Escolar Documentos
Profissional Documentos
Cultura Documentos
MONTAJE DE DISCOS
Utilidades para montar imgenes de disco o virtualizar unidades de forma que se tenga acceso al sistema
de archivos para posteriormente analizarla.
OSFMount - Permite montar imgenes de discos locales en Windows asignando una letra de
unidad.
LiveView - Utilidad en java que crea una mquina virtual de VMware partiendo de una imagen de
disco.
MountImagePro - Permite montar imgenes de discos locales en Windows asignando una letra de
unidad
Scalpel -Independiente del sistema de archivos. Se puede personalizar los archivos o directorios a
recuperar.
RecoverRS - Recupera urls de acceso a sitios web y archivos. Realiza carving directamente desde
una imgen de disco.
Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no
conocemos los parmetros RAID.
Rstudio - Recuperacin de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32,
Pg. 1 de 10
exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2
(FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y
consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230
aplicaciones como chat de google, Facebook, IOS, memoria RAM, memoria virtual,etc.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT
ANLISIS DE MALWARE
SWF Mastah - Programa en Python que extrae stream SWF de archivos PDF.
Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellos
LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los
procesos ejecutados.
Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propsito es la deteccin
de exploits
Pg. 2 de 10
FRAMEWORKS
Conjunto estandarizado de conceptos, prcticas y criterios en base a el anlisis forense de un caso.
PTK - Busca archivos, genera hash, dispone de rainbow tables. Analiza datos de un disco ya
montado.
OSForensics - Busca archivos, genera hash, dispone de rainbow tables. Analiza datos de un disco
ya montado.
Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy til.
WRR - Permite obtener de forma grfica datos del sistema, usuarios y aplicaciones partiendo del
registro.
Registry Decoder - Extrae y realiza correlacin aun estando encendida la mquina datos del
registro.
HERRAMIENTAS DE RED
Todo lo relacionado con el trfico de red, en busca de patrones anmalos, malware, conexiones
sospechosas, identificacin de ataques, etc.
Netwitness Investigator - Herramienta forense. La versin 'free edition' est limitado a 1GB de
trfico.
Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisicin y anlisis de la red.
Xplico - Extrae todo el contenido de datos de red (archivo pcap o adquisicin en tiempo real). Es
capaz de extraer todos los correos electrnicos que llevan los protocolos POP y SMTP, y todo el
contenido realizado por el protocolo HTTP.
Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores.
Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya
sea fsica, virtual o en la nube.
AlientVault - Al igual que Splunk recolecta los datos y logs aplicndoles una capa de inteligencia
para la deteccin de anomalas, intrusiones o fallos en la poltica de seguridad.
RECUPERACIN DE CONTRASEAS
Todo lo relacionado con la recuperacin de contraseas en Windows, por fuerza bruta, en formularios, en
navegadores.
Pg. 3 de 10
Ntpwedit - Es un editor de contrasea para los sistemas basados en Windows NT (como Windows
2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseas de cuentas de sistema local.
No valido para Active Directory.
Ntpasswd - Es un editor de contrasea para los sistemas basados en Windows, permite iniciar la
utilidad desde un CD-LIVE
pwdump7 - Vuelca los hash. Se ejecuta mediante la extraccin de los binarios SAM.
SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para
ataques por fuerza bruta.
DISPOSITIVOS MVILES
Esta seccin dispone de un set de utilidades y herramientas para la recuperacin de datos y anlisis
forense de dispositivos mviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y
considero que son muy interesantes e importantes.
iPhone
iPhone Backup Browser - Extrae archivos de una copia de seguridad realizada anteriormente.
BlackBerry
Phoneminer - Permite extraer, visualizar y exportar los datos de los archivos de copia de
seguridad.
Blackberry Backup Extractor - Permite extraer, visualizar y exportar los datos de los archivos
de copia de seguridad.
Android
androguard
Permite
DEX/ODEX/APK/AXML/ARSC
obtener,
modificar
desensamblar
formatos
PRODUCTOS COMERCIALES
No podan faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rpidas y
concisas.
Lo peor en alguna de ellas es el precio.
XRY (http://www.msab.com)
Mobilyze (http://www.blackbagtech.com)
Pg. 4 de 10
SecureView2 (http://mobileforensics.susteen.com)
MobilEdit! (http://www.mobiledit.com)
CellDEK (http://www.logicube.com)
Lantern (http://katanaforensics.com)
Neutrino (www.guidancesoftware.com)
ENCASE
http://www.guidancesoftware.com
Pg. 5 de 10
Forensic Toolkit
http://www.accessdata.com
FTK (Forensic Tool Kit) es otro paquete de herramientas forenses muy utilizado por los
profesionales. Al igual que el anterior, se trata de una distribucin comercial. Permite anlisis de
correo electrnico y de archivos comprimidos, opciones de bsqueda de archivos y restauracin
de datos, as como mltiples archivos y formados de adquisicin.
CAINE
http://www.caine-live.net
Pg. 6 de 10
Caine (Computer Aided Investigative Environment ) Es una distribucin Live CD basada en Ubuntu.
Ofrece un completo entorno forense, de modo que integra herramientas de software existentes,
proporcionando una interfaz grfica amigable. Precisamente ste es el punto clave de CAINE, su
interfaz, que permite una integracin sencilla y bastante amigable, con respecto a otras
distribuciones Live CD.
Entre otras posibilidades, permite clonar y montar unidades, manipular volmenes de diferentes
sistemas operativos (Windows, Unix, Macintosh), recuperar archivos o borrarlos de forma segura,
recuperar unidades de disco, auditar los dispositivos conectados a la red (incluso determinando
qu puertos tienen abiertos), editores hexadecimales, recuperar archivos de imgenes y de vdeo,
recuperar contraseas, examinar el contenido de los archivos de respaldo que los mviles Iphone
dejan en el disco, recuperar datos de DVDs Adems, incluye a otras herramientas como Autopsy.
DEFT
http://www.deftlinux.net
DEFT (Digital Evidence & Forensic Toolkit ) es una distribucin Live CD basada en Linux Kernel 3 y
DART (Digital Advanced Response Toolkit). Se trata de un proyecto italiano de gran xito, por
cierto, y que incluye las mejores herramientas forenses. Adems de un nmero considerable de
aplicaciones de Linux y scripts, DEFT tambin cuenta con la suite de DART que contiene
aplicaciones de Windows. Uno de nuestros Live CDs favoritos. Muy recomendable.
Pg. 7 de 10
Autopsy Forensic Browser es una interfaz grfica para las herramientas de investigacin digital
Sleuth Kit. Se ejecuta principalmente sobre plataformas Linux. Su filosofa de funcionamiento se
basa en dos tipos de anlisis: anlisis de sistema muerto (se utiliza la herramienta desde otro
sistema operativo y con el sistema a investigar en su soporte sin cargar) o anlisis de sistema vivo
(cuando se est analizando el sistema sospechoso mientras est funcionando).
HELIX
http://www.e-fense.com
HELIX es otra famosa distribucin Linux basada en Ubuntu para respuesta a incidentes y anlisis
forense. Est desarrollada por e-fense y, aunque sus versiones iniciales eran gratis, desde hace
unos aos se ofrece como un producto de pago. Dispone de una versin de evaluacin por 30
das, ideal para probar el producto. Esta distribucin es muy parecida a la distro CAINE, en cuanto
Pg. 8 de 10
a entorno y funcionalidad.
SIFT
http://digital-forensics.sans.org
SIFT (SANS Investigate Forensic Toolkit, SIFT) Constituye otra distro basada en Ubuntu y que
tambin incluye herramientas como SleuthKit/Autopsy, Wireshark, Pasco
Pg. 9 de 10
Otro entorno integrado lo ofrece la firma alemana X-Ways (software comercial). Ofrece
herramientas forenses, recuperacin de datos, seguridad IT. Su buque insignia es WinHex,
software para informtica forense, recuperacin de archivos y editor hexadecimal de archivos,
discos y RAM.
Notas finales
Hay que decir que muchas de las herramientas basadas en Live CDs se ejecutan directamente sobre el
terminal, y en la mayora de las distribuciones Linux que hemos probado el teclado no est configurado en
espaol, lo que dificulta la escritura de parmetros, por ejemplo. Por ello, es conveniente cambiar la
configuracin del teclado.
Otro de los problemas encontrados en estas distribuciones Linux es que algunas requieren el montaje de
las unidades de disco por parte del usuario. Para este fin algunos Live CDs disponen de herramientas que
montarn los discos de forma automtica, aunque habitualmente lo hacen con permisos de lectura. Este
modo no es til si se desea montar un disco duro externo para almacenar informacin. En tal caso, para
montar una unidad con permisos de lectura y escritura, indicar que se debe montar manualmente.
Pg. 10 de 10