Herramientas para realizar análisis forense

En este artículo daremos a conocer algunas de las herramientas utilizadas en el ámbito de la informática forense para la recuperación de datos borrados o recolección de evidencia digital. De los que hablaremos serán:

Outport

Programa que permite exportar los datos desde Outlook a otros clientes de correo (p.e. Evolution). Probado por con Outlook 2000 y Evolution 1.0.x y 1.2.x.

AIRT (Advanced incident response tool)

Conjunto de herramientas para el análisis y respuesta ante incidentes, útiles para localizar puertas traseras. Los 5 programas que lo componen son:
mod_hunter: busca módulos ocultos
process_hunter: busca procesos ocultos
sock_hunter: busca puertos ocultos
modumper: vuelca el contenido de un modulo oculto en un fichero
dismod: permite analizar el volcado anterior

Foremost

Utilidad para Linux que permite realizar análisis forenses. Lee de un fichero de imagen o una partición de disco y permite extraer ficheros.

WebJob

Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operación. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web. Soporta administración centralizada, monitoreo de procesos, comprobación de la integridad de ficheros, etc.

HashDig

Automatiza el proceso de cálculo de los hashes MD5 y comprobación de integridad, distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia.

Md5deep

Conjunto de programas que permiten calcular resúmenes MD5, SHA-1, SHA-256, Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin, *BSD, OS X, Solaris y seguro algunos mas. Similar en funcionalidad al programa md5sum se diferencia en las siguientes características:

Recursividad.
Estimación del tiempo de duración del proceso.
Modo comparativo.
Permite trabajar sobre un tipo de fichero determinado.

Automated Foresic Analysis

Herramienta para análisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan información interesante para un análisis forense.

Gpart

Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este dañado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un fichero o dispositivo.

TestDisk

Programa que permite chequear y recuperar una partición eliminada. Soporta BeFS (BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid, Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003), ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGI’s Journaled File System.

Dump Event Log

Herramienta de línea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. También puede utilizarse como filtro en la búsqueda de determinados tipos de eventos.

Fccu-docprop

Utilidad de línea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS. Utiliza la librería libgsf para obtener los meta datos y pyede utilizarse en investigaciones forenses.

Fccu.evtreader

Herramienta para análisis forense que permite al investigador analizar ficheros de log de eventos de Windows. Se trata de un script de perl que puede funcionar bajo Linux, y que debería funcionar en otros sistemas.

GrokEVT

Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. También permite extraer cualquier otro tipo de log y convertirlo en un formato legible.

Event Log Parser

Script PHP que, pasándole un fichero de log de Windows, permite extraer su contenido en un fichero de texto ASCII.

Fuente:http://www.ballsupband.com/general/herramientas-para-realizar-analisis-forense/