Herramientas de análisis forense informático con Kali Linux.

CSI

 

En muchos casos se piensa en Kali Linux, es una de las distribuciones Linux más populares disponibles para los profesionales de la seguridad. Contiene todo el paquete sólido de programas que se pueden usar para realizar una serie de operaciones basadas en seguridad.

La ciencia forense se está volviendo cada vez más importante en la era digital actual, donde muchos delitos se cometen utilizando la tecnología digital, tener una comprensión de la ciencia forense puede aumentar en gran medida la posibilidad de asegurarse de que los delincuentes no salgan impunes de un delito.

Autopsy

Una herramienta utilizada por los militares, las policías y las entidades cuando llega el momento de realizar operaciones forenses. Este paquete es probablemente uno de los más robustos disponibles a través de código abierto, combina las funcionalidades de muchos otros paquetes más pequeños que están más enfocados en su enfoque en una aplicación ordenada con una interfaz de usuario basada en el navegador web. Se usa para investigar imágenes de disco. Cuando hace clic en Autopsy, inicia el servicio y se puede acceder a su interfaz de usuario en el navegador web en http://localhost:9999/autopsy. Brinda al usuario una gama completa de opciones necesarias para crear un nuevo archivo de caso: Nombre del caso, Descripción, Nombre del investigador, Nombre de host, Huso horario del host, etc.

Sus funcionalidades incluyen: análisis de la línea de tiempo, búsqueda de palabras clave, artefactos web, filtrado hash, talla de datos, multimedia e indicadores de compromiso. Acepta imágenes de disco en formato RAW o E01 y genera informes en HTML, XLS y archivo de cuerpo dependiendo de lo que se requiere para un caso particular.

Su robustez es lo que lo convierte en una gran herramienta, ya sea gestión de casos, análisis o informes, esta herramienta lo tiene cubierto.

Binwalk

Esta herramienta se utiliza al tratar con imágenes binarias, tiene la capacidad de encontrar archivos incrustados y códigos ejecutables mediante la exploración del archivo de imagen. Es una herramienta muy poderosa para aquellos que saben lo que están haciendo, si se usa correctamente, se puede usar para encontrar información confidencial escondida en las imágenes de firmware que pueden usarse para descubrir un truco o para encontrar información que explotar.

Esta herramienta está escrita en python y usa la biblioteca libmagic, lo que la hace perfecta para usar con firmas mágicas creadas para la utilidad de archivos Unix. Para facilitar las cosas a los investigadores, contiene un archivo de firma mágica, comúnmente encontradas en el firmware, lo que facilita detectar anomalías.

binwalk

Usando el comando desde la terminal binwalk -h encontraras el menú de la herramienta

Bulk Extractor Esta es una herramienta muy interesante, cuando un investigador busca extraer cierto tipo de datos del archivo de evidencia digital, esta herramienta puede descifrar direcciones de correo electrónico, URL, números de tarjetas de pago, etc. Esta es una herramienta que funciona en directorios, archivos y discos imágenes. Los datos pueden estar parcialmente dañados o pueden ser comprimidos, esta herramienta encontrará su camino dentro de ella.

La herramienta viene con características que ayudan a crear un patrón en los datos que se encuentran repetidamente, como URL, ID de correo electrónico y más, y los presenta en un formato de histograma. Tiene una característica por la cual crea una lista de palabras a partir de los datos encontrados, esto puede ayudar a descifrar las contraseñas de los archivos cifrados.

 

Chkrootkit Este programa se usa principalmente en una configuración de arranque en vivo. Se usa para verificar localmente el host en busca de rootkits instalados. Es útil para tratar de fortalecer un punto final o asegurarse de que un hacker no haya comprometido un sistema.

Tiene la capacidad de detectar binarios del sistema para la modificación del rootkit, eliminaciones del último registro, reemplazos de cadenas sucias y rápidas y eliminaciones de Utemp. Esto es solo una muestra de lo que puede hacer, el paquete parece simple a primera vista, pero para un investigador forense, sus capacidades son invaluables.

 

Foremost

¿Archivos eliminados que podrían ayudar a resolver un incidente de datos? No hay problema, Foremost es un paquete de código abierto fácil de usar que puede extraer datos de discos formateados. Es posible que el nombre del archivo en sí no se recupere, pero los datos que contiene pueden ser tallados.

Foremost fue escrito por agentes especiales de la Fuerza Aérea de los Estados Unidos. Puede hacer archivos haciendo referencia a una lista de encabezados y pies de página, incluso si se pierde la información del directorio, esto hace que la recuperación sea rápida y confiable.

foremost

 

Galleta

Al seguir un rastro de cookies, esta herramienta las analizará en un formato que se puede exportar a un programa de hoja de cálculo.

Entender las cookies puede ser un hueso duro, especialmente si las cookies pueden ser evidencia de un cibercrimen que se cometió, este programa puede ayudar dando la capacidad de estructurar los datos en una mejor forma y permitiéndole ejecutarlos a través de un análisis software, la mayoría de los cuales generalmente requieren que los datos estén en alguna forma de hoja de cálculo.

 

Hashdeep

Este programa es imprescindible cuando se trata de hashes. Sus valores predeterminados se centran en MD5 y SHA-256. Pueden ser archivos existentes que se hayan movido en un conjunto o archivos nuevos colocados en un conjunto, archivos faltantes o archivos coincidentes, Hashdeep puede trabajar con todas estas condiciones y proporcionar informes que puedan analizarse detenidamente; es muy útil para realizar auditorías.

Una de sus mayores fortalezas es la realización de cálculos hash recursivos con múltiples algoritmos, que es integral cuando el tiempo es esencial.

Volafox

Esta es una herramienta de análisis de memoria que se ha escrito en Python, está enfocada hacia la memoria forense para MAC OS X. Funciona en el marco Intel x86 y IA-32e. Si está tratando de encontrar malware o cualquier otro programa malicioso que haya estado o esté residiendo en la memoria del sistema, este es el camino a seguir.

volafox

 

Volatility

Probablemente uno de los marcos más populares cuando se trata de memoria forense. Esta es una herramienta basada en Python que permite a los investigadores extraer datos digitales de muestras de memoria volátil (RAM). Es compatible para ser utilizado con la mayoría de las variantes de ventanas de 64 y 32 bits, sabores selectivos de las distribuciones de Linux, incluido Android. Acepta dump de memoria en diversas formas, ya sea formato sin formato, dump de emergencia, archivos de hibernación o instantáneas de VM, puede dar una idea clara del estado de tiempo de ejecución de la máquina, esto se puede hacer independientemente de la investigación de los hosts.

Aquí hay algo que considerar, los archivos descifrados y las contraseñas se almacenan en la RAM, y si están disponibles, la investigación de archivos que podrían estar cifrados en el disco duro puede ser mucho más fácil y el tiempo total de la investigación puede reducirse considerablemente.

 

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación..

Acerca del autor

Pentesting. Estudiante de ingeniería en sistemas y mantenimiento de sistemas informáticos. UNA