Las 7 mejores herramientas cibernéticas forenses más populares y mejores


A menudo vemos expertos en películas usando herramientas forenses para sus investigaciones, pero ¿qué herramientas cibernéticas forenses usan los expertos? Bueno, aquí están las 7 mejores herramientas forenses cibernéticas preferidas por especialistas e investigadores de todo el mundo.

“Torture los datos y confesará cualquier cosa” Ronald Coase .

Cyber ​​forense : como dice el título, está recopilando pruebas para su investigación después de que se haya producido una actividad no deseada. Cyber/Computer Forensics es un departamento que depende de Digital Forensic Science para mejorar la ciberseguridad . En un libro de 2002, Computer Forensics , los autores Kruse y Heiser definen la informática forense como “La preservación, identificación, extracción, documentación e interpretación de datos informáticos”.

Entonces, ¿Qué hacen los investigadores Forenses?

Básicamente siguen un cierto procedimiento estándar de investigación. En primer lugar, aíslan físicamente el dispositivo infectado de la red y se aseguran de que haya sido respaldado y no pueda ser contaminado por la intrusión externa. Una vez que salvaguardan el dispositivo, se mantiene a un lado para otros procedimientos y las investigaciones se realizan en el clonado.

Para comprender mejor los hechos sobre la computadora, podemos suponer que la computadora es un testigo confiable y definitivamente no puede engañar. Hasta que sea abordado por un personaje externo y el único propósito del Cyber​/Computer Forensic es buscar, preservar y analizar la información obtenida del dispositivo víctima y utilizarla como evidencia.

Entonces, ¿cuáles son las herramientas utilizadas por estos profesionales? Aquí hay una lista de las 7 mejores herramientas (referidas por InfoSecInstitute ) usadas con una breve descripción y características clave.

1) SIFT-SANS herramientas de Investigación Forense

SIFT tiene la capacidad de examinar discos en bruto (es decir, los datos en nivel de bytes asegurados directamente desde la unidad de disco duro o cualquier otro dispositivo de almacenamiento), múltiples sistemas de archivos y formatos de evidencia. Básicamente se basa en Ubuntu y es un Live CD que incluye las herramientas que uno necesita para realizar una investigación forense en profundidad o una investigación de respuesta. Lo mejor de SIFT toolkit es que es de código abierto y gratuito.

SIFT puede coincidir con cualquier suite de herramientas de análisis y respuesta a incidentes de hoy en día que también esté presente en el curso de respuesta a incidentes avanzados de SANS. Entonces, ¿qué tipo de formatos de evidencia admite SIFT? Es compatible con todo tipo de formatos, desde formato de forense avanzado (AFF) hasta formato de prueba RAW (dd) y mucho más.

Las características clave de SIFT serían
  1. Ubuntu LTS 14.04 Base.
  2. Sistema base de 64 bits.
  3. Mejor utilización de memoria.
  4. Actualizaciones y personalizaciones de paquetes Auto-DFIR.
  5. Últimas herramientas y técnicas forenses.
  6. VMware Appliance listo para abordar el análisis forense.
  7. Compatibilidad cruzada entre Linux y Windows.
  8. Opción para instalar vía independiente (.iso) o usar a través de VMware Player/Workstation.
  9. Proyecto de documentación en línea en eadTheDocs
  10. Ayuda ampliada del sistema de archivos.
2) ProDiscover Forensic

ProDiscover Forensic es esa herramienta informática/de seguridad cibernética que puede permitir a los profesionales localizar todos los datos de un disco de almacenamiento informático particular y, al mismo tiempo, proteger la evidencia y crear el informe de documentación utilizado para las órdenes legales.

Esta herramienta tiene la capacidad de recuperar cualquier archivo eliminado del sistema víctima y examinar el espacio libre. Puede acceder a flujos de datos alternativos de Windows y le permite tener una vista previa y buscar o capturar el proceso (es decir, tomar una captura de pantalla o cualquier otro medio) del Área protegida de hardware (HPA). ProDiscover Forensic usa su propia tecnología para realizar este ejercicio.

La protección de hardware para los datos en cualquier sistema u organización es algo muy importante y también igual de difícil para cualquiera. ProDiscover Forensic lee el disco en el nivel del sector y, por lo tanto, puede decir que no se pueden ocultar datos de esta herramienta.

Las características clave de ProDiscover Forensic serían
  • Cree una copia Bit-Stream del disco que se analizará, incluida la sección HPA oculta (pendiente de patente), para mantener la evidencia original a salvo.
  • Busque archivos o un disco completo, incluyendo espacio slack, sección HPA y flujos de datos alternativos de Windows NT/2000/XP para un análisis forense completo del disco.
  • Obtenga una vista previa de todos los archivos, incluso si están ocultos o eliminados, sin alterar los datos en el disco, incluidos los metadatos del archivo.
  • Examine y cruce de datos en el archivo o nivel de clúster para asegurarse de que no haya nada oculto, incluso en el espacio libre.
  • Utilice los scripts de Perl para automatizar las tareas de investigación.
3) Volatility Framework

Volatility Framework es un framework que fue lanzado exclusivamente por Black Hat. Se relaciona directamente con el Análisis Avanzado de Memoria y Forense. El análisis de memoria avanzado y el análisis forense se basan básicamente en el análisis de la memoria volátil en el sistema de víctimas. La memoria volátil o los datos volátiles son los datos que cambian con frecuencia y pueden perderse al reiniciar cualquier sistema. Este análisis de datos se puede hacer usando Volatility Framework. Este marco introdujo al mundo el poder de monitorear los procesos de tiempo de ejecución y el estado de cualquier sistema utilizando los datos encontrados en la RAM ( memoria volátil ).

Este framework también proporciona una plataforma única que permite la investigación forense hacia una mejor eficiencia que puede ser tomada de inmediato por los investigadores digitales. Esta herramienta es utilizada por las autoridades del país, las fuerzas de defensa o cualquier otro investigador comercial de todo el mundo.

Las características clave de Volatility Framework serían
  • Un framework único y cohesivo
  • Es Open Source GPLv2
  • Está escrito en Python
  • Se ejecuta en Windows, Linux o Mac
  • API extensible y programable
  • Conjuntos de características inigualables
  • Cobertura completa de formatos de archivo
  • Algoritmos rápidos y eficientes
  • Comunidad seria y poderosa
  • Forense /IR/foco de malware
4) Sleuth Kit (+ Autopsia)

The Sleuth Kit (+ Autopsy) una interfaz de línea de comando es un modo de interactuar con un programa de computadora. Aquí los usuarios/clientes emiten comandos al programa sucesivas líneas de texto conocidas como comandos en un lenguaje de programación. 

De manera similar, Sleuth Kit es una colección de tales interfaces/herramientas de línea de comando. Permite al usuario examinar las imágenes de disco del dispositivo víctima y recuperar los archivos dañados. Generalmente se usa en autopsia junto con muchas otras herramientas de código abierto o forense comercial.

Autopsy® junto con Sleuthkit es un programa basado en GUI. Le permite al usuario examinar los discos duros y teléfonos inteligentes con mayor eficiencia que otras herramientas.

Lista de características de Autopsia
  • Casos multiusuario colabore con otros examinadores en casos más grandes.
  • Análisis de línea de tiempo: muestra los eventos del sistema en una interfaz gráfica para ayudar a identificar la actividad.
  • Búsqueda de palabras clave: la extracción de texto y los módulos de búsqueda de índice le permiten buscar archivos que mencionan términos específicos y encontrar patrones de expresiones regulares.
  • Artefactos web: extrae la actividad web de los navegadores comunes para ayudar a identificar la actividad del usuario.
  • Análisis del Registro Utiliza RegRipper para identificar documentos y dispositivos USB recientemente accedidos.
  • Análisis de archivos LNK: identifica accesos directos y documentos accedidos
  • Análisis de correo electrónico: analiza mensajes en formato MBOX, como Thunderbird.
  • EXIF: extrae la geolocalización y la información de la cámara desde archivos JPEG.
  • Clasificación de tipo de archivo: agrupe los archivos por su tipo para encontrar todas las imágenes o documentos.
  • Reproducción de medios: vea videos e imágenes en la aplicación y no requiera un visor externo.
  • Visor de miniaturas: muestra miniaturas de las imágenes para ayudar a ver las imágenes rápidamente.
5) CAINE (Entorno investigativo asistido por computadora)

Caine se basa en un entorno Linux. En realidad, es un CD en vivo que contiene una serie de herramientas forenses necesarias para realizar un análisis. Dado que la última versión de CAINE se basa en Ubuntu Linux LTS, MATE y LightDM, cualquiera que esté familiarizado con estos no necesita esforzarse demasiado para trabajar en CAINE.

Las características clave de Caine incluyen
  • Interfaz Caine : una interfaz fácil de usar que reúne algunas herramientas forenses conocidas, muchas de las cuales son de código abierto.
  • Entorno actualizado y optimizado para realizar un análisis forense.
  • Generador de informes semiautomático.
6) Xplico

Xplico es otra herramienta de análisis forense de código abierto que puede reconstruir el contenido de cualquier adquisición realizada por sniffer de paquetes como Wireshark, ettercap, etc. Esta herramienta puede extraer y reconstruir el contenido desde cualquier lugar.

Las características de Xplico incluyen
  • Protocolos admitidos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv4, IPv6.
  • Identificación de protocolo independiente del puerto (PIPI) para cada protocolo de aplicación;
  • Multithreading;
  • Datos de salida e información en base de datos SQLite o base de datos Mysql y/o archivos;
  • En cada dato reensamblado por Xplico se asocia un archivo XML que identifica de manera única los flujos y el pcap que contiene los datos reensamblados;
  • No hay límite de tamaño para la entrada de datos o la cantidad de archivos de entrada (el único límite es el tamaño HD);
  • Modularidad. Cada componente Xplico es modular.

Xplico se instala de forma predeterminada en algunos de los sistemas de análisis forenses y de penetración digitales Kali Linux, BackTrack y mucho más.

7) X-Ways Forensics

X-Ways Forensics es el entorno de trabajo avanzado utilizado ampliamente por los Examinadores Forenses. Uno de los problemas que enfrenta el profesional al usar cualquier kit de herramientas forenses es que están hambrientos de recursos, lentos, incapaces de llegar a todos los rincones. Mientras que X-Ways Forensics no consume muchos recursos, más rápido, encuentra todos los archivos eliminados y viene con funciones adicionales. Esta herramienta forense es fácil de usar y totalmente portátil y se puede llevar en una memoria USB. No requiere ninguna instalación adicional en los sistemas de Windows.

  • Las características clave de rayos X forense incluyen
  • Clonación de discos e imágenes
  • Posibilidad de leer particiones y estructuras de sistema de archivos dentro de archivos de imagen en bruto (.dd), imágenes ISO, VHD y VMDK
  • Acceso completo a discos, RAID e imágenes de más de 2 TB de tamaño
  • Identificación automática de particiones perdidas/eliminadas
  • Visualización y edición de estructuras de datos binarios mediante plantillas
  • Vista recursiva de todos los archivos existentes y eliminados en todos los subdirectorios

Vía |hackread

log in

reset password

Back to
log in