Estuve revisando el software y hardware que suelo llevarme cuando tengo un caso o intervención en un cliente y he creído conveniente compartir las utilidades que mas suelo emplear o que alguna vez he necesitado. También de paso contesto a los correos en los que me preguntáis por una u otra herramienta.
Quiero decir que este recopilatorio es personal y se basa en aquellas utilidades que suelo emplear o como ya he dicho he precisado alguna vez. Algunas son comerciales y en su mayoría ‘Open’. He puesto 101, pero seguro que me dejo alguna.
Estan ordenadas alfabeticamente pero no las he categorizado dado que muchas hacen lo mismo y valen tanto para analizar ordenadores como dispositivos móviles, buscar malware o encontrar evidencias.
Espero que os sean de utilidad.
101 UTILIDADES
| Advanced Prefetch Analyser |
Hallan Hay | Lee los ficheros prefetch de Windows. Simplemente genial | |
| Agent Ransack | Mythicsoft | Busca multiples ficheros usando Perl Regex. Lo he utilizado alguna vez con resultados muy efectivos. | |
| analyzeMFT |
David
Kovar
|
Permite realizar ‘Parses’ de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Lo he utilizado en combinación con EnCase. | |
| Audit Viewer | Mandiant | Visualizador utilizado en combinación con Memoryze. | |
| Autopsy | Brian Carrier | Reconocida herramienta gráfica para entornos Linux con muy buen sabor y experiencia en entornos forense. Es otro clásico a utilizar. | |
| Backtrack | Backtrack | Suite de ‘Penetration testing’ y seguridad para la realización de auditorias de seguridad. Muy muy bueno. | |
|
Bitpim
|
Analiza dispositivos móviles como LG, Sanyo, etc. |
||
| Caine |
University of Modena e Reggio Emilia |
Live CD, con numerosas utilidades y herramientas. | |
|
Analiza tarjetas SIM, direcciones, llamadas, etc. |
|||
| ChromeAnalysis | forensic-software | Herramienta que permite el análisis del historico de internet del famoso Google Chrome | |
|
Nirsoft
|
Lee los ficheros de la cache de Google Chrome y visualiza en una lista lo que se encuentra almacenado. |
||
| DCode |
Digital Detective |
Convierte varios tipos de fechas y tiempos. Me ha venido bien para los distintos formatos en Unix. |
|
|
Varios |
Detecta ficheros multimedia en espacios ‘unallocated’. |
||
|
ArxSys |
Framework que permite el análisis de volumenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos. |
||
| DumpIt | MoonSols | Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB | |
| EDB Viewer | Lepide Software | Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server. | |
| EnCase | Guidance | Potente herramienta y la mejor de su especie. De reconocido prestigio internacional. Vale para todo en el ámbito forense. Económicamente muy elevada pero muy recomendable. La suelo utilizar | |
| Encrypted Disk Detector | JAD software |
Comprueba discos físicos en busca de ficheros o volumenes cifrados con TrueCrypt, PGP, o Bitlocker. | |
|
Ryuuji Yoshimoto |
Extrae datos(metadatos) Exif de fotografias digitales. |
||
| FastCopy | Shirouzu Hiroaki | Uno de los mas rapidos en copiar y/o borrar, permite utilizar
SHA-1. Lo he utilizado para copia masiva de datos con muy buenos resultados |
|
| FAT32 Format | Ridgecrop |
Habilita la capacidad de almacenamiento de discos formateados en FAT32 |
|
| Foca | Informatica64 |
Herramienta para fingerprinting e information gathering en trabajos de auditoría web. Lo utilizo para casi todo, especialmente el tema de metadatos |
|
| Forensic Image Viewer | Sanderson Forensics |
Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalización GPS. Lo suelo emplear bastante. |
|
| ForensicUserInfo | Woanware | Extrae información relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives también desencripta hashes LM/NT. | |
|
forensic-software |
Herramienta que permite el análisis del historico de internet de firefox. |
||
| FTK Imager | AccessData |
Herramienta para adquirir, montar y analizar de forma básica imágenes de equipos. También es capaz de volcar la memoria a fichero. Muy completa |
|
| Gmail Parser | Woanware |
Obtiene de ficheros HTML información que se ha ‘cacheado’ al utilizar ‘artefactos’ de Gmail |
|
|
Nirsoft |
Calcula hashes MD5 y SHA. |
||
|
Mandiant |
Examina ficheros log usando texto, gráficos o histogramas. |
||
| IECacheView | Nirsoft |
Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista. |
|
|
Nirsoft |
Extrae detalles de las cookies de Internet Explorer. |
||
|
Nirsoft |
Extrae las visitas recientes de las URL’s de Internet Explorer. |
||
|
Nirsoft |
Extrae las passwords de Internet Explorer en las versiones 4 a 8. |
||
|
Sanderson Forensics |
Extrae información del famoso programa P2P KAZA. |
||
| Live View | CERT | Permite al analista examinar y ‘arrancar’ imagenes en formato dd y VMware. También muy útil | |
| LiveContactsView | Nirsoft |
Visor que permite exportar los contactos y otros detalles de Windows Live Messenger. |
|
| Mail Viewer | MiTeC | Maravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML. | |
| Memoryze | Mandiant | Adquiere y analiza imagenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos. Es algo engorroso, pero me encanta. | |
| MFTview | Sanderson Forensics | Muestra y decodifica contenidos extraídos en ficheros MTF. | |
| MobaLiveCD | Mobatek | Ejecuta un ISO linux desde windows sin tener que reiniciar. Basado en QEMU. Me ha venido bien en alguna ocasión para utilizar servidores FTP sin tener que tocar windows. | |
| MobilEdit | MobilEdit | Recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayoría de los móviles. | |
|
Motorola Tools |
“Flash & Backup” – actualiza el firmware y “M-Explorer” – administrador de archivos pequeños, fáciles de usar y gratis |
||
|
Nirsoft
|
Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado. |
||
|
Nirsoft
|
Extrae detalles de las cookies de Mozilla. |
||
|
Nirsoft
|
Herramienta que permite el análisis del historico de internet de Mozilla. |
||
| MyLastSearch | Nirsoft |
Extrae búsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) también en redes sociales (Twitter, Facebook, MySpace) |
|
|
Netdetector |
Niksun |
Analizador de red y detector de intrusiones |
|
|
Netwitness |
Analizador de paquetes de red. Increíblemente bueno. |
||
| NetworkMiner | Netresec | Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc. | |
| Notepad ++ |
Notepad ++ |
Ya jamas volveré al notepad clásico después de utilizar este Notepad. |
|
|
Nirsoft |
Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado. |
||
|
Nirsoft |
Desencripta las password del fichero ‘wand.dat’ de Opera. |
||
| Oxygen | Oxygen |
Maravillosa herramienta comercial analiza todos los datos disponibles de un móvil. No puedo vivir si ella. |
|
|
Paraben |
Realiza montajes virtuales de unidades y de imágenes. Casi toda la suite, por no decir toda es muy interesante y útil. |
||
| P2 Shuttle Free | Paraben | Suite maravillosa que permite montar remotamente discos, captura de tráfico de red, de RAM, utilidades de búsqueda etc. | |
| Paraben Forensics | Paraben | Al igual que las anteriores, recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. | |
|
Nirsoft |
Extrae usuario y contraseñas almacenadas en Mozilla Firefox. |
||
| Process Monitor | Microsoft |
Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta |
|
| PST Viewer | Lepide Software |
Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook. |
|
|
Microsoft |
Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima. |
||
| recuva | Piriform |
Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad |
|
|
Digital Forensics Solutions |
Para la adquisición, análisis e informe del contenido del registro. |
||
| RegRipper | Harlan Carvey |
Herramienta de correlación y extracción de evidencias forenses del registro. Todo un lujo del maestro de los maestros forenses. La utilizo día si y día también. |
|
|
Regshot |
Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware. |
||
| rstudio |
Es una suite de software de recuperación de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux |
||
|
Shadow Explorer |
Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware. Muy bueno. |
||
|
SANS |
VMware Appliance de SANS configurado con multiples herramientas para el análisis forense. Otra tool para llevar encima. |
||
|
Nirsoft |
Analizador del famoso Skype |
||
| Snort | Snort |
El mas versatil y magnifico detector de intrusos. Me ha salvado muchas veces del apocalipsis |
|
| SQLite Manager |
Mrinal Kant, Tarakant Tripathy |
add-on en Firefox que permite ver contenidos de bases de datos SQLite. Otra de las joyas de la corona. |
|
|
Microsoft |
No puedo vivir sin el. Busca contenido de texto en ficheros. |
||
| MiTec |
Visualiza y maneja estructuras basadas en ficheros MS OLE. Lo sigo utilizando. |
||
| Suite Getdata | getdata |
Magnifica suite de herramientas forenses para el montaje de discos virtuales, imágenes y recuperación y analisis de datos. Excelente conjunto de herramientas |
|
|
Triana Tools |
Informatica64 |
Herramienta indispensable para el análisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos |
|
| Ubuntu guide | How-To Geek |
Guia para usar con Unbuntu live con objeto de utilizar recuperación de particiones, ficheros, etc. Tengo mala memoria y suelo acudir alguna vez. |
|
| UFED | Cellebrite |
Es el sistema más completo que combina la extracción lógica y física, la recuperación de clave de acceso y extracción del sistema de archivos de multiples dispositivos móviles. Es caro pero de lo mejor |
|
| Unhide |
Security
By
default
|
Me encanta, muy útil en tiempos desesperados, mas si se trata de entornos Linux. Si quieres detectar procesos ‘raros’ este es tu software |
|
|
Woanware |
Detalles de las unidades USB que se han conectado a un equipo. |
||
|
DSi |
Habilita la posibilidad de escribir o bloquear puertos USB. |
||
|
Nirsoft |
Igual que la anterior. |
||
|
Didier Stevens |
Muestra una lista de programas que se han ejecutado incluyendo ultima ejecución , número de veces y fechas y horas. Muy bueno. |
||
|
Microsoft |
Convierte discos e imágenes al formato VHD que se puede montar en Windows desde el administrador de discos. Me ha sacado de algún apuro |
||
| VideoTriage | QCC |
Produce miniaturas de ficheros de video con objeto de apreciar imágenes o movimientos perdidos en la película. Excelente utilidad para mostrar evidencias. |
|
|
Volatile Systems |
Framework que se compone de una colección de herramientas para la extracción de ficheros RAM. Maravillosa herramienta para la detección de Malware. La tengo configurada en SIFT de SANS. |
||
| Web Historian | Mandiant |
Magnifica herramienta que reúne las anteriores y permite de los navegadores mas utilizados obtener el historico de navegación. |
|
|
MiTeC |
Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Como os podeis imaginar lo empleo muchísimo. |
||
|
Troy Larson |
Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a windows PE). |
||
|
Wireshark |
Algo que decir de esta maravillosa herramienta?. Excepcional!! |
||
|
xplico |
Entorno gráfico para poder entender y visualizar el contenido de ficheros PCAP. Muy útil!! |
| OSforensics | Osforensics | Una forma rapida de investigar el contenido de ficheros borrados, último acceso. Muy útil si tienes prisa y el equipo no es necesario aportarlo para una evidencia. |
|
|
Responder | HBgary | Convierte la memoria RAM a disco y reconstruye todas las estructuras de datos subyacentes de hasta 6 gigabytes de RAM. |
| Liveview | Liveview | Es una herramienta basada en Java que crea una máquina virtual de VMware de una imagen de disco sin procesar (dd-style) o un disco físico. Muy buena! |
Vía Conexión Inversa
