Incident Response, Security and Forensics"

.

jueves, 4 de junio de 2009

Mi caja de herramientas (Forensics Memory Tools)


Hola lectores,

Como tengo la RAM volátil, he decidido recabar herramientas con objeto de recordar algunas de las más comunes que suelo utilizar para el análisis y volcado de memoria RAM.


Algunas de ellas se han escrito en este blog, otras en cambio y debido a su coste comercial, tan solo se han nombrado o se ha realizado algún pequeño ejemplo.

La mayoría de ellos están pensados para sistemas operativos basados en Windows, incluidos Vista y Windows Server

Volatility (free) - Magnifica herramienta, ha sacado mucha más información inclusive de temas tan peliagudos como la criptografía. Para mi otra de las Joyas de la corona.

Mantech Memory DD o MDD (free) - No hay mucho para decir sobre este producto, es otro de los pesos pesados en volcados de memoria

Win32dd (free) - El que más utilizo con diferencia, sencillo, rápido, multiplataforma y con posibilidad de utilizar el debuger de Microsoft. Una autentica joya

winen.exe (comercial pero incluido en HELIX 2.0) - Vuelca la RAM en formato EnCase (E01), capaz de comprimir el fichero resultante y totalmente operativo en su uso con otras herramientas (EnCase, FTK). Por supuesto permite mantener la integridad del fichero a inspeccionar.

fastdump (free) - Creado por HBGARY También una de las buenas, lastima que no esta muy actualizado.

PTFinders (free), de Andreas Schuster, curiosa, y de gran potencial, interesantisima bajo el prisma de documentar procesos y análisis.

Mandiant Memoryze (free) - Uno de los grandes en esto del análisis de memoria, casi diría que es de los primeros en crear utilidades para respuesta ante incidentes. Fue una de las primeras herramientas con las que más a gusto me he encontrado. La empresa que gestiona Memoryze es Mandiant y desde ella se ha liberado múltiples productos (free) para el análisis forense

EnCase (comercial). El padre de todas las herramientas. Sencillo, útil, programable, con cientos de plugins, funcional 100%, es la mejor herramienta actualmente en el mercado, no solo por el análisis de memoria si no por la cantidad de expresiones de búsqueda de información que posee. Es la más reconocida en el mercado y bastante dificil de adquirir debido a su elevado precio

FTK (comercial), con cariño, esta es una de las herramientas que más utilizo en mi porfolio, podría decir que es el hermano pequeño de EnCase, ligero, funcional y cumple con notable exactitud en el análisis forense.

Process dumper y memory parser (frees), curiosas, sencillas y utilisimas, me han sacado la información cuando más lo necesitaba.

En otra ocasión recopilare sobre herramientas de análisis del registro de Windows.

6 comentarios:

Joder Pedro, te lo montas mejor que el de Bricomanía jaja :)

Bueno, sustituyendo Encase por Autopsy+Sleuthkit|Pyflag, y utilizando la versión free de FTK, creo que me iré apañando ;)

Saludos

Desconocia que FTK tenia una versión free, ¿es para Windows?.

Por cierto neofito, tu que estás más que puesto en esto del Linux, podrías recopilar herramientas forenses basadas sobre SO *nix.

Saludos

http://www.accessdata.com/downloads.html

Ok, acepto el reto, pweo dame un poco de tiempo :)

Saludos

Ahora que recuerdo:

[FORENSICS] Kit de Herramientas (I)

Ya tiene algo de tiempo, 'Jue Ene 26, 2006 6:21 pm', pero creo puede resultar interesante ;)

Saludos

Hola, necesito saber si hay algún software para saber si un video fue editado o no. Gracias!