Banner 1

pequeñas herramientas forenses

Les comparto esta recopilacion de herramientas que vi en el blog amigo de neosysforensics.

DCode

Esta pequeña utilidad gráfica nos permitirá decodificar marcas de tiempo en diferentes formatos, como, por ejemplo, los valores hexadecimales que podemos encontrar embebidos en los ficheros del registro de windows.

Supongamos que obtenemos el siguiente valor de fecha y hora para una entrada en el Root Directory de un sistema de ficheros FAT:


Y ahora tenemos el siguiente valor de fecha y hora dentro del atributo $STANDARD_INFORMATION de la MFT de un sistema de ficheros NTFS:


Más información en el sitio oficial.

VMware DiskMount

Descargable previo registro en la web de VMware, esta utilidad nos permite montar particiones ubicadas en discos de máquinas virtuales asignándoles una letra de unidad.
C:\Program Files\VMware\VMware Virtual Disk Development Kit\bin>vmware-mount.exe
/p "D:\Maquinas Virtuales\WinXP - 02\Windows XP Professional.vmdk"
Volume 1 : 20466 MB, HPFS/NTFS

C:\Program Files\VMware\VMware Virtual Disk Development Kit\bin>vmware-mount.exe
/m:n Z: "D:\Maquinas Virtuales\WinXP - 02\Windows XP Professional.vmdk"

C:\Program Files\VMware\VMware Virtual Disk Development Kit\bin>vmware-mount.exe

Z:\ => D:\Maquinas Virtuales\WinXP - 02\Windows XP Professional.vmdk

Bajo sistemas Windows Vista, para que el acceso al punto de montaje pueda realizarse correctamente desde el explorador de windows o cualquier otra aplicación deberá, primero, deshabilitarse UAC. Para ello msconfig, pestaña Herramientas, Deshabilitar UAC, Iniciar:


Windows Registry Recovery

Aplicación que nos permite analizar ficheros del registro de Windows de forma offline, mostrando e interpretando de forma automática gran cantidad de información.

Supongamos que hemos montado el disco de una máquina virtual utilizando vmware-mount. Analizaremos ahora el fichero NTUSER.DAT, perteneciente al registro y correspondiente a uno de los usuarios del sistema virtualizado:


Evidentemente la información interpretada por la herramienta dependerá del 'fragmento' del registro de Windows analizado.

Más información en el sitio oficial.

md5sum

De sobras es conocida esta herramienta, la novedad es que esta versión en concreto es para la línea de comandos de sistemas Windows.

Suponiendo que acabamos de descargar VMWareDiskMountGui, un frontend para VMware DiskMount, junto con su fichero md5 correspondiente, podremos comprobar la integridad del instalador con un simple:
C:\tools>md5sum -c VMwareDiskMountGUISetup.exe.md5
VMwareDiskMountGUISetup.exe: OK

O si por el contrario, deseamos generar su MD5:
C:\tools>md5sum -b VMwareDiskMountGUISetup.exe
58b5b95ff86eca64b17c8b62c00c81d3 *VMwareDiskMountGUISetup.exe

Más información en el sitio oficial.

Prefetch Parser

Se trata de un script perl (el código fuente no está incluido), convertido en ejecutable, con una sencilla interfaz gráfica para facilitar su uso:


Como resultado un completo informe en formato html. Más información en el sitio oficial.

Bintext

Esta pequeña utilidad nos mostrará las cadenas ASCII y Unicode embebidas en un ejecutable:


Más información en el sitio oficial.

Streams

Esta herramienta de línea de comandos localiza Alternate Data Streams en sistemas de ficheros NTFS.

Para probarla generaremos primero un ADS:
C:\>echo "Soy un Alternate Data Stream" > C:\WINDOWS\system32\calc.exe:nomeves.txt
C:\>more <>
Y ahora utilizaremos streams para detectar el ads:
C:\>streams.exe C:\WINDOWS\system32\calc.exe

Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com

C:\WINDOWS\system32\calc.exe:
:nomeves.txt:$DATA 33

Más información en el sitio oficial.

CaseNotes

Y por último, un bloc de notas para analistas forenses. Requiere de Microsoft .NET Framework 2.0


Un completo manual, descargable desde el sitio oficial.


FUENTE:http://neosysforensics.blogspot.com/2009/07/pequenas-pero-muy-utiles.html

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay