Banner 1

[FORENSICS] Kit de Herramientas (I)

Hola

Aqui va una pequeña lista de herramientas que pueden sernos de utilidad para el analisis forense de sistemas Windows desde nuestro Linux (como el que tendremos que realizar en breve), aunque hay un poco de todo.

Espero os aprovechen Wink


Outport

Programa que permite exportar los datos desde Outlook a otros clientes de correo (p.e. Evolution). Probado por el autor con Outlook 2000 y Evolution 1.0.x y 1.2.x.


AIRT (Advanced incident response tool)
Conjunto de herramientas para el analisis y respuesta ante incidentes, utiles para localizar puertas traseras. Los 5 programas que lo componen son:

  • mod_hunter: busca modulos ocultos
  • process_hunter: busca procesos ocultos
  • sock_hunter: busca puertos ocultos
  • modumper: vuelca el contenido de un modulo oculto en un fichero
  • dismod: permite analizar el volcado anterior


Foremost
Utilidad para linux que permite realizar analisis forenses. Lee de un fichero de imagen o una particion de disco y permite extraer ficheros.


WebJob

Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operacion. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web. Soporta administracion centralizada, monitoreo de procesos, comprobacion de la integridad de ficheros, etc.


HashDig

Automatiza el proceso de calculo de los hashes MD5 y comprobacion de integridad, distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia.


md5deep

Conjunto de programas que permiten calcular resumenes MD5, SHA-1, SHA-256, Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin, *BSD, OS X, Solaris y seguro algunos mas. Similar en funcionalidad al programa md5sum se diferencia en las siguientes caracteristicas:

  • Recursividad.
  • Estimacion del tiempo de duracion del proceso.
  • Modo comparitivo.
  • Permite trabajar sobre un tipo de fichero determinado.


Automated Forensic Analysis

Herramienta para analisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan informacion interesante para un analisis forense.


Gpart

Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este dañado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un fichero o dispositivo.


TestDisk

Programa que permite chequear y recuperar una particion eliminada. Soporta BeFS (BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid, Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003), ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGI's Journaled File System.


Dump Event Log

Herramienta de linea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. Tambien puede utilizarse como filtro en la busqueda de determinados tipos de eventos.


fccu-docprop

Utilidad de linea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS. Utiliza la libreria libgsf para obtener los metadatos y pyede utilizarse en investigaciones forenses.


fccu.evtreader

Herramienta para analisis forense que permite al investigador analizar ficheros de log de eventos de Windows. Se trata de un script de perl que puede funcionar bajo Linux, y que deberia funcionar en otros sistemas.


GrokEVT

Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. Tambien permite extraer cualquier otro tipo de log y convertirlo en un formato legible.


Event Log Parser

Script PHP que, pasandole un fichero de log de Windows, permite extraer su contenido en un fichero de texto ASCII.


srprint

Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de restauracion del sistema de Windows XP. Este tipo de logs permiten averiguar la fecha de creacion y borrado de ficheros que ya no esten presentes en el sistema.


iDetect Toolkit

Utilidad que asiste a un investigador forense en el analisis de la memoria de un sistema comprometido.


Galleta

Una herramienta para el analisis forense de las cookies del Internet Explorer. Parsea la informacion de un fichero de cookie obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Pasco

Permite analizar los ficheros de registro de la actividad del Internet Explorer. Parsea la informacion de un fichero index.dat obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Web Historian

Asiste en la recuperacion de las URLs de los sitios almacenados en los ficheros historicos de los navegadores mas habituales, incluyendo: MS Internet Explorer, Mozilla Firefox, Netscape, Opera y Safari.


Rifiuti

Herramienta para el analisis forense de la informacion almacenada en la Papelera de Reciclaje de un sistema Windows. Parsea la informacion de un fichero INFO2 obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Reg Viewer

GUI en GTK 2.2 para la navegacion de ficheros de registro de Windows. Es independiente de la plataforma en que se ejecute.


RegParse

Script de perl que realiza el parseo de los datos de ficheros de registro de Windows en crudo. Abre el fichero en modo binario y parsea la informacion registro a registro. Escrito originalmente para Windows esta especialmente recomendado para el parseo del fichero NTUSER.DAT, system32\config\SYSTEM y system32\config\SOFTWARE.


Regutils

Herramientas para la manipulacion de ficheros ini y de registro de sistemas Windows 9x desde UNIX.


allimage

Esta herramienta para Windows nos permitira crear imagenes bit a bit de cualquier tipo de dispositivo de almacenamiento de datos (diskettes, cdroms, unidades usb, discos duros, etc). Cabe destacar que incluye un gestor para montaje de particiones de forma que puede resultar muy util para asignar una letra de unidad a un fichero de imagen de un sistema Windows de forma que pueda realizarse un analisis post-mortem.

Como "pega" pues que se trata de un problema comercial. Dispondremos de 14 dias para probar el software, tiempo mas que suficiente para lo que nos traemos entre manos (III Reto Wink ).


ProDiscover Basic Edition

Completo entorno grafico para el analisis forense de sistemas bajo entornos Windows. Permite realizar imagenes, preservar, analizar y realizar informes de los elementos contenidos en el dispositivo sujeto del analisis. Esta version, mas limitada que su hermano mayor, es completamente gratuita.

NOTA: He tenido problemas al intentar iniciar la ultima version liberada en un sistema Windows configurado para utilizar el español como idioma predeterminado del sistema, por lo que, en caso de tener problemas, descargar la version anterior.

NOTA: Para conseguir que se inicie la ultima version de la aplicacion (v5) es necesario entrar a la "Configuracion regional y de idioma", a traves del panel de control, y seleccionar "Ingles (Estados Unidos)" dentro de la opcion "Estandares y formatos".


FTK Imager

Herramienta que nos permitira realizar imagenes de un dispositivo comprometido. Entre sus caracteristicas tambien esta la conversion entre diferentes formatos de imagen, p.e. imagen dd a imagen de Encase, etc. Herramienta disponible de forma gratuita. Tambien existe una version lite, cuya funcionalidad es mas reducida.


PyFlag

Avanzada herramienta para el anslisis forense de grandes volumenes o imagenes de log. Desarrollada en python posee una interfaz accesible mediante navegador web. Entre sus caracteristicas posee la de integrar volatility, facilitando de esta forma el analisis de ficheros de imagen de la memoria fisica de un sistema Windows.

En principio esta pensada para ejecutarse bajo sistemas Linux pero en su ultima version tambien estan disponibles los paquetes necesarios para ejecutarla bajo un sistema Windows.


PlainSight

Completo entorno para el analisis forense de sistemas. Se trata de un sistema Linux que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todavia se encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la pista.


SmartMount

Herramienta que permite montar diferentes tipos de formatos de imagen, entre otras funcionalidades, y que se encuentra disponible tanto para linux como para Windows. Dado que todavia esta en fase beta es muy presumible que poco a poco vaya incluyendo nuevas funcionalidades.


Volatility Framework

Completo framework desarrollado en Python que nos permitir el analisis de un volcado de la memoria fisica de un sistema Windows. Ademas de ser multiplataforma ofrece las siguientes funcionalidades:

  • Obtener fecha y hora del contenido de la imagen
  • Listado de los procesos en ejecucion
  • Sockets de red abiertos
  • Conexiones de red abiertas
  • DLLs cargadas por cada proceso
  • Ficheros abiertos por cada proceso
  • Claves del registro abiertas por cada proceso
  • Direcciones de memoria asignadas a cada proceso
  • Modulos del kernel
  • Extraccion de ejecutables almacenados en memoria



Mantech Memory DD

Herramienta gratuita que nos permitira obtener un volcado en formato dd del contenido de la memoria fisica de un sistema Windows 2k, 2k3, XP, Vista y 2k8, tanto en sus versiones de 32 como de 64 bits. El fichero resultante es facilmente analizable con Volatility, con toda la potencia que ello implica.


win32dd

Herramienta open source que, al igual que la anterior, nos permitira obtener un volcado en formato dd del contenido de la memoria fisica de un sistema Windows.


Sandman Framework

Libreria desarrollada en C que, entre otras caracteristicas, nos permitira la conversion de un fichero hiberfil.sys a formato dd, de forma que
podamos analizarlo con Volatility. Actualmente unicamente soporta los ficheros hiberfil.sys de sistemas Windows XP a 2008 en sus versiones de 32 bits. Tambien incluye un port de la libreria de forma que pueda ser utilizada por scripts generados en python.


---

Saludos

fuente:http://www.wadalbertia.org/phpBB2/viewtopic.php?t=662 por neofito

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay