[FORENSICS] Kit de Herramientas (I)

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

[FORENSICS] Kit de Herramientas (I)

Notapor neofito » Jue Ene 26, 2006 6:21 pm

Hola

Aqui va una pequeña lista de herramientas que pueden sernos de utilidad para el analisis forense de sistemas Windows desde nuestro Linux (como el que tendremos que realizar en breve), aunque hay un poco de todo.

Espero os aprovechen ;)


Outport

Programa que permite exportar los datos desde Outlook a otros clientes de correo (p.e. Evolution). Probado por el autor con Outlook 2000 y Evolution 1.0.x y 1.2.x.


AIRT (Advanced incident response tool)
Conjunto de herramientas para el analisis y respuesta ante incidentes, utiles para localizar puertas traseras. Los 5 programas que lo componen son:
  • mod_hunter: busca modulos ocultos
  • process_hunter: busca procesos ocultos
  • sock_hunter: busca puertos ocultos
  • modumper: vuelca el contenido de un modulo oculto en un fichero
  • dismod: permite analizar el volcado anterior

Foremost
Utilidad para linux que permite realizar analisis forenses. Lee de un fichero de imagen o una particion de disco y permite extraer ficheros.


WebJob

Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operacion. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web. Soporta administracion centralizada, monitoreo de procesos, comprobacion de la integridad de ficheros, etc.


HashDig

Automatiza el proceso de calculo de los hashes MD5 y comprobacion de integridad, distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia.


md5deep

Conjunto de programas que permiten calcular resumenes MD5, SHA-1, SHA-256, Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin, *BSD, OS X, Solaris y seguro algunos mas. Similar en funcionalidad al programa md5sum se diferencia en las siguientes caracteristicas:
  • Recursividad.
  • Estimacion del tiempo de duracion del proceso.
  • Modo comparitivo.
  • Permite trabajar sobre un tipo de fichero determinado.

Automated Forensic Analysis

Herramienta para analisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan informacion interesante para un analisis forense.


Gpart

Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este dañado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un fichero o dispositivo.


TestDisk

Programa que permite chequear y recuperar una particion eliminada. Soporta BeFS (BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid, Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003), ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGI's Journaled File System.


Dump Event Log

Herramienta de linea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. Tambien puede utilizarse como filtro en la busqueda de determinados tipos de eventos.


fccu-docprop

Utilidad de linea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS. Utiliza la libreria libgsf para obtener los metadatos y pyede utilizarse en investigaciones forenses.


fccu.evtreader

Herramienta para analisis forense que permite al investigador analizar ficheros de log de eventos de Windows. Se trata de un script de perl que puede funcionar bajo Linux, y que deberia funcionar en otros sistemas.


GrokEVT

Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. Tambien permite extraer cualquier otro tipo de log y convertirlo en un formato legible.


Event Log Parser

Script PHP que, pasandole un fichero de log de Windows, permite extraer su contenido en un fichero de texto ASCII.


srprint

Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de restauracion del sistema de Windows XP. Este tipo de logs permiten averiguar la fecha de creacion y borrado de ficheros que ya no esten presentes en el sistema.


iDetect Toolkit

Utilidad que asiste a un investigador forense en el analisis de la memoria de un sistema comprometido.


Galleta

Una herramienta para el analisis forense de las cookies del Internet Explorer. Parsea la informacion de un fichero de cookie obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Pasco

Permite analizar los ficheros de registro de la actividad del Internet Explorer. Parsea la informacion de un fichero index.dat obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Web Historian

Asiste en la recuperacion de las URLs de los sitios almacenados en los ficheros historicos de los navegadores mas habituales, incluyendo: MS Internet Explorer, Mozilla Firefox, Netscape, Opera y Safari.


Rifiuti

Herramienta para el analisis forense de la informacion almacenada en la Papelera de Reciclaje de un sistema Windows. Parsea la informacion de un fichero INFO2 obteniendo como resultado campos separados por tabuladores que pueden importarse facilmente a una hoja de calculo.


Reg Viewer

GUI en GTK 2.2 para la navegacion de ficheros de registro de Windows. Es independiente de la plataforma en que se ejecute.


RegParse

Script de perl que realiza el parseo de los datos de ficheros de registro de Windows en crudo. Abre el fichero en modo binario y parsea la informacion registro a registro. Escrito originalmente para Windows esta especialmente recomendado para el parseo del fichero NTUSER.DAT, system32\config\SYSTEM y system32\config\SOFTWARE.


Regutils

Herramientas para la manipulacion de ficheros ini y de registro de sistemas Windows 9x desde UNIX.


allimage

Esta herramienta para Windows nos permitira crear imagenes bit a bit de cualquier tipo de dispositivo de almacenamiento de datos (diskettes, cdroms, unidades usb, discos duros, etc). Cabe destacar que incluye un gestor para montaje de particiones de forma que puede resultar muy util para asignar una letra de unidad a un fichero de imagen de un sistema Windows de forma que pueda realizarse un analisis post-mortem.

Como "pega" pues que se trata de un problema comercial. Dispondremos de 14 dias para probar el software, tiempo mas que suficiente para lo que nos traemos entre manos (III Reto ;) ).


ProDiscover Basic Edition

Completo entorno grafico para el analisis forense de sistemas bajo entornos Windows. Permite realizar imagenes, preservar, analizar y realizar informes de los elementos contenidos en el dispositivo sujeto del analisis. Esta version, mas limitada que su hermano mayor, es completamente gratuita.

NOTA: He tenido problemas al intentar iniciar la ultima version liberada en un sistema Windows configurado para utilizar el español como idioma predeterminado del sistema, por lo que, en caso de tener problemas, descargar la version anterior.

NOTA: Para conseguir que se inicie la ultima version de la aplicacion (v5) es necesario entrar a la "Configuracion regional y de idioma", a traves del panel de control, y seleccionar "Ingles (Estados Unidos)" dentro de la opcion "Estandares y formatos".


FTK Imager

Herramienta que nos permitira realizar imagenes de un dispositivo comprometido. Entre sus caracteristicas tambien esta la conversion entre diferentes formatos de imagen, p.e. imagen dd a imagen de Encase, etc. Herramienta disponible de forma gratuita. Tambien existe una version lite, cuya funcionalidad es mas reducida.


PyFlag

Avanzada herramienta para el anslisis forense de grandes volumenes o imagenes de log. Desarrollada en python posee una interfaz accesible mediante navegador web. Entre sus caracteristicas posee la de integrar volatility, facilitando de esta forma el analisis de ficheros de imagen de la memoria fisica de un sistema Windows.

En principio esta pensada para ejecutarse bajo sistemas Linux pero en su ultima version tambien estan disponibles los paquetes necesarios para ejecutarla bajo un sistema Windows.


PlainSight

Completo entorno para el analisis forense de sistemas. Se trata de un sistema Linux que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todavia se encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la pista.


SmartMount

Herramienta que permite montar diferentes tipos de formatos de imagen, entre otras funcionalidades, y que se encuentra disponible tanto para linux como para Windows. Dado que todavia esta en fase beta es muy presumible que poco a poco vaya incluyendo nuevas funcionalidades.


Volatility Framework

Completo framework desarrollado en Python que nos permitir el analisis de un volcado de la memoria fisica de un sistema Windows. Ademas de ser multiplataforma ofrece las siguientes funcionalidades:
  • Obtener fecha y hora del contenido de la imagen
  • Listado de los procesos en ejecucion
  • Sockets de red abiertos
  • Conexiones de red abiertas
  • DLLs cargadas por cada proceso
  • Ficheros abiertos por cada proceso
  • Claves del registro abiertas por cada proceso
  • Direcciones de memoria asignadas a cada proceso
  • Modulos del kernel
  • Extraccion de ejecutables almacenados en memoria



Mantech Memory DD

Herramienta gratuita que nos permitira obtener un volcado en formato dd del contenido de la memoria fisica de un sistema Windows 2k, 2k3, XP, Vista y 2k8, tanto en sus versiones de 32 como de 64 bits. El fichero resultante es facilmente analizable con Volatility, con toda la potencia que ello implica.


win32dd

Herramienta open source que, al igual que la anterior, nos permitira obtener un volcado en formato dd del contenido de la memoria fisica de un sistema Windows.


Sandman Framework

Libreria desarrollada en C que, entre otras caracteristicas, nos permitira la conversion de un fichero hiberfil.sys a formato dd, de forma que
podamos analizarlo con Volatility. Actualmente unicamente soporta los ficheros hiberfil.sys de sistemas Windows XP a 2008 en sus versiones de 32 bits. Tambien incluye un port de la libreria de forma que pueda ser utilizada por scripts generados en python.


---

Saludos
Última edición por neofito el Dom Sep 14, 2008 5:46 pm, editado 5 veces en total
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor p3loS » Jue Ene 26, 2006 8:07 pm

Muchas gracias neofito, es una lista de gran utilidad
No padezco locura disfruto de ella en cada momento
Avatar de Usuario
p3loS
:-)
:-)
 
Mensajes: 26
Registrado: Mié Mar 16, 2005 12:28 am

Notapor NeTTinG » Jue Ene 26, 2006 8:30 pm

Hola:

Espero os aprovechen


Claro que sí ;)

SALU2
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor nyar1ath0tep » Jue Ene 26, 2006 10:06 pm

ñam ñam ñam -GraciaS- !
pAZ
Avatar de Usuario
nyar1ath0tep
:-)
:-)
 
Mensajes: 21
Registrado: Dom Dic 25, 2005 1:48 am
Ubicación: eN fRENTE dE uNa mAQUINA

Notapor aLeZX » Vie Ene 27, 2006 5:17 pm

Wowww!!

Con esto tenemos para dar y regalar!! :lol: :lol:

Saludos!!
Hay que tener en cuenta que el foro no son más que ceros y unos, nosotros NO. (aLeZX)
El Esperanto es la mejor solución de la idea de Lengua internacional. (Albert Einstein)
Si avanzo, seguidme; si me detengo, paradme; si retrocedo, matadme.
Es más fácil ser una hoja más del pajar que la aguja.


Uno más danzando en el mundo de los blogs: http://alezx.wordpress.com
aLeZX
<|:-)
<|:-)
 
Mensajes: 878
Registrado: Vie Ago 26, 2005 3:29 pm
Ubicación: Vía Láctea, creo.

Notapor neofito » Vie Feb 17, 2006 2:34 pm

Actualizado el post inicial. Al final del listado he incluido una herramienta que puede resultarnos muy util en estos momentos :D

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor XpyXt » Sab Feb 18, 2006 10:38 pm

OMG

Un post muy bueno, si señor!!
XpyXt
:-D
:-D
 
Mensajes: 59
Registrado: Mar Ene 17, 2006 4:52 pm

Notapor neofito » Sab Feb 18, 2006 11:05 pm

Gracias :D

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Cyb3rdine » Mar Ago 22, 2006 12:55 am

Ver: Helix live distro.
Cyb3rdine
:-D
:-D
 
Mensajes: 74
Registrado: Dom Ene 15, 2006 6:16 am

Notapor SLaYeR » Mar Ago 22, 2006 5:01 pm

Hola, he estado probando Galleta, Pasco y Rifiuti, con galleta ningun problema, pero... que index.dat le debo pasar a Pasco? donde puedo encontrarlo, es decir, en que ruta?

Y a rifiuti? de donde salen los ficheros INFO2? no los encuentro en ningun sitio
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor SLaYeR » Mar Ago 22, 2006 9:13 pm

Lo del Rifiuti ya lo he encontrado, se encuentra en C:\Recycler\<user id>\INFO2, solo me queda la duda del index.dat del iexplore.

Si a alguien le interesa... http://www.e-fense.com/helix/Docs/Recycler_Bin_Record_Reconstruction.pdf
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor freestyle » Mié Ago 23, 2006 2:57 pm

Muy buena lista muchas gracias

Un saludo
freestyle
<|:-)
<|:-)
 
Mensajes: 539
Registrado: Jue Ene 12, 2006 11:30 pm

Notapor aLeZX » Jue Ago 24, 2006 12:16 am



Gracias por el documento. Aunque está en inglés, es muy fácil comprenderlo.

Si lo comprendo yo, todos podéis :wink:.

Saludos!!
Hay que tener en cuenta que el foro no son más que ceros y unos, nosotros NO. (aLeZX)
El Esperanto es la mejor solución de la idea de Lengua internacional. (Albert Einstein)
Si avanzo, seguidme; si me detengo, paradme; si retrocedo, matadme.
Es más fácil ser una hoja más del pajar que la aguja.


Uno más danzando en el mundo de los blogs: http://alezx.wordpress.com
aLeZX
<|:-)
<|:-)
 
Mensajes: 878
Registrado: Vie Ago 26, 2005 3:29 pm
Ubicación: Vía Láctea, creo.

Pen-testing en Windows

Notapor Kyrie » Mar Jun 19, 2007 5:29 pm

En algunos casos. las herramientas de SysInternals (http://www.sysinternals), si bien son mas para el lado administracion, suelen servir a la hora de juntar info en una forensic investigation. :D
ImagenImagen
ImagenImagen
ImagenImagen
Avatar de Usuario
Kyrie
<|:-)
<|:-)
 
Mensajes: 552
Registrado: Mar Jun 19, 2007 3:34 pm
Ubicación: Indierock

Notapor Seifreed » Vie Nov 16, 2007 7:57 pm

Dios..sin palabras :evil: :badgrin:
http://www.ecrime.pro
Avatar de Usuario
Seifreed
<|:-)
<|:-)
 
Mensajes: 707
Registrado: Mar Dic 19, 2006 5:41 pm

Siguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron