Saltar al contenido
Todo sobre trucos y tutoriales de Android

Las 10 herramientas forenses más conocidas que funcionan en Linux

Hoy en día, la informática o forense digital es muy importante debido a los delitos relacionados con la informática, Internet y los móviles. Las pruebas, como computadoras y dispositivos digitales, contienen o almacenan información confidencial que puede ser útil para el investigador forense en un delito o incidente en particular.

La investigación forense digital requería herramientas para extraer la información deseada de los dispositivos. Existen varias herramientas comerciales para la investigación forense, sin embargo, se requiere una gran cantidad para comprar. La comunidad de código abierto también contribuyó en este campo y existen varias herramientas de código abierto para el campo forense digital. En este artículo, se explorarán las mejores herramientas relacionadas con el análisis forense digital.

Antes de explorar herramientas conocidas para el análisis forense digital, las siguientes distribuciones de Linux contenían muchas herramientas forenses gratuitas.

1) SIFT (SANS Investigative Forensic Toolkit)

Un equipo internacional de expertos forenses, junto con los instructores de SANS, crearon la estación de trabajo de SANS Incident Forensic Toolkit (SIFT) para la respuesta a incidentes y el uso de análisis forense digital. La suite forense SIFT está disponible gratuitamente para toda la comunidad. El kit de herramientas gratuito SIFT, que puede coincidir con cualquier conjunto moderno de herramientas forenses y de respuesta a incidentes, que se utiliza en los cursos SANS. Demuestra que las investigaciones avanzadas y la respuesta a las intrusiones se pueden lograr utilizando herramientas de código abierto de vanguardia que están disponibles gratuitamente y se actualizan con frecuencia.



TAMIZAR SIN

Las características de la distribución SIFT son las siguientes:

  • Base Ubuntu LTS 14.04
  • Sistema base de 32/64 bits
  • Las últimas herramientas y técnicas forenses
  • VMware Appliance listo para abordar el análisis forense
  • Compatibilidad cruzada entre Linux y Windows
  • Opción de instalación independiente a través de (.iso) o uso a través de VMware Player/Workstation/
TE PUEDE INTERESAR:  13 cosas geniales para hacer con Linux

2) CAÍN (Entorno de investigación asistido por computadora)

CAINE es una distribución en vivo de Linux creada como un proyecto de Digital Forensics. CAINE ofrece un entorno forense completo que está organizado para integrar las herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable.

CAÍN

Los principales objetivos que la distribución CAINE pretende garantizar son los siguientes:

  • un entorno interoperable que apoya al investigador digital durante las cuatro fases de la investigación digital
  • interfaz gráfica fácil de usar
  • contiene herramientas de código abierto

3) KALI (anteriormente Backtrack)

Kali Linux es un proyecto de código abierto mantenido y financiado por Seguridad Ofensiva, un proveedor de servicios de pruebas de penetración y capacitación en seguridad de la información de clase mundial. Kali Linux es la primera elección de los probadores de penetración y profesionales de la seguridad. Cuenta con herramientas de seguridad para diferentes propósitos. Las herramientas de código abierto para análisis móvil, de red y de RAM están disponibles en Kali Linux.

kali

4) DEFT linux (Evidencia digital y herramientas forenses)

DEFT es una distribución hecha para Computer Forensics, con el propósito de ejecutarse en vivo en sistemas sin manipular o corromper dispositivos (discos duros, pendrives). Está basado en GNU Linux y puede ejecutarse en vivo (a través de CD/DVD o pendrive USB), instalado o ejecutarse como una máquina virtual en VMware/Virtualbox. DEFT se combina con DART (conocido como Digital Advanced Response Toolkit), un sistema forense que se puede ejecutar en Windows y contiene las mejores herramientas para análisis forense y respuesta a incidentes.

hábil

5) Martiux

Es una distribución de seguridad con todas las funciones basada en Debian que consta de un poderoso grupo de más de 300 herramientas gratuitas y de código abierto que se pueden usar para varios propósitos, incluidos, entre otros, pruebas de penetración, piratería ética, administración de sistemas y redes, ciber investigaciones forenses, pruebas de seguridad, análisis de vulnerabilidades y mucho más. Es una distribución pensada para entusiastas y profesionales de la seguridad, aunque se puede utilizar normalmente como sistema de escritorio por defecto.

matriux

Matriux está diseñado para ejecutarse desde un entorno en vivo como un CD/DVD o una memoria USB o puede instalarse fácilmente en su disco duro en unos pocos pasos. Matriux también incluye un conjunto de herramientas informáticas forenses y de recuperación de datos que se pueden utilizar para análisis e investigaciones forenses y recuperación de datos.

TE PUEDE INTERESAR:  8 herramientas de grabación de terminal de Linux populares y menos conocidas

6) Santokú

Santoku se dedica a la ciencia forense móvil, el análisis y la seguridad, y está empaquetado en una plataforma de código abierto fácil de usar. Está patrocinado por la firma de seguridad móvil «nowsecure».

santoku

Herramientas forenses gratuitas para Linux

Hay varias categorías de herramientas informáticas forenses, sin embargo, las siguientes son categorías bien conocidas:

  • Análisis forense de memoria
  • Análisis forense del disco duro
  • Imágenes forenses
  • Red forense

7) Volatilidad

Desde entonces, el análisis de la memoria se ha convertido en uno de los temas más importantes para el futuro de las investigaciones digitales y Volatility se ha convertido en la plataforma forense de memoria más utilizada del mundo. Es un marco forense de memoria bien conocido para la respuesta a incidentes y el análisis de malware que permite extraer artefactos digitales de volcados de memoria volátil (RAM). La volatilidad se ha utilizado en algunas de las investigaciones más críticas de la última década.
volatilidad2
Al usar Volatility, puede extraer información sobre procesos en ejecución, sockets de red abiertos y conexiones de red, archivos DLL cargados para cada proceso, subárboles de registro en caché, ID de proceso y más. Se ha convertido en una herramienta de investigación digital indispensable en la que confían los investigadores policiales, militares, académicos y comerciales de todo el mundo. El marco de volatilidad es compatible con la plataforma Windows y Linux para la investigación forense

8) Utilidad «dd» de Linux

La utilidad «dd» viene por defecto en la mayoría de las distribuciones de Linux disponibles en la actualidad (por ejemplo, Ubuntu, Fedora). Esta herramienta se puede utilizar para diversas tareas forenses digitales, como la limpieza forense de una unidad (puesta a cero de una unidad) y la creación de una imagen sin procesar de una unidad. Es una herramienta muy poderosa que puede tener efectos devastadores si no se usa con cuidado. Se recomienda que experimente en un entorno seguro antes de usar esta herramienta en el mundo real.

dd

9) Kit de detective (Autopsia)

Sleuth Kit es un conjunto de herramientas forenses digitales de código abierto que se puede utilizar para realizar un análisis en profundidad de varios sistemas de archivos (FAT, NTFS, EXT2/3, etc. e imágenes sin procesar). Autopsy es una interfaz gráfica para Sleuth Kit (herramienta de línea de comandos). Viene con funciones como análisis de línea de tiempo, filtrado de hash, análisis de sistema de archivos y búsqueda de palabras clave con la capacidad de agregar otros módulos para una funcionalidad extendida.

autopsia

Cuando inicia Autopsy, puede optar por crear un nuevo caso o cargar uno existente. Para crear un nuevo caso, deberá cargar una imagen forense para iniciar el análisis y, una vez que se complete el proceso de análisis, use los nodos en el panel izquierdo para elegir qué resultados ver.

10) Xplico

Xplico es una herramienta de análisis forense de red de código abierto. Básicamente se utiliza para extraer datos útiles de aplicaciones que utilizan Internet y protocolos de red. Admite la mayoría de los protocolos populares, incluidos HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP y otros. Los datos de salida de la herramienta se almacenan en la base de datos SQLite de la base de datos MySQL. También es compatible con IPv4 e IPv6. Ya está disponible en las distribuciones de seguridad Kali Linix, DEFT, Security Onion y Matriux.
xplicio

Conclusión

Este artículo trata sobre la contribución del código abierto en el campo forense digital. Se analizan las herramientas gratuitas y más conocidas relacionadas con diferentes áreas del análisis forense digital. Se enumeran varias distribuciones de Linux que contienen muchas herramientas forenses gratuitas.