer Aided INvestigative Environment), es una distribución Live DVD (2,2GB) y versión para pendrive, basada en Ubuntu de origen italiano, enfocada a realizar análisis forenses informáticos.Incluye numerosas herramientas y scripts para facilitar el trabajo.
Es una distribución de Linux especialmente orientada al análisis forense
informático. Esta distribución lleva de fabrica pre-instaladas cientos
de aplicaciones destinadas a facilitar la tarea del analista forense.
Además ofrece:
- Entorno de trabajo perfectamente orientado a completar las fases de la metodología forense.
- Interfaz gráfica amigable
- Proceso semi-automático en la generación del Informe final de resultados.
Antes existían dos versiones, una estandar, CAINE con la que se puede generar el DVD live y otra denominada NBCANINE, preparada para la creación de un USB y adaptada para equipos netbook
CAINE contaba con un subproyecto llamado NBCAINE mantenido por Nanni Bassetti, que permitía utilizar esta distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense y poder guardar los cambios realizados en el sistema.
Recordar que siempre habrá que hacer un mínimo de 2 copias del disco duro original a analizar. La primera copia siempre la tendremos de reserva, y trabajaremos con la segunda copia. Si esta segunda se estropea, aun tenemos la primera copia. Entonces tendremos que hacer otra copia de la primera copia, para que no sea necesario tocar el disco duro original y poder trabajar siempre sobre una copia, a su vez teniendo otra copia de respuesto.
Disponible CAINE 6.0: distro GNU/Linux para análisis forense digital
Descarga Caine
- - Caine5.0.iso (MD5) GARR/MIRROR - MIRROR CFITALY - Mirror ARCHIVE.ORG (torrent and http) - LinuxFreedom Mirror- Mirror by HostingXtreme.com
Caine 5.0 en pendrive puede arrancar con Uefi/Uefi+secure boot/Legacy Bios/Bios.
Caine 5.0 en DVD puede arrancar con Legacy Bios/Bios.
Distibución Linux Santoku
Existe una distribución de Linux orientada a la seguridad en dispositivos móviles y el análisis de malware y forense llamada Santoku Linux.
Development Tools:
- Android SDK Manager
- AXMLPrinter2
- Fastboot
- Heimdall (src | howto)
- Heimdall (GUI) (src | howto)
- SBF Flash
- Burp Suite
- Ettercap
- nmap
- SSL Strip
- w3af (Console)
- w3af (GUI)
- ZAP
- Zenmap (As Root)
Wireless Analyzers:
- Chaosreader
- dnschef
- DSniff
- TCPDUMP
- Wireshark
- Wireshark (As Root)
Reverse Engineering:
- Androguard
- Antilvl
- APK Tool
- Baksmali
- Dex2Jar
- Jasmin
- JD-GUI
- Mercury
- Radare2
- Smali
Herramientas como apktool, dex2jar, jd, Droidbox, Androguard son de gran utilidad al momento de analizar un malware para Android
Herramientas
- Autopsy 2.20
- foremost
- Fundl
- gtkhash
- Guymager
- LRRP
- ophcrack
- photorec
- scalpel
- SFDumper
- stegdetect
- testdisk
- TheSleuthKit 3.0
- afflib
- cryptcat
- libewf
- md5sum
- sha256sum
- sha512sum
- Abiword 2.6.4
- Firefox 3.0.5
- GCalcTool
- Geany
- gparted
- gtk-recordmydesktop
- liveusb
- ntfs-3g
- VLC
- Wicd
Novedades:
- iphonebackupanalyzer
- exiftool phil harvey
- tcpflow
- tshark
- john
- wireshark
- firefox
- vinetto
- mdbtool
- gdisk
- LVM2
- tcpdump
- Mobius
- QuickHash
- SQLiteBrowser
- FRED
- docanalyzer
- nerohistanalyzer
- knowmetanalyzer
- PEFrame
- grokEVT
- zenmap (nmap)
- blackberry tools
- IDevice tools
ExifTool
ExifTool es un programa de software con el que podemos acceder y manipular los metadatos de una gran variedad de formatos (JPEG, PNG, MP3, PDF, WEBM, RAR, RTF, SWF, PDF, RAW,PSD o PSP…) incluyendo archivos de video, sonido, imágenes o texto. Es una plataforma construida sobre Perl y que se utiliza habitualmente desde linea de comandos.
ExifTool también está disponible como un ejecutable independiente de Windows y un paquete de Macintosh OS X : (Tenga en cuenta que estas versiones contienen el ejecutable solamente, y no incluyen la documentación de HTML u otros archivos de la distribución completa más arriba).
El ejecutable de Windows independiente no requiere de Perl. Sólo tienes que descargar el archivo un-zip y luego hacer doble click en "exiftool (-k). Exe" para leer la documentación de la aplicación, arrastrar y soltar los archivos y carpetas para ver la información de metadatos, o cambiar el nombre a "exiftool.exe" para uso de línea de comandos. Funciona en todas las versiones de Windows (incluyendo Window 7)
El paquete OS X se instala la aplicación de línea de comandos ExifTool y las bibliotecas en / usr / bin. Después de la instalación, escriba "exiftool" en una ventana de terminal para funcionar exiftool y posteriormente lea la documentación de la aplicación.
- Potente, rápido, flexible y personalizable.
- Soporta un gran número de diferentes formatos de archivo.
- Lee EXIF, GPS, IPTC, XMP, JFIF, MakerNotes, GeoTIFF, ICC Profile, Photoshop IRB, FlashPix, AFCP, ID3 y más ...
- Escribe EXIF, GPS, IPTC, XMP, JFIF, MakerNotes, ICC Profile, Photoshop IRB, AFCP y más ...
- Lee y escribe notas del fabricante de muchas cámaras digitales.
- Decodifica un acertijo envuelto en un misterio dentro de un enigma.
- Numerosas opciones de salida de formato (incluyendo delimitado por tabuladores, HTML, XML y JSON).
- Salida de Multi-idioma (cs, de, en, en-ca, es-es, es, fi, fr, it, ja, ko, nl, pl, ru, sv, tr, zh-CN o zh-tw).
- Geoetiquetas imágenes de archivos de registro de seguimiento de GPS (con corrección de deriva vez!).
- Genera registros de trazado de imágenes georeferenciadas.
- Cambia los valores de fecha / hora de fijar las marcas de tiempo en imágenes.
- Cambia el nombre de los archivos y organiza en directorios (por fecha o por cualquier otra meta información).
- Extrae imágenes en miniatura, vista previa de imágenes, y las grandes imágenes JPEG desde archivos RAW.
- Copias meta información entre los archivos (incluso los archivos de diferente formato).
- Lee / escribe datos XMP estructurada.
- Elimina la información meta individualmente, en grupos o en conjunto.
- Establece la fecha de modificación del archivo (y la fecha de creación de Windows) de la información EXIF.
- Compatible con etiquetas en idiomas alternativos XMP, PNG, ID3, Font, QuickTime, ICC Profile, MIE y la información MXF.
- Todo Procesos árboles de directorios.
- Crea el archivo de salida de texto para cada archivo de imagen.
- Crea binario formato de metadatos de sólo archivos (MIE) para copias de seguridad de metadatos.
- Realiza automáticamente copias de imagen original al escribir.
- Organiza la producción en grupos.
- Procesos condicionalmente archivos basado en el valor de la información meta.
- Posibilidad de añadir etiquetas definidas por el usuario personalizados.
- El apoyo a las recomendaciones GTM (Grupo de Trabajo de Metadatos).
- Reconoce miles de diferentes etiquetas.
- Probado con imágenes de miles de diferentes modelos de cámara.
- Advanced detallado y salidas de volcado hexadecimal en formato HTML.
exiftool [parametros] [nombre_archivo]
Ejemplo:
Eliminar todos los metadatos de una imagen:
exiftool -all= imagen.jpg
Grampus
Esta herramienta escrita en python y de código abierto facilita la recopilación de información a traves de la extracción de metadatos de diferentes documentos y tareas de finger/foot printing.
Características:
- Extracción de metadatos de documentos e imágenes, formatos soportados : Openoffice/Libreoffice, Office 2007, Office 2003, PDF, jpg, flv y gif.
- Eliminación de metadatos extraidos de diferentes documentos e imágenes.
- Tres tipos de Crawlers, entre los que se encuentra un crawler de documentos (por extensión) usando Google hacking.
- Para la tarea del fingerprinting contamos con un server banner y un escaneo mediante Shodan usando su api
Dcdd3
Dc3dd es una versión modificada de dd, y tiene como función darnos el control de las funciones de disco de bajo nivel. Dc3dd contiene características que son de gran utilidad a la investigación forenses, incluyendo características que ayudan a proteger el disco original de la copia.Suele ser muy útil al momento de querer hace una imagen de disco de gran tamaño en partes pequeñas, esto puede suceder cuando se trata de archivos de imágenes que son pesados para una traslado mas sencillo.
Dc3dd es una versión modificada de dd, y tiene como función darnos el control de las funciones de disco de bajo nivel. Dc3dd contiene características que son de gran utilidad a la investigación forenses, incluyendo características que ayudan a proteger el disco original de la copia.Suele ser muy útil al momento de querer hace una imagen de disco de gran tamaño en partes pequeñas, esto puede suceder cuando se trata de archivos de imágenes que son pesados para una traslado mas sencillo.
Ten en cuenta que la copia de imágenes raw (bit a bit) de medios
que luego pueden ser empleadas en análisis forense. En este campo de la
investigación forense la captura de imágenes crudas sigue siendo lo más
recomendable cuando se analiza un medio, ya que el espacio no asignado
puede contener trazas útiles para la investigación que serían obviadas
si empleamos utilidades de copia inteligente.
dcfldd Esta herramienta también está basada en dd, pero se diferencia de dc3dd en que es una bifurcación de dd, no una actualización de la misma. Como consecuencia, dcfldd tiene similitudes con dc3dd, pero su código es distinto, y sus características también
dcfldd Esta herramienta también está basada en dd, pero se diferencia de dc3dd en que es una bifurcación de dd, no una actualización de la misma. Como consecuencia, dcfldd tiene similitudes con dc3dd, pero su código es distinto, y sus características también
Mount Manager
Esta herramienta permite detectar, montar, desmontar, examinar y administrar las unidades de almacenamientos, conectadas a disco duro, tanto las unidades internas como las externas.
Guymager
Es una herramienta forense, con la capacidad de crear copias bit a bit o réplicas de imagen de disco, es bastante ágil en su funcionamiento y crea replicas en formatos dd, EWF, AFF.
Air(Imagen y Restauración Automática)
Air Es una aplicación en modo grafico para el uso del comando dd/dclfdd (Datataset Definition (dd)). Fue diseñado como una mejora en modo gráfico de todas las variantes de dd, su fácil uso permite crear imágenes forenses de discos y de particiones completas del mismo. Soporta MD5/SHAx hashes, cintas SCSI, proyección de imágenes sobre una red TCP/IP, imágenes partidas, y registración detallada de la sesión.
Autopsy3
Autopsy es una plataforma forense digital e interfaz gráfica para The Sleuth Kit y otras herramientas forenses digitales. Puede ser utilizada por fuerzas del orden, militares, y examinadores corporativos para investigar lo que ocurrió en una computadora. Aunque se puede utilizar para recuperar las fotos desde la tarjeta de memoria de una cámara digital.
Autopsy 3, utiliza la popular interfaz web de The Sleuth Kit. La v3 sólo está disponible Windows y está basada en Java.
Una característica muy útil es el módulo de Ingest y la posibilidad de seleccionar los plugins que van a utilizarse; de esta forma, para ganar algo de tiempo, podemos realizar una ingesta de datos con un único plugin para tener algo sobre lo que trabajar y, mientras realizamos un análisis preliminar, podemos dejar cargando y procesando el resto de plugins.
Uno de los plugins que nos puede ahorrar algo de tiempo a la hora de descartar archivos conocidos sin manipular es la base de datos de hashes, que compara el hash de los archivos con dicha base de datos. La base de datos que es de obligada descarga es la NSRL del NIST, National Software Reference Library, con un tamaño actual de 6 GB de software conocido (tanto bueno como “malo”). No obstante, hay que recordar que no contiene entradas de malware sino más bien herramientas consideradas para hacking, desde nmap a herramientas de esteganografía
Con el plugin del hash database activado, seleccionando la base de datos del tipo NSRL. Si queremos utilizar una base de datos de malware, tendremos que recurrir a algunas de pago o utilizar servicios online de consulta de hashes que nos dirá, uno a uno, si se reconoce como malware. Entre esos servicios online tenemos la Hash Database de SANS, OWASP File Hash Repository, Malware Hash Registry de Team Cymru, o VirusTotal, entre muchos otros.
The Sleuth Kit es un conjunto de herramientas open source para el análisis de imágenes de discos. Inicialmente desarrollada para plataformas UNIX, esta suite actualmente se encuentra disponible también para OS X y Windows. Además, TSK cuenta con una interfaz gráfica conocida como Autopsy que agrupa todas sus herramientas y plugins.
Tal vez la mejor herramienta libre que existe para el análisis de evidencia digital. Su interfaz gráfica es un browser que basado en las herramientas en línea de comandos del Sleuth Kit, permite un análisis de diversos tipos de evidencia mediante una la captura de de una imagen de disco.
Estos módulos son los que permitirán el descubrimiento de información relevante y se describen a continuación:
- Recent Activity: extrae la actividad reciente que se ha realizado en la computadora bajo investigación. Esto incluye los documentos recientemente abiertos, dispositivos conectados, historial web, cookies, descargas y marcadores, por ejemplo.
- Hash Lookup: permite agregar bases de datos con valores de hash para archivos conocidos, como los archivos del sistema operativo o de aplicaciones instaladas. Así, puede ahorrarse mucho tiempo al evitar realizar búsquedas en estos archivos conocidos.
- Archive Extractor: permite recuperar archivos eliminados, basándose en los metadatos residuales que quedan en el disco, así como también recuperar archivos en espacios no asignados en el disco, mediante la detección de los encabezados de archivos.
- Exif Image Parser: permite analizar la información disponible en el encabezado Exif de los archivos de imagen JPEG que se encuentran en el disco. Esto provee información acerca de la cámara con que se tomó la imagen, fecha y hora o la geolocalización, entre otras cosas.
- Keyword Search: puede definirse una lista de palabras clave o expresiones regulares a buscar en todo el disco. Como se observa en la imagen anterior, Autopsy ya viene con una lista de expresiones regulares incluidas para búsqueda de números telefónicos, direcciones IP, direcciones de correo electrónico y URL.
Características de Autopsy
A continuación se muestra la lista de características de la autopsy.
- Análisis de la línea de tiempo: muestra los eventos del sistema en una interfaz gráfica para ayudar a identificar la actividad.
- Búsqueda por Palabra: módulos de extracción de texto e índice de búsquedas que permiten encontrar archivos mencionando términos específicos o patrones de expresiones regulares.
- Artefactos Web: Extrae la actividad web de los navegadores más habituales para ayudar a identificar la actividad del usuario.
- Análisis del Registro: Usos RegRipper para identificar los documentos usados recientemente y dispositivos USB.
- Análisis de archivos LNK: Identifica atajos y accesos a documentos
- Análisis de correo electrónico: Analiza los mensajes de formato MBOX, como Thunderbird.
- EXIF: Extractos de geo ubicación y la información de los archivos JPEG de la cámara.
- Clasificación de tipo de Archivo: agrupa los ficheros por su tipo para encontrar todas las imágenes o documentos.
- Soporte para reproducción: Ver vídeos e imágenes en la aplicación y no requiere un visor externo.
- Visor de miniaturas: muestra miniaturas de las imágenes que te ayudarán ver rápidamente las imágenes.
- Análisis del sistema de archivos robusto: Soporte para sistemas de archivos comunes, incluyendo NTFS , FAT12 , FAT16 , FAT32, HFS + , ISO9660 (CD- ROM) , Ext2 , Ext3 y UFS de el Sleuth Kit .
- Filtrado de Hash Set: Filtrado de archivos buenos conocidos usando NSRL y la bandera de los archivos malos conocidos usando hashsets personalizados en HashKeeper , md5sum y formatos EnCase .
- Etiquetas: Archivos de etiquetas con los nombres de etiquetas arbitrarias, tales como ” marcador ” o ” sospechoso”, y añadir comentarios.
- Extracción de Cadenas Unicode: cuerdas Extractos de espacio no asignado y los tipos de archivos desconocidos en muchos idiomas ( árabe, chino, japonés , etc.)
- Raw Simple (Por ejemplo: *.img, *.dd, *.raw, etc)
- Raw Dividido (Por ejemplo: *.001, *.002, *.aa, *.ab, etc)
- EnCase (Por ejemplo: *.e01, *.e02, etc)
Permite cargar los datos de cualquier archivo, ver y editar en formato hexadecimal o ASCII. Por medio del editor hexadecimal, el usuario puede ver, redactar, reparar o modificar el contenido intacto y exacto de un archivo binario.
PhotoRec
Recupera datos y archivos perdidos incluyendo vídeo, documentos y archivos de discos duros y CD/DVD. Incluyendo la búsqueda en el espacio no asignado en disco, examinando cabecera tipo de archivo específico y los valores de pie de página.
Gtkhash
Una magnifica herramienta para el cálculo de diferentes funciones hash de un archivo y sumas de comprobación de mensajes. Actualmente los tipos soportados incluyen funciones de hash MD5, SHA1, SHA256, SHA512, RIPEMD, HAVAL, TIGER y WHIRLPOOL. Esta herramienta es bastante útil, para comprobar el correcto estado de un archivo, o la comparación entre dos(2) archivos iguales, para comprobar su integridad.
Hfsutils
HFS es una herramienta para leer y escribir volúmenes de Macintosh, de su "sistema de ficheros jerárquico", el formato de volumen nativos utilizados en los modernos ordenadores Macintosh. hfsutils es el nombre de un completo paquete de software están desarrollando para permitir la manipulación de los volúmenes HFS de UNIX y otros sistemas.
Dvdisaster
Dvdisaster es una fabulosa herramienta que examina CD / DVD / BD, con el fin de recuperar archivos, incluso después de algunos errores de lectura. Esto permite rescatar información dañada o de difícil lectura a un nuevo medio de almacenamiento tras su recuperación.
Ophcrack
Utilidad para romper u obtener contraseñas de usuario en el sistema operativo Windows. Su funcionamiento se basa en el análisis de las tablas rainbow para el acceso a las claves de la SAM (Security Accounts Manager).
SAM es el gestor de seguridad para cuentas de usuario, de los actuales sistemas operativos Microsoft Windows. Este servicio se emplea durante los procesos de acceso al sistema, y retiene información del usuario que se ha logeado ante el sistema.
Tesdisk
TestDisk es una buena herramienta diseñada para recuperar particiones perdidas de almacenamiento de datos, o recuperar la capacidad del disco para hacerlo booteable. Estas funciones son exitosas cuando los problemas son causados por software con fallas, ciertos tipos de virus o en caso de borrar accidentalmente una tabla de particiones. Su función no aplica para discos duros con daños físicos, sin embargo puede intentar el acceso a las particiones dañadas u ocultas.
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
2 comentarios :
gracias
Es una excelente recopilación de herramientas para el análisis forense, los probaré todos.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.