"Security & Pure Forensics"

.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Te lo contamos como nos lo hemos encontrado. Duro, sin ayuda y con muchas ganas de solucionarlo.

CIBERGUERRA, CIBERATAQUES, CIBERDEFENSA...

Todas las anecdotas, medidas de contención y un montón de soluciones.

ACOSO, FRAUDE, ROBO, PORNOGRAFIA INFANTIL, FUGA DE DATOS

Los mejores casos en Conexión Inversa.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

miércoles, 5 de marzo de 2014

WINDBG y KD (INTRODUCCION FORENSE)



INTRODUCCIÓN AL DEPURADOR DE WINDOWS



Hola lectores,

Vamos a ponernos en situación en un caso forense que tuve bastante complicado de resolver por la situación crítica de ese servidor.

Disponemos de un controlador de dominio (comprometido) el cual no se puede apagar. Este servidor se encuentra inestable y dependiendo de las acciones del administrador de dominio da una pantalla azul matando el proceso Winlogon y reiniciando la máquina la cual deja sin servicio a cerca de 1.000 usuarios.

Para ilustrar este caso quiero comentar con todos mi experiencia utilizando el depurador de Windows.

¿QUE ES WINDBG?

Es una aplicación distribuida en la web de Microsoft. Se puede utilizar para depurar en modo de usuario las aplicaciones, los controladores y el sistema operativo en modo kernel .

WinDbg se puede utilizar para la depuración de volcados de memoria y también tiene la capacidad de cargar de forma automática lo que se llama 'mapa de símbolos' traduciendo fechas, horas, CRCs  haciendo coincidir diversos criterios. Otra de las ventajas es que pueden relacionarse con el código fuente del binario.

INSTALANDO WINDBG

WINDOWS 8

Windbg se distribuye en un paquete de software llamado "Windows Driver Kit (WDK)." disponible desde http://msdn.microsoft.com/en-us/windows/hardware/hh852365.aspx

La instalación te preguntará si deseas instalar de forma local o descargar el kit de desarrollo para otro equipo. Lo suyo es instalarlo en local.




Desactiva todas las opciones excepto las que están marcadas en la imagen anterior.


WINDOWS 7

Para Windows 7,  Microsoft ofrece WinDBG como parte del paquete de "Herramientas de depuración para Windows" que se incluye en el SDK de Windows y Net Framework .

Una vez ejecutado el programa de instalación aparece la siguiente pantalla:


Al igual que en Windows 8, solo seleccionaremos las opciones marcadas en la pantalla anterior.

Una vez instalado procederemos a instalar los símbolos.

SÍMBOLOS

WinDBG realmente no necesita mucha configuración. Los símbolos son básicamente, los archivos especiales que se generan con el programa binario en tiempo de compilación y que proporciona información de depuración, tales como nombres de funciones y variables. Esto nos puede ayudar a desmitificar muchas de las funcionalidades de una aplicación al depurar. Muchos de los componentes de Microsoft son recopilados con símbolos que se distribuyen a través de un servidor de símbolos de Microsoft. 

Para configurar WinDBG y  para utilizar el servidor de símbolos vamos a crearnos una carpeta de nombre "símbolos" y a continuación nos descargamos el ejecutable desde http://msdn.microsoft.com/en-us/windows/hardware/gg463028


Una vez descargado y ejecutado (tomad vuestro tiempo, ya que tarda) nos encontraremos que la carpeta "símbolos" contiene miles de ficheros con extensión "pdb". Una vez instalado procederemos a configurar WINDBG

LO QUE NECESITAMOS SABER

LA INTERFAZ WINDBG

Al ejecutar WinDBG por primera vez te darás cuenta de su simplicidad. En un principio no va hacer nada, salvo que la conectemos a un proceso, para ello seleccionamos desde el menú la opción "Attach to a Process" y la conectamos a cualquier proceso apareciendo la ventana "comandos".


