Herramientas para analisis_forense_informatico_clase_cuarta_uao

Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com

Jhon Jairo Hernández HernandezAnalista Seguridad Informática

Investigador Informática Forense

Password S.A.TheMuroGroup

Asesor/ Consultor TICs

Compulink-jjhNickname – Dinosaurio (Dino)

http://World-Of-Dino.blogspot.com

[email protected]

@d7n0

Herramientas para Análisis Forense Informático



Las herramientas informáticas forenses representan una base fundamental en el análisis de la evidencia digital



Hel ix3 Pro es un kit de herramientas para informática forense.Multi-plataforma para tres ambientes, Mac OS X, Windows y Linux con una interfaz fácil de utilizar :

Crear imágenes forenses de todos los dispositivos internos

Hacer una imagen forense de la memoria física (32 y 64 bits)

Determinar si el nivel de cifrado de disco está encendido

Un entorno de arranque válida a efectos legales para arrancar un sistema x86

Crear imágenes forenses de todos los dispositivos

Sistemas de archivos de la búsqueda para tipos de archivo específicos (es decir, archivos gráficos, archivos de documentos, etc)

http://www.e-fense.com/products.php



Varias aplicaciones de código abierto para ayudar a los forenses con el análisis de datos, incluyendo el análisis del teléfono celular

Sleuthkit LinEn Libewf + mount_ewf Carvfs Cryptsetup Truecrypt lvm2 Scalpel Foremost LibPff Volatility plus many plugins moto4lin gmobilemedia gammu gnokii frag_find pythonraw ptfinder



La estación de trabajo S I F T es un appliance de VMware, pre-configurado con las herramientas necesarias para llevar a cabo un examen forense detallado digital en una variedad de entornos.

Es compatible con el formato Expert Witness (E01), Advanced Formato Forense (AFF) y primas (dd) los formatos de las pruebas. La nueva versión ha sido completamente reconstruido en una base de Ubuntu con muchas nuevas capacidades y herramientas tales como log2timeline que proporciona una línea de tiempo que puede ser de enorme valor para los investigadores.

S I F T 2 . 0 incluye todas las herramientas que un analista forense / incidente de respuesta que requieren para llevar a cabo una investigación a fondo del sistema

http://computer-forensics.sans.org/community/downloads#over



File system support Windows (MSDOS, FAT, VFAT, NTFS) MAC (HFS) Solaris (UFS) Linux (EXT2/3/4)

Evidence Image Support o Expert Witness (E01)o RAW (dd)o Advanced Forensic Format (AFF)

Software Includes: The Sleuth Kit (File system Analysis Tools) log2timeline (Timeline Generation Tool) ssdeep & md5deep (Hashing Tools) Foremost/Scalpel (File Carving) WireShark (Network Forensics) Vinetto (thumbs.db examination) Pasco (IE Web History examination) Rifiuti (Recycle Bin examination) Volatility Framework (Memory Analysis) DFLabs PTK (GUI Front-End for Sleuthkit) Autopsy (GUI Front-End for Sleuthkit) PyFLAG (GUI Log/Disk Examination) 100s more tools -> See Detailed Tool Listing

New in SIFT 2.12o iPhone, Blackberry, and Android Forensic Capabilitieso Registry Viewer (YARU)o Compatibility with F-Response Tactical, Standard, and Enterpriseo PTK 2.0 (Special Release - Not Available for Download)o Automated Timeline Generation via log2timelineo Many Firefox Investigative Pluginso Windows Journal Parser and Shellbags Parser (jp and sbag)o Many Windows Analysis Utilities (prefetch, usbstor, event log, and more)o Complete Overhaul of Regripper Plugins (added over 80 additional plugins)

Características SIFT Workstation 2.12 :



Un sistema basado en GNU / Linux y optimizado para informática forense y Ciber- actividades de inteligencia, instalables o capaces de funcionar en modo directo; DART (Digital Avanzado de Respuesta Toolkit) es una interfaz gráfica de usuario que maneja - en un ambiente de ahorro - la ejecución de "Respuesta a Incidentes" y las herramientas forenses en vivo.



