Incident Response, Security and Forensics"

.

viernes, 26 de diciembre de 2008

CD To live

Hola a todos,

Existen muchas versiones 'live cd' basadas para el analisis forense, entre ellas quisiera destacar dos distribuciones que han sido y serán de gran utilidad en la investigación forense, por lo menos para mi. La primera es HELIX3 v1.7.

HELIX

Esta basada en una distribución Linux Ubuntu que ha sido especialmente modificada para no afectar en manera alguna al ordenador a analizar. Desde luego también funciona en Windows.

Una herramienta muy versatil, comoda y facil de usar; en resumen, imprescincible para cualquiera que desee trabajar en este campo. Poco tengo que decir, todo o casi todo es bueno.

En la siguiente imágen teneís un listado de las utilidades que dispone:


Utilidades

Otras de las imágenes más sugerentes:


Informe de resultados


Buscador de imágenes


Más utilidades

SIFT

La segunda que más aprecio es SIFT de SANS, por su capacidad de aprendizaje que tiene la herramienta, ademas de estar supervisada por el famoso experto rob lee

La prestigiosa firma SANS ha liberado la versión 1.2 de su aplicación basada en VMWARE y llamada SANS SIFT Worktation.

SIFT es un sistema configurado con todos los instrumentos necesarios para realizar un examen forense. Es compatible con Expert Witness Format (E01), Advanced Forensic Format (AFF), y clonaje de discos raw (dd).

La aplicación es utilizada en los cursos propios de SANS para el análisis forense, la investigación, y respuesta ante incidentes. Entre otras cosas enseñan a analistas a examinar datos de sistema de ficheros y estructuras de metadatos para aumentar su entendimiento de los sistemas FAT/NTFS/UNIX/LINUX.

Los cambios en la versión 1.2 son:

PTK 1.02
Afflib-3.3.4
Aimage-3.2.0
autopsy 2.20
Sleuthkit-3.0: Compilado con HFS
Grokevt-0.4.1: Es una colección de Scripts construidas para leer el visor de eventos de Windows NT/2K/XP/2K3
Libpst-0.5.3 PST: Libreria sobre Linux
Reglookup-0.9.0: RegLookup es una pequeña utilidad de línea de mando para leer el registro basado en Windows
Tableau-parm-0.1.0: Ees una pequeña utilidad de línea de mando diseñada para actuar recíprocamente con bloqueo de ficheros
Rapier_0.1alpha: Nuevo 'Data carver'

Utilidades en PERL

regripper.pl --> Utilidad de extracción de información del registro
deleted.pl ----> Busqueda de claves eliminadas
regtime.pl ----> Timestamp del registro

También el Software Incluye: (/usr/local/src)

ssdeep & md5deep (Hashing Tools)
Foremost/Scalpel (File Carving)
WireShark (Network Forensics)
HexEditor
Vinetto (thumbs.db examination)
Pasco (IE Web History examination)
Rifiuti (Recycle Bin examination)
Volatility Framework (Memory Analysis)
DFLabs PTK (GUI Front-End for Sleuthkit)
Autopsy (GUI Front-End for Sleuthkit)
The Sleuth Kit (File system Analysis Tools)

0 comentarios: