16 mayo 2012

101 utilidades forenses

La siguiente es un lista publicada por el blog "ConexionInversa":





Advanced
Prefetch Analyser
Hallan HayLee los ficheros prefetch de Windows. Simplemente genial



Agent RansackMythicsoft
Busca multiples ficheros usando Perl Regex. Lo he utilizado alguna vez con resultados muy efectivos.



analyzeMFT
David
Kovar
Permite realizar 'Parses' de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Lo he utilizado en combinación con EnCase.



Audit Viewer
Mandiant
Visualizador utilizado en combinación con Memoryze.



Autopsy
Brian Carrier
Reconocida herramienta gráfica para entornos Linux con muy buen sabor y experiencia en entornos forense. Es otro clásico a utilizar.
Backtrack
Backtrack

Suite de 'Penetration testing' y seguridad para la realización de auditorias de seguridad. Muy muy bueno.


Bitpim


Bitpim


Analiza dispositivos móviles como LG, Sanyo, etc.
Caine

University of Modena e Reggio Emilia

Live CD, con numerosas utilidades y herramientas.




Analiza tarjetas SIM, direcciones, llamadas, etc.
ChromeAnalysisforensic-softwareHerramienta que permite el análisis del historico de internet del famoso Google Chrome


ChromeCacheView


Nirsoft


Lee los ficheros de la cache de Google Chrome y visualiza en una lista lo que se encuentra almacenado.

DCode


Digital Detective


Convierte varios tipos de fechas y tiempos. Me ha venido bien para los distintos formatos en Unix.


Defraser


Varios


Detecta ficheros multimedia en espacios 'unallocated'.


Digital Forensics Framework


ArxSys


Framework que permite el análisis de volumenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos.
DumpItMoonSolsRealiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB

EDB ViewerLepide SoftwareVisualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.

EnCaseGuidancePotente herramienta y la mejor de su especie. De reconocido prestigio internacional. Vale para todo en el ámbito forense. Económicamente muy elevada pero muy recomendable. La suelo utilizar

Encrypted Disk Detector
JAD
software
Comprueba discos físicos en busca de ficheros o volumenes cifrados con TrueCrypt, PGP, o Bitlocker.


Exif Reader


Ryuuji Yoshimoto


Extrae datos(metadatos) Exif de fotografias digitales.

FastCopy

Shirouzu Hiroaki
Uno de los mas rapidos en copiar y/o borrar, permite utilizar

SHA-1. Lo he utilizado para copia masiva de datos con muy buenos resultados

FAT32 Format

Ridgecrop


Habilita la capacidad de almacenamiento de discos formateados en FAT32
Foca
Informatica64


   Herramienta para fingerprinting e information gathering en trabajos de auditoría web. Lo utilizo para casi todo, especialmente el tema de metadatos
Forensic Image ViewerSanderson Forensics

Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalización GPS. Lo suelo emplear bastante.

ForensicUserInfoWoanwareExtrae información relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives también desencripta hashes LM/NT.


FoxAnalysis


forensic-software


Herramienta que permite el análisis del historico de internet de firefox.
FTK ImagerAccessData

Herramienta para adquirir, montar y analizar de forma básica imágenes de equipos. También es capaz de volcar la memoria a fichero. Muy completa

Gmail Parser

Woanware


Obtiene de ficheros HTML información que se ha 'cacheado' al utilizar 'artefactos' de Gmail


HashMyFiles


Nirsoft


Calcula hashes MD5 y SHA.


Highlighter


Mandiant


Examina ficheros log usando texto, gráficos o histogramas.

IECacheView

Nirsoft


Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista.


IECookiesView


Nirsoft


Extrae detalles de las cookies de Internet Explorer.


IEHistoryView


Nirsoft


Extrae las visitas recientes de las URL's de Internet Explorer.


IEPassView


Nirsoft


Extrae las passwords de Internet Explorer en las versiones 4 a 8.


KaZAlyser


Sanderson Forensics


Extrae información del famoso programa P2P KAZA.
Live ViewCERT
Permite al analista examinar y 'arrancar' imagenes en formato dd y VMware. También muy útil

LiveContactsView

Nirsoft


Visor que permite exportar los contactos y otros detalles de Windows Live Messenger.
Mail ViewerMiTeCMaravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML.
MemoryzeMandiant
Adquiere y analiza imagenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos. Es algo engorroso, pero me encanta.

MFTview

Sanderson Forensics
Muestra y decodifica contenidos extraídos en ficheros MTF.



MobaLiveCDMobatekEjecuta un ISO linux desde windows sin tener que reiniciar. Basado en QEMU. Me ha venido bien en alguna ocasión para utilizar servidores FTP sin tener que tocar windows.
MobilEditMobilEdit
Recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayoría de los móviles.


Motorola Tools



"Flash & Backup" - actualiza el firmware y "M-Explorer" - administrador de archivos pequeños, fáciles de usar y gratis


MozillaCacheView


Nirsoft


Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado.


MozillaCookieView


Nirsoft


Extrae detalles de las cookies de Mozilla.


MozillaHistoryView


 Nirsoft


Herramienta que permite el análisis del historico de internet de Mozilla.
MyLastSearchNirsoft

Extrae búsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) también en redes sociales (Twitter, Facebook, MySpace)


Netdetector


Niksun


Analizador de red y detector de intrusiones


Netwitness Investigator


Netwitness


Analizador de paquetes de red. Increíblemente bueno.
NetworkMinerNetresec
Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc.

Notepad ++


Notepad ++


Ya jamas volveré al notepad clásico después de utilizar este Notepad.


OperaCacheView


Nirsoft


Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado.


OperaPassView


Nirsoft


Desencripta las password del fichero 'wand.dat' de Opera.

Oxygen

Oxygen


Maravillosa herramienta comercial analiza todos los datos disponibles de un móvil. No puedo vivir si ella.


P2 eXplorer


Paraben


Realiza montajes virtuales de unidades y de imágenes. Casi toda la suite, por no decir toda es muy interesante y útil.
P2 Shuttle FreeParabenSuite maravillosa que permite montar remotamente discos, captura de tráfico de red, de RAM, utilidades de búsqueda etc.
Paraben ForensicsParabenAl igual que las anteriores, recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir.


PasswordFox


Nirsoft


Extrae usuario y contraseñas almacenadas en Mozilla Firefox.
Process MonitorMicrosoft

Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta

PST Viewer

Lepide Software


Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook.


PsTools


Microsoft


Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima.

recuva

Piriform


Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad


Registry Decoder


Digital Forensics Solutions


Para la adquisición, análisis e informe del contenido del registro.
RegRipperHarlan Carvey

Herramienta de correlación y extracción de evidencias forenses del registro. Todo un lujo del maestro de los maestros forenses. La utilizo día si y día también.


Regshot


Regshot


Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware.
rstudio


Es una suite de software de recuperación de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux


Shadow Explorer


Shadow Explorer


Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware. Muy bueno.


SIFT


SANS


VMware Appliance de SANS configurado con multiples herramientas para el análisis forense. Otra tool para llevar encima.


SkypeLogView


Nirsoft


Analizador del famoso Skype

Snort

Snort


El mas versatil y magnifico detector de intrusos. Me ha salvado muchas veces del apocalipsis

SQLite Manager


Mrinal Kant, Tarakant Tripathy


add-on en Firefox que permite ver contenidos de bases de datos SQLite. Otra de las joyas de la corona.


Strings


Microsoft


No puedo vivir sin el. Busca contenido de texto en ficheros.


Structred Storage Viewer

MiTec


Visualiza y maneja estructuras basadas en ficheros MS OLE. Lo sigo utilizando.
Suite Getdatagetdata

Magnifica suite de herramientas forenses para el montaje de discos virtuales, imágenes y recuperación y analisis de datos. Excelente conjunto de herramientas


Triana Tools


Informatica64


Herramienta indispensable para el análisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos
Ubuntu guideHow-To Geek

Guia para usar con Unbuntu live con objeto de utilizar recuperación de particiones, ficheros, etc. Tengo mala memoria y suelo acudir alguna vez.
UFEDCellebrite

Es el sistema más completo que combina la extracción lógica y física, la recuperación de clave de acceso y extracción del sistema de archivos de multiples dispositivos móviles. Es caro pero de lo mejor

Unhide

Security
By
default


Me encanta, muy útil en tiempos desesperados, mas si se trata de entornos Linux. Si quieres detectar procesos 'raros' este es tu software


USB Device Forensics


Woanware


Detalles de las unidades USB que se han conectado a un equipo.


USB Write Blocker


DSi


Habilita la posibilidad de escribir o bloquear puertos USB.


USBDeview


Nirsoft


Igual que la anterior.


UserAssist


Didier Stevens


Muestra una lista de programas que se han ejecutado incluyendo ultima ejecución , número de veces y fechas y horas. Muy bueno.


VHD Tool


Microsoft


Convierte discos e imágenes al formato VHD que se puede montar en Windows desde el administrador de discos. Me ha sacado de algún apuro
VideoTriageQCC

Produce miniaturas de ficheros de video con objeto de apreciar imágenes o movimientos perdidos en la película. Excelente utilidad para mostrar evidencias.





Volatility Framework


Volatile Systems


Framework que se compone de una colección de herramientas para la extracción de ficheros RAM. Maravillosa herramienta para la detección de Malware. La tengo configurada en SIFT de SANS.

Web Historian

Mandiant


Magnifica herramienta que reúne las anteriores y permite de los navegadores mas utilizados obtener el historico de navegación.


Windows File Analyzer


MiTeC


Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Como os podeis imaginar lo empleo muchísimo.



Windows Forensic Environment


Troy Larson


Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a windows PE).


Wireshark


Wireshark


Algo que decir de esta maravillosa herramienta?. Excepcional!!


Xplico


xplico


Entorno gráfico para poder entender y visualizar el contenido de ficheros PCAP. Muy útil!!




OSforensicsOsforensicsUna forma rapida de investigar el contenido de ficheros borrados, último acceso. Muy útil si tienes prisa y el equipo no es necesario aportarlo para una evidencia.








ResponderHBgary
Convierte la memoria RAM a disco y reconstruye todas las estructuras de datos subyacentes de hasta 6 gigabytes de RAM.




LiveviewLiveview
Es una herramienta basada en Java que crea una máquina virtual de VMware de una imagen de disco sin procesar (dd-style) o un disco físico. Muy buena!!

Tomado de: http://seguridad-informacion.blogspot.com.ar/2012/05/101-utilidades-forenses.html

No hay comentarios:

Publicar un comentario