Características principales DEFT’s Linux/Dart’s: Based on Lubuntu 11.10 Installable Distro Linux kernel 3.0.0-12, USB 3 ready Libewf 20100226 Afflib 3.6.14 TSK 3.2.3 Autopsy 2.24 Digital Forensic Framework 1.2 PTK Forensic 1.0.5 DEFT edition Pyflag Maltego CE KeepNote 0.7.6 Mobius Forensic Xplico 0.7.1 Scalpel 2 Hunchbackeed Foremost 0.6

Findwild 1.3 Bulk Extractor 1.1 Dropbox Reader Emule Forensic 1.0 Guymager 0.6.3-1 Dhash 2 Cyclone wizard acquire tool Ipddump Iphone Analyzer Iphone backup analyzer SQLite Database Browser 2.0b1 BitPim 1.0.7 Bbwhatsapp database converter Reggripper Creepy 0.1.9 Hydra 7.1 Log2timeline 0.60 Wine 1.3.28



7zip Advanced Password Recovery AviScreen BlackBag IOReg Info

BlackBag PMAP Info CamStudio ClamWin ConTools Database Browser dcfldd (per

Windows) DeepBurner DiskDigger Don’t Sleep DriveMan EMFSpoolViewer Emule MET viewer Eraser Portable f3e FastStone Viewer

FATwalker FAU x64 FileAlyzer 2 FileInfo FAU x86 FileAlyzer 2 FileInfo fmem FSV Thumbs Extractor FTK Imager FTK Imager CLI (Win, Linux, Mac) GMER Gsplit Harvester HDDRawCopy Historian HWiNFO HWiNFO32 e

HWiNFO64 HxD ICESword index.dat Analyzer IrfanView (con plugin) JAD EDD JAD Facebook JPG Finder Jam-Software Treesize Jam-Software UltraSearch JPEGsnoop LAN Search Pro 32/64 Lime Juicer LimeWire Library Parser v4 e v5 Lnkexaminer ltfviewer Mail-Cure for Outlook

Express Mandiant Audit Viewer Mandiant Memoryze

http://www.deftlinux.net/



• Mandiant RestorePointAnalyzer• Mandiant Web Historian • md5deep for Windows • md5summer• MDD • MediaPlayerClassic (x86/x64)• Mitec Mail Viewer • MiTec Structured Storage Viewer• Mitec Windows File Analyzer • Mitec Windows Registry Rescue• NetSetMan • Nigilant32• Nirsoft Access PassView• Nirsoft AlternateStreamView • Nirsoft Asterisk Logger• Nirsoft AsterWin • Nirsoft AsterWin IE • Nirsoft Bluetooth Viewer

• Nirsoft BulletsPassView x86 e x64• Nirsoft ChromeCacheView • Nirsoft ChromeCookiesView• Nirsoft ChromeHistoryView • Nirsoft ChromePass • Nirsoft CurrPorts x86 e x64 • Nirsoft CurrProcess • Nirsoft Dialupass • Nirsoft Enterprise Manager

PassView • Nirsoft FirefoxDownloadsView • Nirsoft FlashCookiesView • Nirsoft FoldersReport • Nirsoft HashMyFiles • Nirsoft IE Cache View• Nirsoft IE Cookies View • Nirsoft IE History View • Nirsoft IE PassView

http://www.deftlinux.net/



CAINE (Computer Aided Medio Ambiente de investigación) Es un distribución GNU / Linux italiana creado como un proyecto de análisis forense digital.

En la actualidad el director del proyecto es Nanni Bassetti.

CAINE ofrece un entorno completo forense que se organiza para integrar las herramientas existentes de software como módulos de software y para proporcionar una interfaz gráfica amigable.http://www.caine-live.net/



WinTaylor es la nueva interfaz forense construida para Windows e incluidos en Live CD de Caine.

Está escrito en Visual Basic 6 para maximizar la compatibilidad con los sistemas Windows, y proporciona un conjunto interno de conocidos programas de ciencia forense.

WinTaylor propone una integración forense de software simple y completa y hereda la filosofía de diseño de Caín.

http://www.caine-live.net/page2/page2.html



BackTrack 5 Live CD basado en Casper en modo Off, y no contiene secuencias de comandos del sistema de archivos de montaje automático en absoluto. Los scripts de inicialización del sistema se han alterado en el modo de arranque forenses con el fin de que BackTrack 5 no va a buscar o hacer uso de todas las particiones swap que están contenidos en el sistema. Todas estas secuencias se han eliminado del sistema.



FIRE es una distribución portable basado en un CD-ROM de arranque con el objetivo de proporcionar un entorno más cercano para realizar el análisis forense, respuesta a incidentes, recuperación de datos, escaneo de virus y evaluación de la vulnerabilidad.

También ofrece herramientas necesarias para el análisis forense en vivo o de análisis en Win32, Solaris SPARC y x86 hosts de Linux sólo por el montaje del CD-ROM y el uso de binarios estáticos de confianza en el directorio / statbins

http://fire.dmzs.com/



FCCU GNU/Linux Forensic Bootable es un CD de arranque basado en Debian-Live que contiene una gran cantidad de herramientas adecuadas para la investigación en informática forense, incluyendo las secuencias de comandos bash.

Su principal objetivo es crear imágenes de los dispositivos anteriores al análisis, y es utilizado por Belgian Federal Computer Crime Unit.

http://freecode.com/projects/fccubootcd



El forense digital Live CD (DFLCD) es desarrollado por el equipo de digitaalonderzoeker.nl.

El propósito de este Live CD es centralizar todas las herramientas forenses que los detectives digitales se pueden utilizar en una investigación.

http://www.linux23.com/torrent/digital-forensic-livecd-dflcd:05248d35c86698630f1c1b39158456459daa1047



http

://accessdata.co

m/



http://www.guidancesoftware.com/


Herramientas para Análisis Forense Informáticohttp://www.guidancesoftware.com/encase-forensic-v7-whats-new.htm


Herramientas para Análisis Forense InformáticoLas agencias policiales de todo el mundo se enfrentan a un desafío común en su lucha contra los delitos informáticos, pornografía infantil, fraude en línea, y otros delitos facilitados por ordenador: Se debe capturar una prueba importante en un equipo en la escena de una investigación antes de que se apaga y se retira para su posterior análisis. "En Vivo" las pruebas, tales como los procesos activos del sistema y los datos de la red, es volátil y puede ser perdido en el proceso de apagar una computadora. ¿Cómo puede un agente en el lugar efectivamente hacer esto si él o ella no es un equipo capacitado de expertos forenses?

Para ayudar a resolver este problema, Microsoft ha creado Computer Online Forensic evidencia Extractor (CAFE), diseñado exclusivamente para su uso por las fuerzas del orden.

http://www.microsoft.com/industry/government/solutions/cofee/default.aspx



En respuesta a Microsoft's Computer Online Forensic Evidence Extractor (COFEE), que ayuda a los funcionarios encargados de hacer cumplir la toma datos de fuentes protegidas por contraseña o cifrado, dos desarrolladores han creado "Detectar y eliminar la informática forense asistida" (descafeinado), una herramienta de inteligencia contra diseñado para frustrar el Microsoft Forensic Toolkit.

D E C A F supervisa el equipo se está ejecutando en busca de signos de que COFEE está funcionando en la máquina y hace todo lo posible para detenerlo.

Más específicamente, el programa elimina los archivos temporales de COFEE, mata a sus procesos, borra todos los registros de Cofee, desactiva unidades USB, e incluso contamina o parodia una variedad de direcciones MAC para enturbiar las pistas forenses.

http://www.4shared.com/file/198790543/485e583/DECAFv200.html



El Sleuth Kit (TSK) es una biblioteca C y una colección de herramientas de línea de comandos. Autopsy es una interfaz gráfica para TSK. TSK se puede integrar en sistemas automatizados de análisis forense de muchas maneras, incluso como una biblioteca de C, y mediante el uso de la base de datos SQLite que puede crear. El kit Sleuth Hadoop marco es un marco que incorpore TSK en el cloud computing a gran escala de análisis de datos.



Ubuntu Rescue Remix es una recopilación de distintas utilidades para recuperación de datos montadas en un Live CD que permite el arranque del sistema.

http://ubuntu-rescue-remix.org/





Éste es el último disco bootable del FBI. Es un TODO EN UNO con herramientas de análisis forense informático. Muy útil a la hora de efectuar peritajes.

http://freedownloaz.blogspot.com/2008/03/fbi-forensic-field-kit.html



Es una herramienta de investigación digital y una plataforma de desarrollo.

El marco es utilizado por administradores de sistemas, examinadores de aplicación de la ley, los investigadores forenses digitales y estudiantes, y profesionales de la seguridad en todo el mundo.

Escrito en Python y C + +, que utiliza exclusivamente las tecnologías de código abierto.

FDF combina una interfaz de usuario intuitiva con una arquitectura modular y multiplataforma.

http://www.digital-forensic.org/blog/



X-Ways Forensics es un entorno de trabajo avanzado para examinadores forenses de la computadora y nuestro producto estrella. Se ejecuta bajo Windows 2000/XP/2003/Vista * / 2008 * / 7 *, 32 Bit/64 bits. Comparado con sus competidores, X-Ways Forensicses es más eficiente de utilizar después de un tiempo, a menudo se ejecuta más rápido, no es tan ávido de recursos, encuentra los archivos borrados y los resultados de búsqueda que los competidores van a perder, ofrece muchas características que los otros carecen,. .., y lo que se refiere a una fracción del costo! Se basa en el editor hexadecimal WinHex y el disco y parte de un modelo de flujo de trabajo eficiente, donde los datos forenses informáticos comparten los examinadores y colaborar con los investigadores que usan X-Ways Investigator.

http://www.x-ways.net/forensics/



INSERT es un sistema completo, de arranque de linux. Viene con una interfaz gráfica de usuario que ejecuta el gestor de ventanas Fluxbox sin dejar de ser lo suficientemente pequeño para caber en una tarjeta de crédito del tamaño de CD-ROM.

http

://ww

w.in

side-se

curity.d

e/ins

ert_en.h

tml



http

://live

vie

w.s

ou

rce

forg

e.n

et/


Herramientas para Análisis Forense InformáticoAuthor: Brian Carrier A collection of file system and disk images that test the functionality of analysis tools.Website: http://www.dftt.org

http://www.dftt.org/


Herramientas para Análisis Forense InformáticoAuthor: David Kovar analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in a format that allows further analysis with other tools.Website: http://www.integriography.com/

http://www.integriography.com/


Herramientas para Análisis Forense InformáticoPrograma: Windows SysternalsAutor: Microsoft

Descargar programa en:http://www.sysinternals.com http://www.integriography.com/

http://www.sysinternals.com/

http://www.integriography.com/


Herramientas para Análisis Forense InformáticoPrograma: Foundstone free forensic toolsAutor: McAfee

Descargar programa en:http://www.mcafee.com/us/downloads/free-tools/index.aspx

http://www.mcafee.com/us/downloads/free-tools/index.aspx


Herramientas para Análisis Forense InformáticoPrograma: NTFS Data Recovery SoftwareAutor: NTFS

Descargar programa en:http://www.ntfs.com/products.htm

http://www.ntfs.com/products.htm


Herramientas para Análisis Forense InformáticoPrograma: National Software Referente LibraryAutor: Departamento de Comercio NSRL

Descargar programa en:http://www.nsrl.nist.gov/

http://www.nsrl.nist.gov/


Herramientas para Análisis Forense InformáticoPrograma: Digital Detective Forensic Computing Tools & UtilitiesAutor: Digital Detective Group

Descargar programa en:http://www.digital-detective.co.uk/downloads.asp

http://www.digital-detective.co.uk/downloads.asp


Herramientas para Análisis Forense InformáticoDescargar programa en:http://www.e-evidence.info/other.html

http://www.e-evidence.info/other.html



http://www2.opensourceforensics.org/tools/windows

http://www2.opensourceforensics.org/tools/windows



h t t p : / / c o m p u t e r - f o r e n s i c s . s a n s . o r g / c o m m u n i t y / w h i t e p a p e r s /

http://computer-forensics.sans.org/community/whitepapers/



h t t p : / / w w w . n i r s o f t . n e t / c o m p u t e r _ f o r e n s i c _ s o f t w a r e . h t m l

http://www.nirsoft.net/computer_forensic_software.html



http://www.ausejo.net/seguridad/forense.htm

http://www.ausejo.net/seguridad/forense.htm



http://forensiccontrol.com/resources/free-software/

http://forensiccontrol.com/resources/free-software/



http://katanaforensics.com/

http://katanaforensics.com/



http://jascha.me/projects/local-area-security/

http://jascha.me/projects/local-area-security/



http://www.forensic-computing.ltd.uk/tools.htm

http://www.forensic-computing.ltd.uk/tools.htm



http://www.evestigate.com/COMPUTER%20FORENSIC%20RESOURCES.htm

http://www.evestigate.com/COMPUTER%20FORENSIC%20RESOURCES.htm



http://sourceforge.net/projects/fhclive/

http://sourceforge.net/projects/fhclive/



http://www.dmares.com/maresware/linksto_forensic_tools.htm

http://www.dmares.com/maresware/linksto_forensic_tools.htm



http://livecdlist.com/purpose/forensics

http://livecdlist.com/purpose/forensics



http://www.forensicswiki.org/

http://www.forensicswiki.org/

Herramientas para analisis_forense_informatico_clase_cuarta_uao

Technology

Transcript of Herramientas para analisis_forense_informatico_clase_cuarta_uao