Una vez realizado este paso nos vamos al menú "File --> Search Symbol Path" y añadimos la siguiente ruta:

SRV*C:\carpetadeSimbolos*http://msdl.microsoft.com/download/symbols



Llegados a este punto ya tenemos configurado nuestro depurador de Windows y dispuestos a utilizarlo.


DEPURACIÓN DE UN PROCESO

Tenemos dos formas de depurar un proceso; en local y remoto.

En local es tan simple como realizar el paso anterior de "Attach to a Process" o "Open Executable" y esto nos mostrará la ventana de comando. Como consideración, hay que tener en cuenta lo siguiente:

Puede ir lento el sistema.
Puede fallar la aplicación (Habría que marcar la opción "no intrusive").
Es recomendable para aplicaciones que no requieren conectividad y trabajan en local.
Puede dar errores si se trata del malware a analizar.

En remoto sería lo siguiente:

Lo primero es tener una sesión de WINDBG con alguna depuración en local y a continuación en la ventana de comando hay que poner:

.server tcp:port=5006

Habilitando el acceso remoto

Una vez puesto tendremos que permitir el acceso remoto a este puerto.



Ahora ya podemos conectarnos remotamente.


Otra forma de conectarnos puede ser desde la consola de esta forma: 


MÓDULOS

Los módulos son partes del programa (en depuración) que se cargan con la ejecución del programa original. Muchas veces es mejor utilizar o depurar un módulo para saber como funciona el programa.

En el siguiente ejemplo podemos ver cómo carga los módulos del programa iCloud de Apple.


Y podemos conseguir la dirección de la carga de un módulo específico mediante el comando "lmf m":

0:005> lmf m kernel32
77550000 77624000 kernel32 C: \ Windows \ system32 \ kernel32.dll

Dirección de inicio y dirección final del nombre del módulo

PUNTOS DE INTERRUPCIÓN

Un 'breakpoint' es un marcador que se le pone a una instrucción de código o programa para decirle que en el momento de la ejecución ha de pararse en ese punto.

Una vez que se alcanza el punto de interrupción, el programa se detiene y podemos empezar a investigar y depurar el programa. Los puntos de interrupción se pueden configurar en el software y en la  CPU (hardware), vamos a echar un vistazo a los dos:

INTERRUPCIÓN POR SOFTWARE

Cuando se alcanza el punto de interrupción, el depurador se carga en la dirección actual de la memoria, recuperando la instrucción almacenada y la presenta al usuario. Los breakpoints por software se establecen dentro de WinDBG utilizando los comandos  pb , bm , o bu . pb (para Break Point) .

INTERRUPCION POR HARDWARE

En la mayoría de CPUs hay registros de depuración especiales que se pueden utilizar para almacenar las direcciones de los puntos de interrupción (por ejemplo, leer, escribir, ejecutar). 

Cuando la CPU llega a una dirección de memoria definida en el registro de depuración y se cumplen las condiciones de acceso, el programa pondrá la ejecución en pausa para ello se puede utilizar los comandos "ba".

COMANDOS

Hay una multitud de comandos para utilizar en el depurador. En el siguiente link tenemos una lista muy documentada de cada uno de ellos:


En nuestro caso vamos a comprobar alguno del estilo 'VOLATILITY' en el que podemos leer diversas claves del registro.

ACCEDIENDO AL REGISTRO DE WINDOWS

En mi caso y ejemplo, voy a realizar un análisis de un fichero que contiene un volcado de memoria, para ello lo selecciono y el 'debugger' prepara el entorno para su utilización con KD.


