Forensics PowerTools / Listado de herramientas forenses

ADQUISICIN Y ANLISIS DE LA MEMORIA

Conjunto de utilidades que permite la adquisicin de la memoria RAN para posteriormente hacer un anlisis
con ella.

pd Proccess Dumper - Convierte un proceso de la memoria a archivo.

FTK Imager - Permite entre otras cosas adquirir la memoria.

DumpIt - Realiza volcados de memoria a archivo.

Responder CE - Captura la memoria y permite analizarla.

Volatility - Analiza procesos y extrae informacin til para el analista.

RedLine - Captura la memoria y permite analizarla. Dispone de entrono grfico.

Memorize - Captura la RAM (Windows y OSX).

MONTAJE DE DISCOS
Utilidades para montar imgenes de disco o virtualizar unidades de forma que se tenga acceso al sistema
de archivos para posteriormente analizarla.

ImDisk - Controlador de disco virtual.

OSFMount - Permite montar imgenes de discos locales en Windows asignando una letra de
unidad.

raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk

FTK Imager - Comentada anteriormente, permite realizar montaje de discos.

vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de

discos de Windows .

LiveView - Utilidad en java que crea una mquina virtual de VMware partiendo de una imagen de
disco.

MountImagePro - Permite montar imgenes de discos locales en Windows asignando una letra de
unidad

CARVING Y HERRAMIENTAS DE DISCO

Recuperacin de datos perdidos, borrados, bsqueda de patrones y archivos con contenido determinado
como por ejemplo imgenes, vdeos. Recuperacin de particiones y tratamiento de estructuras de discos.

PhotoRec - Muy til, permite la recuperacin de imgenes y vdeo.

Scalpel -Independiente del sistema de archivos. Se puede personalizar los archivos o directorios a
recuperar.

RecoverRS - Recupera urls de acceso a sitios web y archivos. Realiza carving directamente desde
una imgen de disco.

NTFS Recovery - Permite recuperar datos y discos an habiendo formateado el disco.

Recuva - Utilidad para la recuperacin de archivos borrados.

Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no
conocemos los parmetros RAID.

CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.

Restoration - Utilidad para la recuperacin de archivos borrados.

Rstudio - Recuperacin de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32,
Pg. 1 de 10

exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2
(FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.

Freerecover - Utilidad para la recuperacin de archivos borrados.

DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y
consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.

IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230
aplicaciones como chat de google, Facebook, IOS, memoria RAM, memoria virtual,etc.

Bulk_extractor - Permite extraer datos desde una imagen, carpeta o archivos.

UTILIDADES PARA EL SISTEMA DE ARCHIVOS

Conjunto de herramientas para el anlisis de datos y archivos esenciales en la bsqueda de un incidente.

analyzeMFT - David Kovar's utilidad en python que permite extraer la MFT

MFT Extractor- Otra utilidad para la extraccin de la MFT

INDXParse - Herramienta para los indices y archivo $I30.

MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT

MFT_Parser - Extrae y analiza la MFT

Prefetch Parser - Extrae y analiza el directorio prefetch

Winprefectchview - Extrae y analiza el directorio prefetch

Fileassassin - Desbloquea archivos bloqueados por los programas

ANLISIS DE MALWARE

PDF Tools de Didier Stevens.

PDFStreamDumper - Esta es una herramienta gratuita para el anlisis PDFs maliciosos.

SWF Mastah - Programa en Python que extrae stream SWF de archivos PDF.

Proccess explorer - Muestra informacin de los procesos.

Captura BAT - Permite la monitorizacin de la actividad del sistema o de un ejecutable.

Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellos

Bintext - Extrae el formato ASCII de un ejecutable o archivo.

LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los
procesos ejecutados.

Firebug - Anlisis de aplicaciones web.

IDA Pro - Depurador de aplicaciones.

OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.

Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propsito es la deteccin
de exploits

OfficeMalScanner - Es una herramienta forense cuyo objeto es buscar programas o archivos

maliciosos en Office.

Radare - Framework para el uso de ingeniera inversa.

FileInsight - Framework para el uso de ingeniera inversa.

Volatility Framework con los plugins malfind2 y apihooks.

shellcode2exe - Conversor de shellcodes en binarios.

Pg. 2 de 10

FRAMEWORKS
Conjunto estandarizado de conceptos, prcticas y criterios en base a el anlisis forense de un caso.

PTK - Busca archivos, genera hash, dispone de rainbow tables. Analiza datos de un disco ya
montado.

Log2timeline - Es un marco para la creacin automtica de un super lnea de tiempo.

Plaso - Evolucin de Log2timeline. Framework para la creacin automtica de un super lnea de

tiempo.

OSForensics - Busca archivos, genera hash, dispone de rainbow tables. Analiza datos de un disco
ya montado.

DFF - Framework con entorno grfico para el anlisis.

SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.

Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy til.

ANLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, archivos ejecutados, informacin del sistema,
direcciones IP, informacin de aplicaciones.

RegRipper - Es una aplicacin para la extraccin, la correlacin, y mostrar la informacin del

registro.

WRR - Permite obtener de forma grfica datos del sistema, usuarios y aplicaciones partiendo del
registro.

Shellbag Forensics Anlisis de los shellbag de Windows.

Registry Decoder - Extrae y realiza correlacin aun estando encendida la mquina datos del
registro.

HERRAMIENTAS DE RED
Todo lo relacionado con el trfico de red, en busca de patrones anmalos, malware, conexiones
sospechosas, identificacin de ataques, etc.

WireShark - Herramienta para la captura y anlisis de paquetes de red.

NetworkMiner - Herramienta forense para el descubrimiento de informacin de red.

Netwitness Investigator - Herramienta forense. La versin 'free edition' est limitado a 1GB de
trfico.

Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisicin y anlisis de la red.

Xplico - Extrae todo el contenido de datos de red (archivo pcap o adquisicin en tiempo real). Es
capaz de extraer todos los correos electrnicos que llevan los protocolos POP y SMTP, y todo el
contenido realizado por el protocolo HTTP.

Snort - Detector de intrusos. Permite la captura de paquetes y su anlisis.

Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores.
Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya
sea fsica, virtual o en la nube.

AlientVault - Al igual que Splunk recolecta los datos y logs aplicndoles una capa de inteligencia
para la deteccin de anomalas, intrusiones o fallos en la poltica de seguridad.

RECUPERACIN DE CONTRASEAS
Todo lo relacionado con la recuperacin de contraseas en Windows, por fuerza bruta, en formularios, en
navegadores.

Pg. 3 de 10

Ntpwedit - Es un editor de contrasea para los sistemas basados en Windows NT (como Windows
2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseas de cuentas de sistema local.
No valido para Active Directory.

Ntpasswd - Es un editor de contrasea para los sistemas basados en Windows, permite iniciar la
utilidad desde un CD-LIVE

pwdump7 - Vuelca los hash. Se ejecuta mediante la extraccin de los binarios SAM.

SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para
ataques por fuerza bruta.

DISPOSITIVOS MVILES
Esta seccin dispone de un set de utilidades y herramientas para la recuperacin de datos y anlisis
forense de dispositivos mviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y
considero que son muy interesantes e importantes.

iPhone

iPhoneBrowser - Accede al sistema de archivos del iphone desde entorno grfico.

iPhone Analyzer - Explora la estructura de archivos interna del iphone.

iPhoneBackupExtractor - Extrae archivos de una copia de seguridad realizada anteriormente.

iPhone Backup Browser - Extrae archivos de una copia de seguridad realizada anteriormente.

iPhone-Dataprotection - Contiene herramientas para crear un disco RAM forense, realizar

fuerza bruta con contraseas simples (4 dgitos) y descifrar copias de seguridad.

iPBA2 - Accede al sistema de archivos del iphone desde entorno grfico.

sPyphone - Explora la estructura de archivos interna.

BlackBerry

Blackberry Desktop Manager - Software de gestin de datos y backups.

Phoneminer - Permite extraer, visualizar y exportar los datos de los archivos de copia de
seguridad.

Blackberry Backup Extractor - Permite extraer, visualizar y exportar los datos de los archivos
de copia de seguridad.

MagicBerry - Puede leer, convertir y extraer la base de datos IPD.

Android

android-locdump. - Permite obtener la geolocalizacin.

androguard
Permite
DEX/ODEX/APK/AXML/ARSC

viaforensics - Framework de utilidades para el anlisis forense.

Osaf - Framework de utilidades para el anlisis forense.

obtener,

modificar

desensamblar

formatos

PRODUCTOS COMERCIALES
No podan faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rpidas y
concisas.
Lo peor en alguna de ellas es el precio.

UFED Standard (http://www.cellebrite.com)

XRY (http://www.msab.com)

Mobilyze (http://www.blackbagtech.com)
Pg. 4 de 10

SecureView2 (http://mobileforensics.susteen.com)

MobilEdit! (http://www.mobiledit.com)

Oxygen Forensic (http://www.oxygen-forensic.com)

CellDEK (http://www.logicube.com)

Mobile Phone Examiner (http://www.accessdata.com)

Lantern (http://katanaforensics.com)

Device Seizure (http://www.paraben.com)

Neutrino (www.guidancesoftware.com)

Utilidades Forenses y distribuciones Live CDs

Para comenzar desde cero, una buena opcin es conocer diferentes paquetes de herramientas de anlisis
forense que se distribuyen comercialmente, o bien de forma gratuita. Hay que considerar que las
soluciones que se ofrecen son muy similares en cuanto a posibilidades, de modo que utilizar una u otra
opcin depender casi del gusto de cada uno y de la facilidad con la que nos familiaricemos con cada
herramienta.
A continuacin se relacionan diferentes opciones.

ENCASE
http://www.guidancesoftware.com

Posiblemente es el paquete profesional ms utilizado. Se trata de una herramienta comercial

especfica para el anlisis forense de sistemas informticos.
Entre otras muchas posibilidades, EnCase permite escanear discos, crear imgenes de discos para
su posterior anlisis, recuperar archivos de unidades que hayan sido formateadas, realizar borrado
seguro de unidades a bajo nivel, consultas de archivos por tiempos de creacin, ltimo acceso y
ltima escritura, identificacin de extensiones de archivos, mltiples soporte de archivos.
Permite el anlisis sobre discos duros, dispositivos USB, tablets, smartphones Y genera los
informes adecuados, adems de exportar evidencias.
Sin duda, una buena opcin para profesionales.

Pg. 5 de 10

Forensic Toolkit
http://www.accessdata.com

FTK (Forensic Tool Kit) es otro paquete de herramientas forenses muy utilizado por los
profesionales. Al igual que el anterior, se trata de una distribucin comercial. Permite anlisis de
correo electrnico y de archivos comprimidos, opciones de bsqueda de archivos y restauracin
de datos, as como mltiples archivos y formados de adquisicin.

CAINE
http://www.caine-live.net

Pg. 6 de 10

Caine (Computer Aided Investigative Environment ) Es una distribucin Live CD basada en Ubuntu.
Ofrece un completo entorno forense, de modo que integra herramientas de software existentes,
proporcionando una interfaz grfica amigable. Precisamente ste es el punto clave de CAINE, su
interfaz, que permite una integracin sencilla y bastante amigable, con respecto a otras
distribuciones Live CD.
Entre otras posibilidades, permite clonar y montar unidades, manipular volmenes de diferentes
sistemas operativos (Windows, Unix, Macintosh), recuperar archivos o borrarlos de forma segura,
recuperar unidades de disco, auditar los dispositivos conectados a la red (incluso determinando
qu puertos tienen abiertos), editores hexadecimales, recuperar archivos de imgenes y de vdeo,
recuperar contraseas, examinar el contenido de los archivos de respaldo que los mviles Iphone
dejan en el disco, recuperar datos de DVDs Adems, incluye a otras herramientas como Autopsy.

DEFT
http://www.deftlinux.net

DEFT (Digital Evidence & Forensic Toolkit ) es una distribucin Live CD basada en Linux Kernel 3 y
DART (Digital Advanced Response Toolkit). Se trata de un proyecto italiano de gran xito, por
cierto, y que incluye las mejores herramientas forenses. Adems de un nmero considerable de
aplicaciones de Linux y scripts, DEFT tambin cuenta con la suite de DART que contiene
aplicaciones de Windows. Uno de nuestros Live CDs favoritos. Muy recomendable.

Sleuth Kit y Autopsy

Sleuth Kit es de Conjunto herramientas de anlisis forense de libre distribucin.
http://www.sleuthkit.org/sleuthkit/index.php
Autopsy es el interfaz grfico para The Sleuth Kit. Tambin de libre distribucin.
http://www.sleuthkit.org/autopsy/index.php

Pg. 7 de 10

Autopsy Forensic Browser es una interfaz grfica para las herramientas de investigacin digital
Sleuth Kit. Se ejecuta principalmente sobre plataformas Linux. Su filosofa de funcionamiento se
basa en dos tipos de anlisis: anlisis de sistema muerto (se utiliza la herramienta desde otro
sistema operativo y con el sistema a investigar en su soporte sin cargar) o anlisis de sistema vivo
(cuando se est analizando el sistema sospechoso mientras est funcionando).

HELIX
http://www.e-fense.com

HELIX es otra famosa distribucin Linux basada en Ubuntu para respuesta a incidentes y anlisis
forense. Est desarrollada por e-fense y, aunque sus versiones iniciales eran gratis, desde hace
unos aos se ofrece como un producto de pago. Dispone de una versin de evaluacin por 30
das, ideal para probar el producto. Esta distribucin es muy parecida a la distro CAINE, en cuanto
Pg. 8 de 10

a entorno y funcionalidad.

SIFT
http://digital-forensics.sans.org

SIFT (SANS Investigate Forensic Toolkit, SIFT) Constituye otra distro basada en Ubuntu y que
tambin incluye herramientas como SleuthKit/Autopsy, Wireshark, Pasco

X-Ways Forensic: Integrated Computer Forensics Software

http://www.x-ways.net/forensics/index-m.html

Pg. 9 de 10

Otro entorno integrado lo ofrece la firma alemana X-Ways (software comercial). Ofrece
herramientas forenses, recuperacin de datos, seguridad IT. Su buque insignia es WinHex,
software para informtica forense, recuperacin de archivos y editor hexadecimal de archivos,
discos y RAM.

Notas finales
Hay que decir que muchas de las herramientas basadas en Live CDs se ejecutan directamente sobre el
terminal, y en la mayora de las distribuciones Linux que hemos probado el teclado no est configurado en
espaol, lo que dificulta la escritura de parmetros, por ejemplo. Por ello, es conveniente cambiar la
configuracin del teclado.
Otro de los problemas encontrados en estas distribuciones Linux es que algunas requieren el montaje de
las unidades de disco por parte del usuario. Para este fin algunos Live CDs disponen de herramientas que
montarn los discos de forma automtica, aunque habitualmente lo hacen con permisos de lectura. Este
modo no es til si se desea montar un disco duro externo para almacenar informacin. En tal caso, para
montar una unidad con permisos de lectura y escritura, indicar que se debe montar manualmente.

Pg. 10 de 10