"Security & Pure Forensics"

.

martes, 15 de noviembre de 2011

101 utilidades forenses


Hola lectores,

Estuve revisando el software y hardware que suelo llevarme cuando tengo un caso o intervención en un cliente y he creído conveniente compartir las utilidades que mas suelo emplear o que alguna vez he necesitado. También de paso contesto a los correos en los que me preguntáis por una u otra herramienta.

Quiero decir que este recopilatorio es personal y se basa en aquellas utilidades que suelo emplear o como ya he dicho he precisado alguna vez. Algunas son comerciales y en su mayoría 'Open'. He puesto 101, pero seguro que me dejo alguna.

Estan ordenadas alfabeticamente pero no las he categorizado dado que muchas hacen lo mismo y valen tanto para analizar ordenadores como dispositivos móviles, buscar malware o encontrar evidencias.

Espero que os sean de utilidad.


101 UTILIDADES


Advanced
Prefetch Analyser
Hallan HayLee los ficheros prefetch de Windows. Simplemente genial


Agent RansackMythicsoft
Busca multiples ficheros usando Perl Regex. Lo he utilizado alguna vez con resultados muy efectivos.


analyzeMFT
David
Kovar
Permite realizar 'Parses' de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Lo he utilizado en combinación con EnCase.


Audit Viewer
Mandiant
Visualizador utilizado en combinación con Memoryze.


Autopsy
Brian Carrier
Reconocida herramienta gráfica para entornos Linux con muy buen sabor y experiencia en entornos forense. Es otro clásico a utilizar.

Backtrack
Backtrack

Suite de 'Penetration testing' y seguridad para la realización de auditorias de seguridad. Muy muy bueno.



Bitpim


Bitpim


Analiza dispositivos móviles como LG, Sanyo, etc.

Caine

University of Modena e Reggio Emilia

Live CD, con numerosas utilidades y herramientas.




Analiza tarjetas SIM, direcciones, llamadas, etc.

ChromeAnalysisforensic-softwareHerramienta que permite el análisis del historico de internet del famoso Google Chrome



ChromeCacheView


Nirsoft


Lee los ficheros de la cache de Google Chrome y visualiza en una lista lo que se encuentra almacenado.


DCode


Digital Detective


Convierte varios tipos de fechas y tiempos. Me ha venido bien para los distintos formatos en Unix.



Defraser


Varios


Detecta ficheros multimedia en espacios 'unallocated'.



Digital Forensics Framework


ArxSys


Framework que permite el análisis de volumenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos.



DumpItMoonSolsRealiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB
EDB ViewerLepide SoftwareVisualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.



EnCaseGuidancePotente herramienta y la mejor de su especie. De reconocido prestigio internacional. Vale para todo en el ámbito forense. Económicamente muy elevada pero muy recomendable. La suelo utilizar



Encrypted Disk Detector
JAD
software
Comprueba discos físicos en busca de ficheros o volumenes cifrados con TrueCrypt, PGP, o Bitlocker.



Exif Reader


Ryuuji Yoshimoto


Extrae datos(metadatos) Exif de fotografias digitales.


FastCopy

Shirouzu Hiroaki
Uno de los mas rapidos en copiar y/o borrar, permite utilizar

SHA-1. Lo he utilizado para copia masiva de datos con muy buenos resultados



FAT32 Format

Ridgecrop


Habilita la capacidad de almacenamiento de discos formateados en FAT32

Foca
Informatica64


   Herramienta para fingerprinting e information gathering en trabajos de auditoría web. Lo utilizo para casi todo, especialmente el tema de metadatos

Forensic Image ViewerSanderson Forensics

Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalización GPS. Lo suelo emplear bastante.



ForensicUserInfoWoanwareExtrae información relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives también desencripta hashes LM/NT.



FoxAnalysis


forensic-software


Herramienta que permite el análisis del historico de internet de firefox.

FTK ImagerAccessData

Herramienta para adquirir, montar y analizar de forma básica imágenes de equipos. También es capaz de volcar la memoria a fichero. Muy completa


Gmail Parser

Woanware


Obtiene de ficheros HTML información que se ha 'cacheado' al utilizar 'artefactos' de Gmail



HashMyFiles


Nirsoft


Calcula hashes MD5 y SHA.



Highlighter


Mandiant


Examina ficheros log usando texto, gráficos o histogramas.


IECacheView

Nirsoft


Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista.



IECookiesView


Nirsoft


Extrae detalles de las cookies de Internet Explorer.



IEHistoryView


Nirsoft


Extrae las visitas recientes de las URL's de Internet Explorer.



IEPassView


Nirsoft


Extrae las passwords de Internet Explorer en las versiones 4 a 8.



KaZAlyser


Sanderson Forensics


Extrae información del famoso programa P2P KAZA.

Live ViewCERT
Permite al analista examinar y 'arrancar' imagenes en formato dd y VMware. También muy útil


LiveContactsView

Nirsoft


Visor que permite exportar los contactos y otros detalles de Windows Live Messenger.


Mail ViewerMiTeCMaravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML.

MemoryzeMandiant
Adquiere y analiza imagenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos. Es algo engorroso, pero me encanta.


MFTview

Sanderson Forensics
Muestra y decodifica contenidos extraídos en ficheros MTF.





MobaLiveCDMobatekEjecuta un ISO linux desde windows sin tener que reiniciar. Basado en QEMU. Me ha venido bien en alguna ocasión para utilizar servidores FTP sin tener que tocar windows.

MobilEditMobilEdit
Recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayoría de los móviles.



Motorola Tools


"Flash & Backup" - actualiza el firmware y "M-Explorer" - administrador de archivos pequeños, fáciles de usar y gratis



MozillaCacheView


Nirsoft


Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado.



MozillaCookieView


Nirsoft


Extrae detalles de las cookies de Mozilla.





MozillaHistoryView


 Nirsoft


Herramienta que permite el análisis del historico de internet de Mozilla.

MyLastSearchNirsoft

Extrae búsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) también en redes sociales (Twitter, Facebook, MySpace)



Netdetector


Niksun


Analizador de red y detector de intrusiones





Netwitness Investigator


Netwitness


Analizador de paquetes de red. Increíblemente bueno.

NetworkMinerNetresec
Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc.


Notepad ++


Notepad ++


Ya jamas volveré al notepad clásico después de utilizar este Notepad.



OperaCacheView


Nirsoft


Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado.



OperaPassView


Nirsoft


Desencripta las password del fichero 'wand.dat' de Opera.



Oxygen

Oxygen


Maravillosa herramienta comercial analiza todos los datos disponibles de un móvil. No puedo vivir si ella.



P2 eXplorer


Paraben


Realiza montajes virtuales de unidades y de imágenes. Casi toda la suite, por no decir toda es muy interesante y útil.



P2 Shuttle FreeParabenSuite maravillosa que permite montar remotamente discos, captura de tráfico de red, de RAM, utilidades de búsqueda etc.

Paraben ForensicsParabenAl igual que las anteriores, recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir.



PasswordFox


Nirsoft


Extrae usuario y contraseñas almacenadas en Mozilla Firefox.

Process MonitorMicrosoft

Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta


PST Viewer

Lepide Software


Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook.



PsTools


Microsoft


Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima.



recuva

Piriform


Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad



Registry Decoder


Digital Forensics Solutions


Para la adquisición, análisis e informe del contenido del registro.

RegRipperHarlan Carvey

Herramienta de correlación y extracción de evidencias forenses del registro. Todo un lujo del maestro de los maestros forenses. La utilizo día si y día también.



Regshot


Regshot


Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware.

rstudio

Es una suite de software de recuperación de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux



Shadow Explorer


Shadow Explorer


Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware. Muy bueno.



SIFT


SANS


VMware Appliance de SANS configurado con multiples herramientas para el análisis forense. Otra tool para llevar encima.



SkypeLogView


Nirsoft


Analizador del famoso Skype



Snort

Snort


El mas versatil y magnifico detector de intrusos. Me ha salvado muchas veces del apocalipsis



SQLite Manager


Mrinal Kant, Tarakant Tripathy


add-on en Firefox que permite ver contenidos de bases de datos SQLite. Otra de las joyas de la corona.



Strings


Microsoft


No puedo vivir sin el. Busca contenido de texto en ficheros.




Structred Storage Viewer

MiTec


Visualiza y maneja estructuras basadas en ficheros MS OLE. Lo sigo utilizando.

Suite Getdatagetdata

Magnifica suite de herramientas forenses para el montaje de discos virtuales, imágenes y recuperación y analisis de datos. Excelente conjunto de herramientas



Triana Tools


Informatica64


Herramienta indispensable para el análisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos

Ubuntu guideHow-To Geek

Guia para usar con Unbuntu live con objeto de utilizar recuperación de particiones, ficheros, etc. Tengo mala memoria y suelo acudir alguna vez.

UFEDCellebrite

Es el sistema más completo que combina la extracción lógica y física, la recuperación de clave de acceso y extracción del sistema de archivos de multiples dispositivos móviles. Es caro pero de lo mejor



Unhide

Security
By
default


Me encanta, muy útil en tiempos desesperados, mas si se trata de entornos Linux. Si quieres detectar procesos 'raros' este es tu software



USB Device Forensics


Woanware


Detalles de las unidades USB que se han conectado a un equipo.



USB Write Blocker


DSi


Habilita la posibilidad de escribir o bloquear puertos USB.



USBDeview


Nirsoft


Igual que la anterior.



UserAssist


Didier Stevens


Muestra una lista de programas que se han ejecutado incluyendo ultima ejecución , número de veces y fechas y horas. Muy bueno.



VHD Tool


Microsoft


Convierte discos e imágenes al formato VHD que se puede montar en Windows desde el administrador de discos. Me ha sacado de algún apuro

VideoTriageQCC

Produce miniaturas de ficheros de video con objeto de apreciar imágenes o movimientos perdidos en la película. Excelente utilidad para mostrar evidencias.







Volatility Framework


Volatile Systems


Framework que se compone de una colección de herramientas para la extracción de ficheros RAM. Maravillosa herramienta para la detección de Malware. La tengo configurada en SIFT de SANS.


Web Historian

Mandiant


Magnifica herramienta que reúne las anteriores y permite de los navegadores mas utilizados obtener el historico de navegación.



Windows File Analyzer


MiTeC


Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Como os podeis imaginar lo empleo muchísimo.




Windows Forensic Environment


Troy Larson


Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a windows PE).



Wireshark


Wireshark


Algo que decir de esta maravillosa herramienta?. Excepcional!!



Xplico


xplico


Entorno gráfico para poder entender y visualizar el contenido de ficheros PCAP. Muy útil!!


OSforensicsOsforensicsUna forma rapida de investigar el contenido de ficheros borrados, último acceso. Muy útil si tienes prisa y el equipo no es necesario aportarlo para una evidencia.





ResponderHBgary
Convierte la memoria RAM a disco y reconstruye todas las estructuras de datos subyacentes de hasta 6 gigabytes de RAM.

LiveviewLiveview
Es una herramienta basada en Java que crea una máquina virtual de VMware de una imagen de disco sin procesar (dd-style) o un disco físico. Muy buena!!

13 comentarios:

Acabo de publicar en mi Blog un enlace a su página, estoy buscando dar a conocer herramientas forenses además del ENCASE.

También busco información de discos live y/o software que permita sacar imágenes de discos sin necesidad de emplear bloqueados físicos de escritura.

Gracias.

sos un genio... muy buena recopilacion

Uno de los módulos que estudio en el ciclo superior de Administración de Sistemas Informáticos en Red es el de Seguridad y Alta Disponibilidad y esta entrada tuya me viene genial.

Gracias por la información, si no te importa en mi blog (misantropia20.blogspot.com) he puesto un enlace a tu entrada.

Un saludo.

Un listado impresionante de herramientas muy útiles. Muchas Gracias por compartirlo y anadir las explicaciones.

Excelente aporte. Alguna herramienta libre para analizar los archivos de hibernacion de windows XP?????, les agradeceria el dato.

Me viene de perlas, has hecho todo el trabajo para nosotros ^^

http://ticataka.blogspot.com

Desde luego la recopilación de aplicaciones esta bastante bien sin embargo veo que no esta en la lista el scan de puertos por excelencia NMAP y ya que habéis incluido una distro como Backtrack también podríais haber incluido a Wifiway que es el rey indiscutible de la auditoria Wifi. Saludos.

Les recomiendo añadir PST Viewer Pro a su lista (http://www.encryptomatic.com/pstviewer/) tiene menús en español, una buena herramienta de búsqueda y es capaz de exportar archivos; yo utilizo el programa para buscar archivos .pst

Que se pasa con Audit Viewr de mandiant, (no link diz pagina no encontrada), Lo queria tanto???
Gracias!

Utilizo muchos de tus programas.... Algo más de la mitad. Muchas gracias por ampliar tan notablemente la lista de apps sumamente útiles. Es posible que te mencione en algún foro :-D gracias por tu aportación! Un saludo desde Tenerife!

Buena recopilacion de software forense, me gusta si..