A continuación y como ejemplo puedo pedirle que me muestre la lista de ficheros HIVE que están en memoria. para ello utilizamos el comando "reg hivelist"

Lista de ficheros SYSTEM, DEFAULT, SAM, CONFIG

Si queremos ver las claves del registro de un fichero en concreto ponemos  "reg openkeys"

Claves del registro

Y para ver el valor o datos que contiene una clave o subclave ponemos "reg querykey"

Valores de una clave


Una vez que ya nos hemos familiarizado con el entorno, es momento de analizar el sistema, pero esto ya lo haremos en otro post.

jueves, 23 de enero de 2014

ADQUISICIÓN DE FICHEROS BLOQUEADOS


Hola lectores,

Uno de los problemas que nos encontramos a la hora de realizar un análisis forense en la obtención o adquisición de discos y archivos, es encontrarnos con ficheros bloqueados o abiertos por una aplicación o dependiendo del caso por el propio sistema operativo.

Las soluciones son sencillas cuando hay que hacer un clonado y podemos apagar el dispositivo a copiar, pero no lo es tanto cuando el equipo debe de estar encendido. Por ejemplo en Windows un motivo fundamental para la realización de un buen análisis consiste en la obtención de ficheros HIVE y los registros de ‘log’ del sistema.


Ambos proporcionan datos muy valiosos y pueden esclarecer tanto lo que hizo un usuario y que ocurrió en el sistema. El problema radica cuando se copian, dado que al ser ficheros utilizados por el sistema este los bloquea.

Bloqueo en la copia de NTUSER.DAT



UTILIDADES AL RESCATE


Para la adquisición de estos ficheros en un sistema ‘vivo’ existen varias herramientas que recomiendo encarecidamente.


Hemos hablado mucho y muy bien en anteriores post sobre ella. Esta utilidad permite recuperar (entre otras cosas) cualquier fichero del sistema, incluido la $MFT, $JOURNAL, NTUSER.DAT, etc.



Es una utilidad muy útil para equipos individuales pero se convierte en tediosa cuando tenemos que automatizar procesos en múltiples ficheros o diferentes unidades de disco.


Ofrece un enfoque más sencillo y más seguro. Se trata de una herramienta basada en la consola. Es de código abierto y copia archivos NTFS mediante el acceso a disco en bajo nivel, por encima de todas las restricciones habituales. Si el archivo está bloqueado por una aplicación y Windows no tiene los permisos necesarios, no hay problema: RawCopy lo copiará independientemente.



Lo importante de utilizar esta herramienta es no equivocarse con la sintaxis exacta. El parámetro de origen debe incluir una ruta completa (no relativa), el destino no puede incluir un nombre de archivo, debe ser sólo una ruta y como de costumbre con programas de la consola, si los parámetros de origen o de destino contiene espacios, entonces hay que poner comillas.

Por último y no por ello la más importante tenemos a HDD Raw Copy Tool.


Esta herramienta crea una copia sector por sector de todas las áreas del disco duro (MBR, registros de arranque, todas las particiones, así como espacios intermedios) sin preocuparse del sistema operativo ni particiones (incluyendo las ocultas). 

Además, HDD Raw Copy puede crear una copia exacta (dd) o imagen comprimida de la totalidad de los dispositivos de disco.

Entre sus usos se puede encontrar:
  • Recuperación de datos: permite realizar una copia de la unidad dañada e intentar la recuperación con la copia.
  • Recuperación de datos: permite copiar un disco duro dañado y omitir los sectores defectuosos.
  • Migración: migrar completamente de un disco duro a otro.
  • Copia de seguridad final: Hacer una copia exacta del disco duro para usos futuros.
  • Copia de seguridad: crear una imagen de un USB y copiar / restaurar en cualquier momento.
  • Duplicar / Clonar / Guardar imagen completa de todo tipo en cualquier dispositivo.
Todas estas utilidades mencionadas son muy útiles de emplear y muy recomendables.

martes, 7 de enero de 2014

Artefactos Forenses (II) Prefetch y Windows 8



Cada vez que encendemos el ordenador, Windows realiza un seguimiento de la forma en que se inicia el equipo y los programas que se abren o utilizan habitualmente. Para ello el sistema guarda esta información en una serie de archivos en la carpeta Prefetch  de modo que la próxima vez que se encienda el equipo, Windows iniciará estos archivos para acelerar el proceso de inicio.

Podríamos decir que es una super-cache de datos, librerías y aplicaciones.

No es necesario eliminar ni vaciar su contenido. Si vaciamos la carpeta los programas tardarán más en abrirse la próxima vez que encienda el equipo.

Esta carpeta ha sido reconocida como un artefacto útil en la comunidad forense y hay algunas herramientas existentes para analizar los ficheros 'pf'. Las características que ofrece entre otras, son la última fecha de ejecución de un programa y el número de veces que se ha ejecutado. 


Ejemplo de Winprefetchview de nirsoft.com


Pero hay más que eso, ¡Mucho más! El archivo 'pf' también registra información sobre el disco, el número de serie  y la marca de tiempo de creación de la unidad. Esta información se almacena para todos los volúmenes y es muy útil para encontrar números de serie de las unidades externas utilizadas para poner en marcha las aplicaciones o para descubrir los archivos que han sido abiertos desde el propio dispositivo o disco duro externo.

El funcionamiento básicamente consiste en que el servicio "Programador de tareas" (que se ejecuta bajo 'svchost') se utiliza (entre otras cosas) para grabar páginas de memoria que son utilizadas con frecuencia por las aplicaciones, así de esta forma cuando se pone en marcha un programa, durante los primeros diez segundos, esta es monitorizada por el "Windows cache manager" y el resultado de esta información se escriben en un archivo PF cuyo nombre tendrá la nomenclatura "programa.extension-HASH.pf".

El hash es un número de 32 bits, representado en hexadecimal y se ve como por ejemplo "WRITE.EXE-A606B53C.pf". Este hash se calcula a partir de la ruta completa de la aplicación que será de la forma:

\\Device\\HarddiskVolume1\\WINDOWS\\system32\\WRITE.EXE

Por lo tanto desde el punto de vista forense una aplicación ejecutada en el sistema operativo deja rastro.

LAYOUT.INI

El resultado del procesado del programador de tareas se almacena en un archivo de nombre 'Layout.ini' en el mismo directorio Prefetch, y este fichero a su vez es utilizado por el desfragmentador de disco, dándole instrucciones para reordenar los archivos en posiciones secuenciales en el disco. Por lo tanto si desaparece este archivo nos vamos a encontrar que no funciona correctamente el defragmentador.



Ejemplo del fichero Layout.ini


ESTRUCTURA

Y observando los offset y cabeceras con un editor nos encontramos con la siguiente estructura:


Por otro lado la clave del registro que se identifica con prefetch es:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

WINDOWS 8

Windows 8 aún utiliza el mismo algoritmo para el cálculo del hash y la estructura del archivo de PF es aún la misma. El único cambio parece ser la adición de siete nuevas marcas de tiempo. Esto se debe a que ahora en el archivo se almacena la fecha y hora de las últimas ocho veces que se ejecuta la aplicación.

ESTRUCTURA


¿EN QUE PODEMOS UTILIZAR PREFETCH?

Particularmente es muy útil para temas de propiedad intelectual, con este sistema y diversas aplicaciones como la de nirsoft, podemos saber si una persona ha instalado y utilizado un determinado programa. Tuve un caso concreto de copias piratas con AUTOCAD y aunque la empresa negaba la existencia, las evidencias del directorio prefetch fueron muy claras a ese respecto. Evidentemente esto es solo una parte.

Otro caso concreto fue la utilización de prefetch para descubrir fugas de datos o ficheros que se han abierto desde dispositivos externos y ya por último, aunque algo más burdo es posible descubrir la utilización de malware y/o programas espías, así como documentos eliminados que hubieran estado en cualquier dispositivo.





Ejemplo de  descubrimiento del troyano VANQUISH

Por lo tanto en un análisis forense es muy aconsejable la utilización de esta carpeta para la búsqueda de evidencias.

Referencias:

http://www.forensicswiki.org/wiki/Windows_Prefetch_File_Format
https://googledrive.com/host/0B3fBvzttpiiSbl9XZGZzQ05hZkU/Windows%20Prefetch%20File%20(PF)%20format.pdf

jueves, 2 de enero de 2014

¡TRES, DOS, UNO...A FORMARSE!


Hola lectores,

Tiempo atrás hablando con Lorenzo de Securizame sobre la ola que viene de ciberespías, ataques en red, peritajes especialmente enrevesados y fraude a patadas, llegamos a la conclusión de quien no este 'al día' y evolucione en las nuevas técnicas y metodologías en seguridad informática, quedará fuera del mercado laboral.

Sois muchos los que me preguntáis como se puede empezar en esta materia y que se necesita para la realización de un buen análisis forense. Dependiendo del caso os he mandado algún correo y referencias para empezar, continuar o especializarse.

La formación es algo que debemos de valorar constantemente como una inversión y no como un gasto. Las empresas que durante los años venideros quieran disponer de recursos de primer nivel tendrán que invertir en especialización o futuro formando a su cuadro técnico y así estar posicionadas para la carrera.

En este sentido Lorenzo ha ido trabajando en montar un curso desde el punto de vista antes mencionado, es decir pensado en la especialización y en los alumnos.

Para ello ha congregado y conjurado a un elenco de especialistas profesionales como Álvaro AndradeJaime Andrés Restrepo DragonJARYago Jesús, Juan GarridoGiovanni CruzLuis Delgado y un humilde servidor.

En la web de Securízame hay una página explicando los detalles del curso con el temario, horario, costes, calendario, etc…

¡¡Espero que nos veamos!!

viernes, 20 de diciembre de 2013

Artefactos forenses (I)

ARTEFACTOS DEL SISTEMA


Hola lectores,

Son muchas las ocasiones que cuando uno hace un análisis forense y no encuentra 'pistas' o evidencias tiene que pelear con los rastros que dejan las aplicaciones o el propio sistema operativo.

Con objeto de revisar las nuevas características desde el punto de vista forense que nos ofrece Windows 7 y Windows 8 voy a escribir unos cuantos post sobre este tema.

¿Os habéis preguntado alguna vez que es un artefacto en Windows?

Al igual que las versiones anteriores de Windows, la versión 7 y 8 dispone de mecanismos que dejan rastro de la actividad de los usuarios, de los programas que se utilizan, los accesos, conexiones y aplicaciones, si han navegado, descargado o ejecutado algún programa.

Estos elementos son comúnmente llamado "artefactos". Veamos en esta primera parte algunos interesantes.

Lista de artefactos:
  • Logs o ficheros de sistema
  • Tabla maestra de archivos MFT 
  • El registro de Windows
  • El visor de Eventos
  • Los ficheros Prefetch
  • Los accesos directos
  • La papelera
  • Metadatos en imágenes y documentos
  • Ficheros de hibernación y memoria
  • Copias de seguridad 
  • Volume Shadow
Empezamos con los artefactos de sistema, espero que os sea de ayuda.

ARTEFACTOS DE SISTEMA

En la siguiente tabla podemos ver una serie de ficheros propios del sistema operativo y la función que desempeñan.


REGISTROS VARIOS SOBRE LA INSTALACIÓN



%WINDIR%\setupact.log


Contiene información acerca de las acciones de instalación durante la misma.

EVIDENCIAS: Podemos ver fechas de instalación, propiedades de programas instalados, rutas de acceso, copias legales, discos de instalación...


%WINDIR%\setuperr.log

Contiene información acerca de los errores de instalación durante la misma.

EVIDENCIAS: Fallos de programas, rutas de red inaccesibles, rutas a volcados de memoria...


%WINDIR%\WindowsUpdate.log

Registra toda la información de transacción sobre la actualización del sistema y aplicaciones.

EVIDENCIAS: Tipos de hotfix instalados, fechas de instalación, elementos por actualizar...




%WINDIR%\Debug\mrt.log

Resultados del programa de eliminación de software malintencionado de Windows.

EVIDENCIAS: Fechas, Versión del motor, firmas y resumen de actividad.


%WINDIR%\security\logs\scecomp.old

Componentes de Windows que no han podido ser instalados.

EVIDENCIAS: DLL's no registradas, fechas, intentos de escritura,rutas de acceso...



%WINDIR%\SoftwareDistribution\ReportingEvents.log


Contiene eventos relacionados con la actualización.

EVIDENCIAS: Agentes de instalación, descargas incompletas o finalizadas, fechas, tipos de paquetes, rutas...




%WINDIR%\Logs\CBS\CBS.log


Ficheros pertenecientes a ‘Windows Resource Protection’ y que no se han podido restaurar.

EVIDENCIAS: Proveedor de almacenamiento, PID de procesos, fechas, rutas...



%AppData%\Local\Microsoft\Websetup (Windows 8)

Contiene detalles de la fase de instalación web de Windows 8

EVIDENCIAS: URLs de acceso, fases de instalación, fechas de creación, paquetes de programas...



%AppData%\setupapi.log 

Contiene información de unidades, services pack y hotfixes.

EVIDENCIAS: Unidades locales y extraibles, programas de instalación, programas instalados, actualizaciones de seguridad, reconocimiento de dispositivos conectados...


%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
%WINDIR%\PANTHER\*.log,xml

Contiene información de acciones, errores y estructuras de SID cuando se actualiza desde una versión anterior de windows.

EVIDENCIAS: Fechas, rutas, errores , medio de instalación, dispositivos, versiones, reinicio, dispositivos PnP...



%WINDIR%\INF\setupapi.dev.log

Contiene información de unidades Plug and Play y la instalación de drivers.

EVIDENCIAS: Versión de SO, Kernel, Service Pack, arquitectura, modo de inicio, fechas, rutas, lista de drivers, dispositivos conectados, dispositivos iniciados o parados...


%WINDIR%\INF\setupapi.app.log

Contiene información del registro de instalación de las aplicaciones.

EVIDENCIAS: Fechas, rutas, sistema operativo, versiones, ficheros, firma digital, dispositivos...



%WINDIR%\Performance\Winsat\winsat.log

Contiene trazas de utilización de la   aplicación WINSAT que miden el rendimiento del sistema.

EVIDENCIA: Fechas, valores sobre la tarjeta gráfica, CPU, velocidades, puertos USB...





*.INI

Contiene configuraciones de programas

EVIDENCIA: Rutas, secciones, parámetros de usuarios...


%WINDIR%\Memory.dmp

Contiene información sobre los volcados de memoria.

EVIDENCIA: Rutas, programas, accesos, direcciones de memoria, listado de usuarios, contraseñas, conexiones...


EL.CFG
Pid.txt

Estos archivos se usan para automatizar la página de entrada de la clave de producto en el programa de instalación de Windows.

EVIDENCIA:Contiene el código de producto y la versión instalada



LOG DE EVENTOS DE WINDOWS


%WINDIR%\System32\config
%WINDIR%\System32\winevt\Logs


Contiene los logs de Windows accesibles desde el visor de eventos.

EVIDENCIAS: Casi todas. Entradas, fechas, accesos, permisos, programas, usuario, etc...


MICROSOFT SECURITY ESSENTIALS


%PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support

%PROGRAMDATA%\Microsoft\Microsoft Security Client\Support



Logs del motor de antimalware

EVIDENCIAS: Fechas, versión del motor, programas analizados, actividad del malware...

viernes, 11 de octubre de 2013

Eventos y saraos


Hola lectores,

Estamos inmersos en Octubre y tenemos por delante varias citas importantes.

Por un lado el 22 y 23 tenemos en León el séptimo encuentro internacional de la seguridad de la información ENISE organizado por INTECO y en el que tendré una breve ponencia sobre los ataques APT, que este año es moda dado los últimos acontecimientos mundiales. No hay que perderse esta cita que ya sabéis que INTECO es punta de lanza con un montón de buenos profesionales.

De ahí me iré A Coruña, a mi querido GSICKMINDS que se celebra el 24, 25 y 26 con un montón de amigos  y ponentes de otros años. Para no variar daré una ponencia sobre APT y el grupo militar de hackers chinos 'PLA 61398' y contaré entre otras cosas que hace este grupo por España, además presentaré alguna herramienta que estoy desarrollando y que nos puede ser de utilidad desde el punto de vista forense. No os perdáis el lujo de ponentes de esta edición.

A continuación los días 1 y 2 de Noviembre en Barcelona tenemos la espectacular NOCONNAME el congreso de seguridad más antiguo en España y que cada año dirige el bueno de Nico consiguiendo reunir a unos ponentes impresionantes en materia de seguridad. Las ponencias otro lujo que no hay que perderse.

También en noviembre voy a impartir el curso de "auditoria de seguridad informática" que organiza la Universidad Rovira i Virgili de Tarragona, para aquellos que os guste este tema.

Por último os recuerdo que ya están abiertas las inscripciones de solicitud de ponencias para la Rooted Con 2014 y que hay que ir reservando fechas para asistir al congreso.

viernes, 13 de septiembre de 2013

Forensics PowerTools (Listado de herramientas forenses)

Hola lectores,

Suelo hacer habitualmente un 'post' sobre herramientas forenses para no olvidarme de donde descargo muchas de las herramientas que utilizo. Muchas ya están en esta presentación en slideshare, pero en esta ocasión he incluido algunas nuevas y otras actualizadas. Esta lista es producto de recopilación de muchos meses y quiero compartirlas con todos.  Espero que os pueda ser de utilidad.


ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA 

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.

pd Proccess Dumper - Convierte un proceso de la memoria a fichero.
FTK Imager - Permite entre otras cosas adquirir la memoria.
DumpIt - Realiza volcados de memoria a fichero.
Responder CE - Captura la memoria y permite analizarla.
Volatility - Analiza procesos y extrae información util para el analista.
RedLine - Captura la memoria y permite analizarla. Dispone de entrono gráfico.
Memorize - Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla. 


ImDisk - Controlador de disco virtual.
OSFMount - Permite montar imágenes de discos locales en Windows asignando una letra de unidad.

raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager - Comentada anteriormente, permite realizar montaje de discos.
vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .
LiveView - Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.
MountImagePro - Permite montar imágenes de discos locales en Windows asignando una letra de unidad

CARVING Y HERRAMIENTAS DE DISCO 

Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.

PhotoRec - Muy útil, permite la recuperación de imágenes y vídeo.
Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.
RecoverRS - Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco.
NTFS Recovery - Permite recuperar datos y discos aún habiendo formateado el disco.
Recuva - Utilidad para la recuperación de ficheros borrados.
Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.
CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.
Restoration - Utilidad para la recuperación de ficheros borrados.
Rstudio - Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
Freerecover - Utilidad para la recuperación de ficheros borrados.
DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.

Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.

UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.

analyzeMFT - David Kovar's utilidad en python que permite extraer la MFT
MFT Extractor- Otra utilidad para la extracción de la MFT
INDXParse - Herramienta para los indices y fichero $I30.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT
MFT_Parser - Extrae y analiza la MFT
Prefetch Parser - Extrae y analiza el directorio prefetch
Winprefectchview - Extrae y analiza el directorio prefetch 

Fileassassin - Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWARE

PDF Tools de Didier Stevens.
PDFStreamDumper - Esta es una herramienta gratuita para el análisis PDFs maliciosos.
SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.
Proccess explorer - Muestra información de los procesos.
Captura BAT - Permite la monitorización de la actividad del sistema o de un ejecutable.
Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellos
Bintext - Extrae el formato ASCII de un ejecutable o fichero.
LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.
Firebug - Analisis de aplicaciones web.
IDA Pro - Depurador de aplicaciones.
OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.
Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits
OfficeMalScanner - Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.
Radare - Framework para el uso de ingeniería inversa.
FileInsight - Framework para el uso de ingeniería inversa.
Volatility Framework con los plugins malfind2 y apihooks.
shellcode2exe - Conversor de shellcodes en binarios.

FRAMEWORKS


Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.

PTK Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado. 
Log2timeline - Es un marco para la creación automática de un super línea de tiempo.
Plaso - Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.
OSForensics - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
DFF - Framework con entorno gráfico para el análisis.
SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.
Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy útil.

ANÁLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, información del sistema, direcciones IP, información de aplicaciones.

RegRipper - Es una aplicación para la extracción, la correlación, y mostrar la información del registro.
WRR - Permite obtener de forma gráfica datos del sistema, usuarios y aplicaciones partiendo del registro.
Shellbag Forensics Análisis de los shellbag de windows.
Registry Decoder - Extrae y realiza correlación aun estando encendida la máquina datos del registro.


HERRAMIENTAS DE RED

Todo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware, conexiones sospechosas, identificación de ataques, etc.

WireShark - Herramienta para la captura y análisis de paquetes de red.
NetworkMiner - Herramienta forense para el descubrimiento de información de red.
Netwitness Investigator - Herramienta forense. La versión 'free edition' está limitado a 1GB de tráfico.
Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisición y análisis de la red.
Xplico - Extrae todo el contenido de datos de red (archivo pcap o adquisición en tiempo real). Es capaz de extraer todos los correos electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el protocolo HTTP.
Snort - Detector de intrusos. Permite la captura de paquetes y su análisis.
Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea física, virtual o en la nube.
AlientVault - Al igual que Splunk recolecta los datos y logs aplicándoles una capa de inteligencia para la detección de anomalías, intrusiones o fallos en la política de seguridad.

RECUPERACIÓN DE CONTRASEÑAS

Todo lo relacionado con la recuperación de contraseñas en Windows, por fuerza bruta, en formularios, en navegadores.

Ntpwedit - Es un editor de contraseña para los sistemas basados ​​en Windows NT (como Windows 2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para Active Directory.
Ntpasswd - Es un editor de contraseña para los sistemas basados ​​en Windows, permite iniciar la utilidad desde un CD-LIVE
pwdump7 - Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM.
SAMInside / 
OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para ataques por fuerza bruta.

DISPOSITIVOS MÓVILES

Esta sección dispone de un set de utilidades y herramientas para la recuperación de datos y análisis forense de dispositivos móviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero que son muy interesantes e importantes.

iPhone

iPhoneBrowser - Accede al sistema de ficheros del iphone desde entorno gráfico.
iPhone Analyzer - Explora la estructura de archivos interna del iphone.
iPhoneBackupExtractor - Extrae ficheros de una copia de seguridad realizada anteriormente.
iPhone Backup Browser - Extrae ficheros de una copia de seguridad realizada anteriormente.
iPhone-Dataprotection - Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta con contraseñas simples (4 dígitos) y descifrar copias de seguridad.
iPBA2 - Accede al sistema de ficheros del iphone desde entorno gráfico.
sPyphone - Explora la estructura de archivos interna.

BlackBerry

Blackberry Desktop Manager - Software de gestión de datos y backups.
Phoneminer - Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.
Blackberry Backup Extractor - 
Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.
MagicBerry - Puede leer, convertir y extraer la base de datos IPD.

Android

android-locdump. - Permite obtener la geolocalización.
androguard - Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSC
viaforensics - Framework de utilidades para el análisis forense.
Osaf - Framework de utilidades para el análisis forense.

PRODUCTOS COMERCIALES

No podían faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es el precio.