Herramientas Analisis Informatico Forense

Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com

Jhon Jairo Hernández HernandezAnalista Seguridad Informática

Investigador Informática ForensePassword S.A.TheMuroGroup

Asesor/ Consultor TICsCompulink-jjh

Nickname – Dinosaurio (Dino)

http://World-Of-Dino.blogspot.com

[email protected]

@d7n0

Herramientas para Análisis Forense Informático

http://World-Of-Dino.blogspot.com

mailto:[email protected]


Herramientas para Análisis Forense InformáticoLas herramientas informáticas forenses representan unabase fundamental en el análisis de la evidencia digital



Hel ix3 Pro es un kit de herramientaspara informática forense.Multi-plataforma para tres ambientes, MacOS X, Windows y Linux con una interfaz fácilde utilizar :

Crear imágenes forenses de todos losdispositivos internos Hacer una imagen forense de lamemoria física (32 y 64 bits) Determinar si el nivel de cifrado dedisco está encendido

Un entorno de arranque válida a efectoslegales para arrancar un sistema x86

Crear imágenes forenses de todos losdispositivos Sistemas de archivos de la búsquedapara tipos de archivo específicos (esdecir, archivos gráficos, archivos dedocumentos, etc)http://www.e-fense.com/products.php


Herramientas para Análisis Forense InformáticoVarias aplicaciones de código abierto paraayudar a los forenses con el análisis de datos,incluyendo el análisis del teléfono celular

Sleuthkit LinEn Libewf + mount_ewf Carvfs Cryptsetup Truecrypt lvm2 Scalpel Foremost LibPff Volatility plus many pluginsmoto4lin gmobilemedia gammu gnokii frag_find pythonraw ptfinder

http://www.e-fense.com/products.phpJhon



La estación de trabajo S I F T es unappliance de VMware, pre-configurado conlas herramientas necesarias para llevar acabo un examen forense detallado digital enuna variedad de entornos.

Es compatible con el formato Expert Witness(E01), Advanced Formato Forense (AFF) yprimas (dd) los formatos de las pruebas. Lanueva versión ha sido completamentereconstruido en una base de Ubuntu conmuchas nuevas capacidades y herramientastales como log2timeline que proporciona unalínea de tiempo que puede ser de enormevalor para los investigadores.

S I F T 2 . 0 incluye todas las herramientasque un analista forense / incidente derespuesta que requieren para llevar a cabouna investigación a fondo del sistema

http://computer-forensics.sans.org/community/downloads#over


Herramientas para Análisis Forense InformáticoFile system support

Windows (MSDOS, FAT, VFAT, NTFS) MAC (HFS) Solaris (UFS) Linux (EXT2/3/4)

Evidence Image Supporto Expert Witness (E01)o RAW (dd)o Advanced Forensic Format (AFF)

Software Includes: The Sleuth Kit (File system Analysis Tools) log2timeline (Timeline Generation Tool) ssdeep & md5deep (Hashing Tools) Foremost/Scalpel (File Carving)WireShark (Network Forensics) Vinetto (thumbs.db examination) Pasco (IE Web History examination) Rifiuti (Recycle Bin examination) Volatility Framework (Memory Analysis) DFLabs PTK (GUI Front-End for Sleuthkit) Autopsy (GUI Front-End for Sleuthkit) PyFLAG (GUI Log/Disk Examination) 100s more tools -> See Detailed ToolListing

New in SIFT 2.12o iPhone, Blackberry, and Android ForensicCapabilitieso Registry Viewer (YARU)o Compatibility with F-Response Tactical,Standard, and Enterpriseo PTK 2.0 (Special Release - Not Availablefor Download)o Automated Timeline Generation vialog2timelineo Many Firefox Investigative Pluginso Windows Journal Parser and ShellbagsParser (jp and sbag)o Many Windows Analysis Utilities(prefetch, usbstor, event log, and more)o Complete Overhaul of Regripper Plugins(added over 80 additional plugins)

CaracterísticasSIFT Workstation 2.12 :

http://computer-forensics.sans.org/community/downloads#overJhon



Un sistema basado en GNU / Linux y optimizado para informática forense y Ciber-actividades de inteligencia, instalables o capaces de funcionar en modo directo;DART (Digital Avanzado de Respuesta Toolkit) es una interfaz gráfica de usuarioque maneja - en un ambiente de ahorro - la ejecución de "Respuesta a Incidentes"y las herramientas forenses en vivo.



Características principales DEFT’sLinux/Dart’s: Based on Lubuntu 11.10 Installable Distro Linux kernel 3.0.0-12, USB 3 ready Libewf 20100226 Afflib 3.6.14 TSK 3.2.3 Autopsy 2.24 Digital Forensic Framework 1.2 PTK Forensic 1.0.5 DEFT edition Pyflag Maltego CE KeepNote 0.7.6 Mobius Forensic Xplico 0.7.1 Scalpel 2 Hunchbackeed Foremost 0.6

Findwild 1.3 Bulk Extractor 1.1 Dropbox Reader Emule Forensic 1.0 Guymager 0.6.3-1 Dhash 2 Cyclone wizard acquire tool Ipddump Iphone Analyzer Iphone backup analyzer SQLite Database Browser 2.0b1 BitPim 1.0.7 Bbwhatsapp database converter Reggripper Creepy 0.1.9 Hydra 7.1 Log2timeline 0.60Wine 1.3.28



7zip Advanced Password Recovery AviScreen BlackBag IOReg Info

BlackBag PMAP Info CamStudio ClamWin ConTools Database Browser dcfldd (per

Windows) DeepBurner DiskDigger Don’t Sleep DriveMan EMFSpoolViewer Emule MET viewer Eraser Portable f3e FastStone Viewer

FATwalker FAU x64 FileAlyzer 2 FileInfo FAU x86 FileAlyzer 2 FileInfo fmem FSV Thumbs Extractor FTK Imager FTK Imager CLI (Win, Linux, Mac) GMER Gsplit Harvester HDDRawCopy Historian HWiNFO HWiNFO32 e

HWiNFO64 HxD ICESword index.dat Analyzer IrfanView (con plugin) JAD EDD JAD Facebook JPG Finder Jam-Software Treesize Jam-Software UltraSearch JPEGsnoop LAN Search Pro 32/64 Lime Juicer LimeWire Library Parser v4 e v5 Lnkexaminer ltfviewer Mail-Cure for Outlook

Express Mandiant Audit Viewer Mandiant Memoryze

http://www.deftlinux.net/



• Mandiant RestorePointAnalyzer• Mandiant Web Historian• md5deep for Windows• md5summer• MDD• MediaPlayerClassic (x86/x64)• Mitec Mail Viewer• MiTec Structured Storage Viewer• Mitec Windows File Analyzer• Mitec Windows Registry Rescue• NetSetMan• Nigilant32• Nirsoft Access PassView• Nirsoft AlternateStreamView• Nirsoft Asterisk Logger• Nirsoft AsterWin• Nirsoft AsterWin IE• Nirsoft Bluetooth Viewer

• Nirsoft BulletsPassView x86 e x64• Nirsoft ChromeCacheView• Nirsoft ChromeCookiesView• Nirsoft ChromeHistoryView• Nirsoft ChromePass• Nirsoft CurrPorts x86 e x64• Nirsoft CurrProcess• Nirsoft Dialupass• Nirsoft Enterprise Manager

PassView• Nirsoft FirefoxDownloadsView• Nirsoft FlashCookiesView• Nirsoft FoldersReport• Nirsoft HashMyFiles• Nirsoft IE Cache View• Nirsoft IE Cookies View• Nirsoft IE History View• Nirsoft IE PassView

http://www.deftlinux.net/

http://www.deftlinux.net/Jhon



CAINE (Computer Aided MedioAmbiente de investigación)Es un distribución GNU / Linuxitaliana creado como un proyectode análisis forense digital.

En la actualidad el director delproyecto es Nanni Bassetti.

CAINE ofrece un entornocompleto forense que se organizapara integrar las herramientasexistentes de software comomódulos de software y paraproporcionar una interfaz gráficaamigable.http://www.caine-live.net/

http://www.deftlinux.net/Jhon



http://www.caine-live.net/



WinTaylor es la nueva interfazforense construida para Windowse incluidos en Live CD de Caine.

Está escrito en Visual Basic 6para maximizar la compatibilidadcon los sistemas Windows, yproporciona un conjunto internode conocidos programas deciencia forense.

WinTaylor propone unaintegración forense de softwaresimple y completa y hereda lafilosofía de diseño de Caín.

http://www.caine-live.net/page2/page2.html



BackTrack 5 Live CD basado en Casper en modo Off, y no contienesecuencias de comandos del sistema de archivos de montaje automáticoen absoluto. Los scripts de inicialización del sistema se han alterado enel modo de arranque forenses con el fin de que BackTrack 5 no va abuscar o hacer uso de todas las particiones swap que están contenidosen el sistema. Todas estas secuencias se han eliminado del sistema.

http://www.caine-live.net/page2/page2.html



FIRE es una distribución portable basado en un CD-ROM de arranque con elobjetivo de proporcionar un entorno más cercano para realizar el análisis forense,respuesta a incidentes, recuperación de datos, escaneo de virus y evaluación dela vulnerabilidad.

También ofrece herramientas necesarias para el análisis forense en vivo o deanálisis en Win32, Solaris SPARC y x86 hosts de Linux sólo por el montaje delCD-ROM y el uso de binarios estáticos de confianza en el directorio / statbins

http://fire.dmzs.com/



FCCU GNU/Linux ForensicBootable es un CD dearranque basado en Debian-Live que contiene una grancantidad de herramientasadecuadas para lainvestigación en informáticaforense, incluyendo lassecuencias de comandosbash.

Su principal objetivo es crearimágenes de los dispositivosanteriores al análisis, y esutilizado por Belgian FederalComputer Crime Unit.

http://freecode.com/projects/fccubootcd

http://fire.dmzs.com/



El forense digital Live CD (DFLCD) es desarrollado por el equipo dedigitaalonderzoeker.nl.

El propósito de este Live CD es centralizar todas las herramientas forenses quelos detectives digitales se pueden utilizar en una investigación.

http://www.linux23.com/torrent/digital-forensic-livecd-dflcd:05248d35c86698630f1c1b39158456459daa1047

http://freecode.com/projects/fccubootcd



http://accessdata.com/

http://www.linux23.com/torrent/digital-forensic-livecd-dflcd:05248d35c86698630f1c1b39158456459daa1047



http://www.guidancesoftware.com/

http://accessdata.com/


Herramientas para Análisis Forense Informáticohttp://www.guidancesoftware.com/encase-forensic-v7-whats-new.htm

http://www.guidancesoftware.com/


Herramientas para Análisis Forense InformáticoLas agencias policiales de todo el mundo seenfrentan a un desafío común en su luchacontra los delitos informáticos, pornografíainfantil, fraude en línea, y otros delitosfacilitados por ordenador: Se debe capturaruna prueba importante en un equipo en laescena de una investigación antes de quese apaga y se retira para su posterioranálisis. "En Vivo" las pruebas, tales comolos procesos activos del sistema y los datosde la red, es volátil y puede ser perdido enel proceso de apagar una computadora.¿Cómo puede un agente en el lugarefectivamente hacer esto si él o ella no esun equipo capacitado de expertos forenses?

Para ayudar a resolver este problema,Microsoft ha creado Computer OnlineForensic evidencia Extractor (CAFE),diseñado exclusivamente para su uso porlas fuerzas del orden.

http://www.microsoft.com/industry/government/solutions/cofee/default.aspx

http://www.guidancesoftware.com/encase-forensic-v7-whats-new.htm



En respuesta a Microsoft's Computer OnlineForensic Evidence Extractor (COFEE), queayuda a los funcionarios encargados de hacercumplir la toma datos de fuentes protegidaspor contraseña o cifrado, dos desarrolladoreshan creado "Detectar y eliminar la informáticaforense asistida" (descafeinado), unaherramienta de inteligencia contra diseñadopara frustrar el Microsoft Forensic Toolkit.

D E C A F supervisa el equipo se estáejecutando en busca de signos de que COFEEestá funcionando en la máquina y hace todo loposible para detenerlo.

Más específicamente, el programa elimina losarchivos temporales de COFEE, mata a susprocesos, borra todos los registros de Cofee,desactiva unidades USB, e incluso contaminao parodia una variedad de direcciones MACpara enturbiar las pistas forenses.

http://www.4shared.com/file/198790543/485e583/DECAFv200.html

http://www.microsoft.com/industry/government/solutions/cofee/default.aspxJhon



El Sleuth Kit (TSK) es una bibliotecaC y una colección de herramientas delínea de comandos. Autopsy es unainterfaz gráfica para TSK. TSK sepuede integrar en sistemasautomatizados de análisis forense demuchas maneras, incluso como unabiblioteca de C, y mediante el uso dela base de datos SQLite que puedecrear. El kit Sleuth Hadoop marco esun marco que incorpore TSK en elcloud computing a gran escala deanálisis de datos.

http://www.4shared.com/file/198790543/485e583/DECAFv200.htmlJhon



Ubuntu Rescue Remix esuna recopilación dedistintas utilidades pararecuperación de datosmontadas en un Live CDque permite el arranquedel sistema.



Éste es el último disco bootable delFBI. Es un TODO EN UNO conherramientas de análisis forenseinformático. Muy útil a la hora deefectuar peritajes.

http://freedownloaz.blogspot.com/2008/03/fbi-forensic-field-kit.html



Es una herramienta de investigacióndigital y una plataforma de desarrollo.

El marco es utilizado por administradoresde sistemas, examinadores de aplicaciónde la ley, los investigadores forensesdigitales y estudiantes, y profesionales dela seguridad en todo el mundo.

Escrito en Python y C + +, que utilizaexclusivamente las tecnologías de códigoabierto.

FDF combina una interfaz de usuariointuitiva con una arquitectura modular ymultiplataforma.

http://www.digital-forensic.org/blog/

http://freedownloaz.blogspot.com/2008/03/fbi-forensic-field-kit.html



X-Ways Forensics es un entorno de trabajoavanzado para examinadores forenses dela computadora y nuestro productoestrella. Se ejecuta bajo Windows2000/XP/2003/Vista * / 2008 * / 7 *, 32 Bit/64bits. Comparado con sus competidores, X-Ways Forensicses es más eficiente deutilizar después de un tiempo, a menudo seejecuta más rápido, no es tan ávido derecursos, encuentra los archivos borradosy los resultados de búsqueda que loscompetidores van a perder, ofrece muchascaracterísticas que los otros carecen,. .., ylo que se refiere a una fracción del costo!Se basa en el editor hexadecimal WinHex yel disco y parte de un modelo de flujo detrabajo eficiente, donde los datos forensesinformáticos comparten los examinadoresy colaborar con los investigadores queusan X-Ways Investigator.

http://www.x-ways.net/forensics/

http://www.digital-forensic.org/blog/



INSERT es un sistema completo, de arranque de linux. Viene conuna interfaz gráfica de usuario que ejecuta el gestor de ventanasFluxbox sin dejar de ser lo suficientemente pequeño para caber enuna tarjeta de crédito del tamaño de CD-ROM.

http://ww

w.inside-security.de/insert_en.htm

l

http://www.x-ways.net/forensics/Jhon

http://www.inside



http

: / / l ive

vie

w.s

ou

rce

forg

e.n

et/


Herramientas para Análisis Forense InformáticoAuthor:Brian CarrierA collection of file system and disk images that test the functionality of analysis tools.Website:http://www.dftt.org

http://liveview.sourceforge.net/


Herramientas para Análisis Forense InformáticoAuthor:David KovaranalyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in a formatthat allows further analysis with other tools.Website:http://www.integriography.com/

http://www.dftt.orgJhon


Herramientas para Análisis Forense InformáticoPrograma: Windows SysternalsAutor: Microsoft

Descargar programa en:http://www.sysinternals.comhttp://www.integriography.com/

http://www.integriography.com/Jhon

http://www.sysinternals.com


Herramientas para Análisis Forense InformáticoPrograma: Foundstone free forensic toolsAutor: McAfee

Descargar programa en:http://www.mcafee.com/us/downloads/free-tools/index.aspx

http://www.integriography.com/Jhon


Herramientas para Análisis Forense InformáticoPrograma: NTFS Data Recovery SoftwareAutor: NTFS

Descargar programa en:http://www.ntfs.com/products.htm

http://www.mcafee.com/us/downloads/free-tools/index.aspxJhon


Herramientas para Análisis Forense InformáticoPrograma: National Software Referente LibraryAutor: Departamento de Comercio NSRL

Descargar programa en:http://www.nsrl.nist.gov/

http://www.ntfs.com/products.htmJhon


Herramientas para Análisis Forense InformáticoPrograma: Digital Detective Forensic Computing Tools & UtilitiesAutor: Digital Detective Group

Descargar programa en:http://www.digital-detective.co.uk/downloads.asp

http://www.nsrl.nist.gov/Jhon


Herramientas para Análisis Forense InformáticoDescargar programa en:http://www.e-evidence.info/other.html

http://www.digital-detective.co.uk/downloads.aspJhon



http://www2.opensourceforensics.org/tools/windows

http://www.e-evidence.info/other.htmlJhon



h t t p : / / c o m p u t e r - f o r e n s i c s . s a n s . o r g / c o m m u n i t y / w h i t e p a p e r s /

http://www2.opensourceforensics.org/tools/windowsJhon



h t t p : / / w w w . n i r s o f t . n e t / c o m p u t e r _ f o r e n s i c _ s o f t w a r e . h t m l

http://computer-forensics.sans.org/community/whitepapers/Jhon



http://www.ausejo.net/seguridad/forense.htm

http://www.nirsoft.net/computer_forensic_software.htmlJhon



http://forensiccontrol.com/resources/free-software/

http://www.ausejo.net/seguridad/forense.htmJhon


Herramientas para Análisis Forense Informáticohttp://katanaforensics.com/

http://forensiccontrol.com/resources/free-software/



http://jascha.me/projects/local-area-security/

http://katanaforensics.com/Jhon



http://www.forensic-computing.ltd.uk/tools.htm

http://jascha.me/projects/local-area-security/


Herramientas para Análisis Forense Informáticohttp://www.evestigate.com/COMPUTER%20FORENSIC%20RESOURCES.htm

http://www.forensic-computing.ltd.uk/tools.htm



http://sourceforge.net/projects/fhclive/

http://www.evestigate.com/COMPUTER%20FORENSIC%20RESOURCES.htmJhon



http://www.dmares.com/maresware/linksto_forensic_tools.htm

http://sourceforge.net/projects/fhclive/Jhon



http://livecdlist.com/purpose/forensics

http://www.dmares.com/maresware/linksto_forensic_tools.htmJhon



http://www.forensicswiki.org/

http://livecdlist.com/purpose/forensicsJhon



http://www.forensicswiki.org/Jhon

Herramientas Analisis Informatico Forense

Documents

Transcript of Herramientas Analisis Informatico Forense