La Comunidad DragonJAR  

Retroceder   La Comunidad DragonJAR > Seguridad > Informática Forense
Actualizar esta página [FORENSICS] Kit de Herramientas (I)
Registrarse Ayuda Calendario Marcar Foros Como Leídos

¿Qué es La Comunidad DragonJAR?

DragonJAR.org es una comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad Informática, En la cual se busca darle un enfoque eminentemente práctico a la teoría sin olvidar las bases esenciales de esta.

De esta manera se Tratará de ofrecer soluciones útiles a los usuarios, tanto novatos, estudiantes, como a los profesionales e investigadores, Teniendo presente que el mundo de la seguridad informática y la información es un medio que se auto inventa constantemente.

La Comunidad DragonJAR es un espacio abierto y libre para cualquier persona que desee compatir en un ambiente digital sus conocimientos o sus dudas. El registro es gratuito, toma poco tiempo y te permite disfrutar de todas las características del sitio.

Si es tu primera visita, quizás deberías visitar la Ayuda para aprender un poco sobre el uso de los foros, para empezar a ver mensajes, selecciona el foro que quieres visitar de la lista de abajo.

Respuesta
 
LinkBack Herramientas Desplegado
Antiguo 21-Jul-2009, 07:58   #1
Moderador Global
 
Fecha de Ingreso: 10-September-2008
Ubicación: Barcelona
Mensajes: 610
Gracias: 92
Agradecido 396 veces en 151 Mensajes
Seifreed llegará a ser famoso muy prontoSeifreed llegará a ser famoso muy pronto
Predeterminado [FORENSICS] Kit de Herramientas (I)
Hola

Aqui va una pequeña lista de herramientas que pueden sernos de utilidad para el analisis forense de sistemas Windows desde nuestro Linux (como el que tendremos que realizar en breve), aunque hay un poco de todo.

Espero os aprovechen


Outport

Programa que permite exportar los datos desde Outlook a otros clientes de correo (p.e. Evolution). Probado por el autor con Outlook 2000 y Evolution 1.0.x y 1.2.x.


AIRT (Advanced incident response tool)
Conjunto de herramientas para el analisis y respuesta ante incidentes, utiles para localizar puertas traseras. Los 5 programas que lo componen son:
  • mod_hunter: busca modulos ocultos
  • process_hunter: busca procesos ocultos
  • sock_hunter: busca puertos ocultos
  • modumper: vuelca el contenido de un modulo oculto en un fichero
  • dismod: permite analizar el volcado anterior


Foremost
Utilidad para linux que permite realizar analisis forenses. Lee de un fichero de imagen o una particion de disco y permite extraer ficheros.


WebJob

Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operacion. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web. Soporta administracion centralizada, monitoreo de procesos, comprobacion de la integridad de ficheros, etc.


HashDig

Automatiza el proceso de calculo de los hashes MD5 y comprobacion de integridad, distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia.


md5deep

Conjunto de programas que permiten calcular resumenes MD5, SHA-1, SHA-256, Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin, *BSD, OS X, Solaris y seguro algunos mas. Similar en funcionalidad al programa md5sum se diferencia en las siguientes caracteristicas:
  • Recursividad.
  • Estimacion del tiempo de duracion del proceso.
  • Modo comparitivo.
  • Permite trabajar sobre un tipo de fichero determinado.


Automated Forensic Analysis

Herramienta para analisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan informacion interesante para un analisis forense.


Gpart

Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este dañado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un fichero o dispositivo.


TestDisk

Programa que permite chequear y recuperar una particion eliminada. Soporta BeFS (BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid, Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003), ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGI's Journaled File System.


Dump Event Log

Herramienta de linea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. Tambien puede utilizarse como filtro en la busqueda de determinados tipos de eventos.


fccu-docprop

Utilidad de linea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS. Utiliza la libreria libgsf para obtener los metadatos y pyede utilizarse en investigaciones forenses.


fccu.evtreader

Herramienta para analisis forense que permite al investigador analizar ficheros de log de eventos de Windows. Se trata de un script de perl que puede funcionar bajo Linux, y que deberia funcionar en otros sistemas.


GrokEVT

Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. Tambien permite extraer cualquier otro tipo de log y convertirlo en un formato legible.


Event Log Parser

Script PHP que, pasandole un fichero de log de Windows, permite extraer su contenido en un fichero de texto ASCII.


srprint

Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de restauracion del sistema de Windows XP. Este tipo de logs permiten averiguar la fecha de creacion y borrado de ficheros que ya no esten presentes en el sistema.


iDetect Toolkit

Utilidad que asiste a un investigador forense en el analisis de la memoria de un sistema comprometido.


Galleta

Una herramienta para el analisis forense de las cookies del Internet Explorer. Parsea la informacion de un fichero de cookie obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Pasco

Permite analizar los ficheros de registro de la actividad del Internet Explorer. Parsea la informacion de un fichero index.dat obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Web Historian

Asiste en la recuperacion de las URLs de los sitios almacenados en los ficheros historicos de los navegadores mas habituales, incluyendo: MS Internet Explorer, Mozilla Firefox, Netscape, Opera y Safari.


Rifiuti

Herramienta para el analisis forense de la informacion almacenada en la Papelera de Reciclaje de un sistema Windows. Parsea la informacion de un fichero INFO2 obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Reg Viewer

GUI en GTK 2.2 para la navegacion de ficheros de registro de Windows. Es independiente de la plataforma en que se ejecute.


RegParse

Script de perl que realiza el parseo de los datos de ficheros de registro de Windows en crudo. Abre el fichero en modo binario y parsea la informacion registro a registro. Escrito originalmente para Windows esta especialmente recomendado para el parseo del fichero NTUSER.DAT, system32\config\SYSTEM y system32\config\SOFTWARE.


Regutils

Herramientas para la manipulacion de ficheros ini y de registro de sistemas Windows 9x desde UNIX.


allimage

Esta herramienta para Windows nos permitira crear imagenes bit a bit de cualquier tipo de dispositivo de almacenamiento de datos (diskettes, cdroms, unidades usb, discos duros, etc). Cabe destacar que incluye un gestor para montaje de particiones de forma que puede resultar muy util para asignar una letra de unidad a un fichero de imagen de un sistema Windows de forma que pueda realizarse un analisis post-mortem.

Como "pega" pues que se trata de un problema comercial. Dispondremos de 14 dias para probar el software, tiempo mas que suficiente para lo que nos traemos entre manos (III Reto ).


ProDiscover Basic Edition

Completo entorno grafico para el analisis forense de sistemas bajo entornos Windows. Permite realizar imagenes, preservar, analizar y realizar informes de los elementos contenidos en el dispositivo sujeto del analisis. Esta version, mas limitada que su hermano mayor, es completamente gratuita.

NOTA: He tenido problemas al intentar iniciar la ultima version liberada en un sistema Windows configurado para utilizar el español como idioma predeterminado del sistema, por lo que, en caso de tener problemas, descargar la version anterior.

NOTA: Para conseguir que se inicie la ultima version de la aplicacion (v5) es necesario entrar a la "Configuracion regional y de idioma", a traves del panel de control, y seleccionar "Ingles (Estados Unidos)" dentro de la opcion "Estandares y formatos".


FTK Imager

Herramienta que nos permitira realizar imagenes de un dispositivo comprometido. Entre sus caracteristicas tambien esta la conversion entre diferentes formatos de imagen, p.e. imagen dd a imagen de Encase, etc. Herramienta disponible de forma gratuita. Tambien existe una version lite, cuya funcionalidad es mas reducida.


PyFlag

Avanzada herramienta para el anslisis forense de grandes volumenes o imagenes de log. Desarrollada en python posee una interfaz accesible mediante navegador web. Entre sus caracteristicas posee la de integrar volatility, facilitando de esta forma el analisis de ficheros de imagen de la memoria fisica de un sistema Windows.

En principio esta pensada para ejecutarse bajo sistemas Linux pero en su ultima version tambien estan disponibles los paquetes necesarios para ejecutarla bajo un sistema Windows.


PlainSight

Completo entorno para el analisis forense de sistemas. Se trata de un sistema Linux que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todavia se encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la pista.


SmartMount

Herramienta que permite montar diferentes tipos de formatos de imagen, entre otras funcionalidades, y que se encuentra disponible tanto para linux como para Windows. Dado que todavia esta en fase beta es muy presumible que poco a poco vaya incluyendo nuevas funcionalidades.


Volatility Framework

Completo framework desarrollado en Python que nos permitir el analisis de un volcado de la memoria fisica de un sistema Windows. Ademas de ser multiplataforma ofrece las siguientes funcionalidades:
  • Obtener fecha y hora del contenido de la imagen
  • Listado de los procesos en ejecucion
  • Sockets de red abiertos
  • Conexiones de red abiertas
  • DLLs cargadas por cada proceso
  • Ficheros abiertos por cada proceso
  • Claves del registro abiertas por cada proceso
  • Direcciones de memoria asignadas a cada proceso
  • Modulos del kernel
  • Extraccion de ejecutables almacenados en memoria



Mantech Memory DD

Herramienta gratuita que nos permitira obtener un volcado en formato dd del contenido de la memoria fisica de un sistema Windows 2k, 2k3, XP, Vista y 2k8, tanto en sus versiones de 32 como de 64 bits. El fichero resultante es facilmente analizable con Volatility, con toda la potencia que ello implica.


win32dd

Herramienta open source que, al igual que la anterior, nos permitira obtener un volcado en formato dd del contenido de la memoria fisica de un sistema Windows.


Sandman Framework

Libreria desarrollada en C que, entre otras caracteristicas, nos permitira la conversion de un fichero hiberfil.sys a formato dd, de forma que
podamos analizarlo con Volatility. Actualmente unicamente soporta los ficheros hiberfil.sys de sistemas Windows XP a 2008 en sus versiones de 32 bits. Tambien incluye un port de la libreria de forma que pueda ser utilizada por scripts generados en python.

Fuente
__________________
Mi web:
http://www.seifreed.net
Asociación cultural y tecnológica:
http://www.badiatech.org
Cursos de informática:
aula.badiatech.org
Wikipedia asociación:
wiki.badiatech.org
Seifreed está desconectado   Responder Citando
Los siguientes 9 Usuarios dicen Gracias a Seifreed por este util Mensaje:
araxhiel (03-Jan-2010), ConfusedMind (04-Oct-2009), hecky (21-Jul-2009), kikujiro (18-Feb-2010), kobra (10-Sep-2009), linolarios (25-Aug-2009), syntex (30-Aug-2009), wannabe (12-Jan-2010), warriorhood (21-Jul-2009)
Antiguo 03-Jan-2010, 14:49   #2
Recien Nacido
 
Avatar de araxhiel
 
Fecha de Ingreso: 02-July-2009
Mensajes: 3
Gracias: 3
Agradecido 0 veces en 0 Mensajes
araxhiel está en el buen camino
Predeterminado
Muchas gracias, Seifreed, por tan completo e interesante Kit de herramientas que presentaste en su momento (ya que el post ya tiene su tiempo).

Nada mas me queda preguntar (mas por curiosidad que por necesidad): ¿Sabes si existe alguna herramienta que nos permita el "limpiar" (o cual sea que sea el termino apropiado) el registro de Windows desde una plataforma "Offline", es decir desde un entorno BartPE o alguna distribucion GNU/Linux en Live CD? O ejemplificando: Alguna utilidad que haga lo mismo que TuneUP Registry Cleaner o el mismo CCleaner pero desde un Live CD/USB.

Y de ser asi, ¿cual es? De antemano agradezco la atencion.

Saludos
araxhiel está desconectado   Responder Citando
Respuesta

Etiquetas
forensics, herramientas, kit

« Tema Anterior | Próximo Tema »
Herramientas
Desplegado
Mode Lineal Mode Lineal

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes
Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado
Trackbacks are Activado
Pingbacks are Activado
Refbacks are Activado


La franja horaria es GMT -6. Ahora son las 03:07.

Contáctenos - La Comunidad DragonJAR - Archivo - Arriba