La ciencia forense digital es un proceso de preservación, identificación, extracción y documentación de evidencia informática que puede ser utilizada por un tribunal de justicia. Hay muchas herramientas que le ayudarán a simplificar y facilitar este proceso. Estas aplicaciones proporcionan informes completos que se pueden utilizar para procedimientos legales.
A continuación se muestra una lista cuidadosamente seleccionada de kits de herramientas forenses digitales, con sus funciones populares y enlaces a sitios web. La lista contiene software de código abierto (gratuito) y comercial (pago).
1) ProDiscover Forense
ProDiscover Forensic es una aplicación de seguridad informática que le permite ubicar todos los datos en un disco de computadora. Puede proteger pruebas y crear informes de calidad para el uso de procedimientos legales. Esta herramienta le permite extraer información EXIF (formato de archivo de imagen intercambiable) de archivos JPEG.webp.
Caracteristicas :
- Este producto es compatible con los sistemas de archivos de Windows, Mac y Linux.
- Puede obtener una vista previa y buscar archivos sospechosos rápidamente.
- Crea una copia de todo el disco sospechoso para mantener segura la evidencia original.
- Esta herramienta le ayuda a ver el historial de Internet.
- Puede importar o exportar imágenes en formato .dd.
- Le permite agregar comentarios a la evidencia de su interés.
- ProDiscover Forensic admite VMware para ejecutar una imagen capturada.
Enlace : https://www.prodiscover.com
2) Kit de detective (+ autopsia)
Sleuth Kit (+ Autopsy) es una herramienta de utilidad basada en Windows que facilita el análisis forense de los sistemas informáticos. Esta herramienta le permite examinar su disco duro y su teléfono inteligente.
Caracteristicas :
- Puede identificar la actividad utilizando una interfaz gráfica de forma eficaz.
- Esta aplicación proporciona análisis para correos electrónicos.
- Puede agrupar archivos por su tipo para encontrar todos los documentos o imágenes.
- Muestra una miniatura de imágenes para ver imágenes rápidamente.
- Puede etiquetar archivos con nombres de etiqueta arbitrarios.
- El kit de detective le permite extraer datos de registros de llamadas, SMS, contactos, etc.
- Le ayuda a marcar archivos y carpetas según la ruta y el nombre.
Enlace : https://www.sleuthkit.org
3) CAINE
CAINE es una aplicación basada en Ubuntu que ofrece un entorno forense completo que proporciona una interfaz gráfica. Esta herramienta se puede integrar en herramientas de software existentes como un módulo. Extrae automáticamente una línea de tiempo de la RAM.
Caracteristicas :
- Apoya al investigador digital durante las cuatro fases de la investigación digital.
- Ofrece una interfaz fácil de usar.
- Puede personalizar las funciones de CAINE.
- Este software ofrece numerosas herramientas fáciles de usar.
Enlace : https://www.caine-live.net
4) PALADIN
PALADIN es una herramienta basada en Ubuntu que le permite simplificar una variedad de tareas forenses. Proporciona más de 100 herramientas útiles para investigar cualquier material malicioso. Esta herramienta le ayuda a simplificar su tarea forense de forma rápida y eficaz.
Caracteristicas :
- Proporciona versiones de 64 y 32 bits.
- Esta herramienta está disponible en una memoria USB.
- Esta caja de herramientas tiene herramientas de código abierto que lo ayudan a buscar la información requerida sin esfuerzo.
- Esta herramienta tiene más de 33 categorías que lo ayudan a realizar una tarea forense cibernética.
Enlace : https://sumuri.com/software/paladin/
5) EnCase
Encase es una aplicación que te ayuda a recuperar evidencia de discos duros. Le permite realizar un análisis en profundidad de archivos para recopilar pruebas como documentos, imágenes, etc.
Caracteristicas :
- Puede adquirir datos de numerosos dispositivos, incluidos teléfonos móviles, tabletas, etc.
- Le permite producir informes completos para mantener la integridad de la evidencia.
- Puede buscar, identificar y priorizar evidencia rápidamente.
- Encase-forensic le ayuda a desbloquear pruebas cifradas.
- Automatiza la preparación de pruebas.
- Puede realizar un análisis profundo y de clasificación (gravedad y prioridad de los defectos).
Enlace : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT es una distribución de informática forense basada en Ubuntu. Proporciona una instalación de examen forense digital y de respuesta a incidentes.
Caracteristicas :
- Puede funcionar en un sistema operativo de 64 bits.
- Esta herramienta ayuda a los usuarios a utilizar mejor la memoria.
- Actualiza automáticamente el paquete DFIR (Digital Forensics and Incident Response).
- Puede instalarlo a través del instalador SIFT-CLI (Command-Line Interface).
- Esta herramienta contiene numerosas herramientas y técnicas forenses más recientes.
Enlace : https://digital-forensics.sans.org/community/downloads/
7) Generador de imágenes FTK
FTK Imager es un conjunto de herramientas forenses desarrollado por AccessData que se puede utilizar para obtener pruebas. Puede crear copias de datos sin realizar cambios en la evidencia original. Esta herramienta le permite especificar criterios, como tamaño de archivo, tamaño de píxel y tipo de datos, para reducir la cantidad de datos irrelevantes.
Caracteristicas :
- Proporciona un enfoque guiado por un asistente para detectar el delito cibernético.
- Este programa ofrece una mejor visualización de los datos mediante un gráfico.
- Puede recuperar contraseñas de más de 100 aplicaciones.
- Tiene una instalación de análisis de datos avanzada y automatizada.
- FTK Imager le ayuda a administrar perfiles reutilizables para diferentes requisitos de investigación.
- Es compatible con el refinamiento previo y posterior al procesamiento.
Enlace : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Captura de RAM magnética
La captura de RAM magnética registra la memoria de una computadora sospechosa. Permite a los investigadores recuperar y analizar elementos valiosos que se encuentran en la memoria.
Caracteristicas :
- Puede ejecutar esta aplicación mientras minimiza los datos sobrescritos en la memoria.
- Le permite exportar datos de memoria capturados y cargarlos en herramientas de análisis como magnet AXIOM y magnet IEF.
- Esta aplicación es compatible con una amplia gama de sistemas operativos Windows.
- La captura de RAM magnética admite la adquisición de RAM.
Enlace : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) Análisis forense de X-Ways
X-Ways es un software que proporciona un entorno de trabajo para examinadores forenses informáticos. Este programa es compatible con la clonación y la creación de imágenes de discos. Te permite colaborar con otras personas que tienen esta herramienta.
Caracteristicas :
- Tiene la capacidad de leer las estructuras del sistema de archivos y particiones dentro de los archivos de imagen .dd.
- Puede acceder a discos, RAID (matriz redundante de disco independiente) y más.
- Identifica automáticamente particiones perdidas o eliminadas.
- Esta herramienta puede detectar fácilmente NTFS (New Technology File System) y ADS (Alternate Data Streams).
- X-Ways Forensics admite marcadores o anotaciones.
- Tiene la capacidad de analizar computadoras remotas.
- Puede ver y editar datos binarios utilizando plantillas.
- Proporciona protección contra escritura para mantener la autenticidad de los datos.
Enlace : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark es una herramienta que analiza un paquete de red. Se puede utilizar para realizar pruebas de red y solucionar problemas. Esta herramienta le ayuda a comprobar el tráfico diferente que pasa por su sistema informático.
Caracteristicas :
- Proporciona un rico análisis de VoIP (Voice over Internet Protocol).
- Los archivos de captura comprimidos con gzip se pueden descomprimir fácilmente.
- La salida se puede exportar a XML (lenguaje de marcado extensible), archivo CSV (valores separados por comas) o texto sin formato.
- Los datos en vivo se pueden leer desde la red, blue-tooth, cajeros automáticos, USB, etc.
- Soporte de descifrado para numerosos protocolos que incluyen IPsec (seguridad de protocolo de Internet), SSL (capa de conexión segura) y WEP (privacidad equivalente por cable).
- Puede aplicar análisis intuitivos, reglas de coloración al paquete.
- Le permite leer o escribir archivos en cualquier formato.
Enlace : https://www.wireshark.org
11) Reconocimiento de registro
Registry Recon es una herramienta forense informática que se utiliza para extraer, recuperar y analizar datos de registro del sistema operativo Windows. Este programa se puede utilizar para determinar de manera eficiente los dispositivos externos que se han conectado a cualquier PC.
Características:
- Es compatible con Windows XP, Vista, 7, 8, 10 y otros sistemas operativos.
- Esta herramienta recupera automáticamente datos NTFS valiosos.
- Puede integrarlo con la herramienta de utilidad Administrador de discos de Microsoft.
- Monte rápidamente todos los VSC (instantáneas de volumen) VSC dentro de un disco.
- Este programa reconstruye la base de datos de registro activa.
Enlace : https://arsenalrecon.com/products/
12) Marco de volatilidad
Volatility Framework es un software para análisis de memoria y análisis forense. Le ayuda a probar el estado de ejecución de un sistema utilizando los datos que se encuentran en la RAM. Esta aplicación te permite colaborar con tus compañeros de equipo.
Caracteristicas :
- Tiene API que le permite realizar búsquedas de banderas PTE (Page Table Entry) rápidamente.
- Volatility Framework es compatible con KASLR (Aleatorización del diseño del espacio de direcciones del kernel).
- Esta herramienta proporciona numerosos complementos para verificar el funcionamiento de los archivos de Mac.
- Ejecuta automáticamente el comando Failure cuando un servicio no se inicia varias veces.
Enlace : https://www.volatilityfoundation.org
13) Xplico
Xplico es una aplicación de análisis forense de código abierto. Es compatible con HTTP (Protocolo de transferencia de hipertexto), IMAP (Protocolo de acceso a mensajes de Internet) y más.
Caracteristicas :
- Puede obtener sus datos de salida en la base de datos SQLite o la base de datos MySQL.
- Esta herramienta le brinda colaboración en tiempo real.
- No hay límite de tamaño para la entrada de datos o el número de archivos.
- Puede crear fácilmente cualquier tipo de despachador para organizar los datos extraídos de una manera útil.
- Es compatible con IPv4 e IPv6.
- Puede realizar una búsqueda de DNS de reserva desde paquetes de DNS que tengan archivos de entrada.
- Xplico proporciona la función PIPI (Identificación de protocolo independiente del puerto) para admitir el análisis forense digital.
Enlace : https://www.xplico.org
14) defensa electrónica
E-fense es una herramienta que le ayuda a satisfacer sus necesidades de informática forense y ciberseguridad. Le permite descubrir archivos desde cualquier dispositivo en una interfaz fácil de usar.
Caracteristicas :
- Brinda protección contra comportamientos maliciosos, piratería y violaciones de políticas.
- Puede adquirir el historial de Internet, la memoria y la captura de pantalla de un sistema a una unidad de memoria USB.
- Esta herramienta tiene una interfaz fácil de usar que le permite alcanzar su objetivo de investigación.
- E-fense admite subprocesos múltiples, lo que significa que puede ejecutar más de un subproceso simultáneamente.
Enlace : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike es un software forense digital que proporciona inteligencia sobre amenazas, seguridad de endpoints, etc. Puede detectar y recuperarse rápidamente de incidentes de ciberseguridad. Puede utilizar esta herramienta para encontrar y bloquear atacantes en tiempo real.
Caracteristicas :
- Esta herramienta le ayuda a gestionar las vulnerabilidades del sistema.
- Puede analizar automáticamente el malware.
- Puede proteger su centro de datos virtual, físico y basado en la nube.
Enlace : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/