Herramientas forenses superiores de Kali Linux
Figura 1: Kali Linux
En general, al realizar forenses en un sistema informático, se debe evitar cualquier actividad que pueda cambiar o modificar el análisis de datos del sistema. Otros escritorios modernos generalmente interfieren con este objetivo, pero con Kali Linux a través del menú de arranque, puede habilitar un modo forense especial.
Herramienta Binwalk:
Binwalk es una herramienta forense en Kali que busca una imagen binaria especificada para el código y los archivos ejecutables. Identifica todos los archivos que están integrados dentro de cualquier imagen de firmware. Utiliza una biblioteca muy efectiva conocida como "libmagic", que se clasifica con firmas mágicas en la utilidad de archivos unix.
Figura 2: herramienta Binwalk CLI
Herramienta de extractor a granel:
La herramienta de extractor a granel extrae números de tarjeta de crédito, enlaces de URL, direcciones de correo electrónico, que se utilizan evidencia digital. Esta herramienta le permite identificar ataques de malware e intrusos, investigaciones de identidad, vulnerabilidades cibernéticas y crujes de contraseña. La especialidad de esta herramienta es que no solo funciona con datos normales, sino que también funciona en datos comprimidos y datos incompletos o dañados.
Figura 3: Herramienta de línea de comandos del extractor a granel
Herramienta Hashdeep:
La herramienta HashDeep es una versión modificada de la herramienta de hashing DC3DD diseñada especialmente para forense digital. Esta herramienta incluye hashing automático de archivos, yo.mi., SHA-1, SHA-256 y 512, Tiger, Whirlpool y MD5. Se escribe automáticamente un archivo de registro de errores. Los informes de progreso se generan con cada salida.
Figura 4: Herramienta de interfaz CLI Hashdeep.
Herramienta de rescate mágico:
Magic Rescue es una herramienta forense que realiza operaciones de escaneo en un dispositivo bloqueado. Esta herramienta utiliza bytes mágicos para extraer todos los tipos de archivos conocidos del dispositivo. Esto abre dispositivos para escanear y leer los tipos de archivos y muestra la posibilidad de recuperar archivos eliminados o particiones corruptas. Puede funcionar con cada sistema de archivos.
Figura 5: Herramienta de interfaz de la línea de comandos de rescate mágico
Herramienta de bisturí:
Esta herramienta forense talla todos los archivos e indexa aquellas aplicaciones que se ejecutan en Linux y Windows. La herramienta Scalpel admite la ejecución múltiple en múltiples sistemas centrales, que ayudan en ejecuciones rápidas. La talla de archivos se realiza en fragmentos como expresiones regulares o cuerdas binarias.
Figura 6: Herramienta forense de bisturí
Herramienta Scrune-NTFS:
Esta utilidad forense ayuda a recuperar datos de discos o particiones de NTFS corruptos. Rescata datos de un sistema de archivos dañado a un nuevo sistema de archivos de trabajo.
Figura 7: Herramienta de recuperación de datos forenses
Herramienta de guía:
Esta utilidad forense se utiliza para adquirir medios para imágenes forenses y tiene una interfaz gráfica de usuario. Debido a su procesamiento y compresión de datos múltiples, es una herramienta muy rápida. Esta herramienta también admite la clonación. Genera imágenes planas, aff y EWF. La interfaz de usuario es muy fácil de usar.
Figura 8: Utilidad forense GUIGER GUI
Herramienta PDFID:
Esta herramienta forense se usa en archivos PDF. La herramienta escanea archivos PDF para palabras clave específicas, que le permiten identificar códigos ejecutables cuando se abren. Esta herramienta resuelve los problemas básicos asociados con los archivos PDF. Los archivos sospechosos se analizan luego con la herramienta PDF-Parser.
Figura 9: Utilidad de interfaz de línea de comandos PDFID
Herramienta PDF-Parser:
Esta herramienta es una de las herramientas forenses más importantes para los archivos PDF. PDF-Parser analiza un documento PDF y distingue los elementos importantes utilizados durante su análisis, y esta herramienta no representa ese documento PDF.
Figura 10: Herramienta forense PDF-Parser CLI
Herramienta PEEPDF:
Una herramienta de Python que explora los documentos de PDF para encontrar si es inofensivo o destructivo. Proporciona todos los elementos necesarios para realizar análisis PDF en un solo paquete. Muestra entidades sospechosas y apoya varios codificaciones y filtros. También puede analizar documentos cifrados.
Figura 11: Herramienta PEEPDF Python para la investigación de PDF.
Herramienta de autopsia:
Una autopsia está en una utilidad forense para la recuperación rápida de datos y el filtrado de hash. Esta herramienta talla los archivos y medios eliminados del espacio no asignado usando Photorec. También puede extraer Multimedia de Extensión Exif. Escaneos de autopsia para el indicador de compromiso utilizando la biblioteca STIX. Está disponible en la línea de comando, así como la interfaz GUI.
Figura 12: Autopsia, todo en un paquete de utilidad forense
herramienta IMG_CAT:
La herramienta IMG_CAT proporciona contenido de salida de un archivo de imagen. Los archivos de imagen recuperados tendrán metadatos y datos integrados, lo que le permite convertirlo en datos sin procesar. Estos datos sin procesar ayudan a tuberías de la salida para calcular el hash MD5.
Figura 13: Datos integrados IMG_CAT a RAW DATA Recuperación y convertidor.
Herramienta ICAT:
ICAT es una herramienta de kit de detectives (TSK) que crea una salida de un archivo basado en su identificador o número de inodo. Esta herramienta forense es ultra-rápida, y abre las imágenes de archivo con nombre y la copia en salida estándar con un número de inodo específico. Un inodo es una de las estructuras de datos del sistema Linux que almacena datos e información sobre un archivo de Linux, como la propiedad, el tamaño del archivo y los permisos de escritura y lectura.
Figura 14: Herramienta de interfaz basada en consolas de ICAT
Herramienta srch_strings:
Esta herramienta busca cadenas ASCII y unicode viables dentro de los datos binarios y luego imprime la cadena de compensación que se encuentra en esos datos. La herramienta srch_strings extraerá y recuperará las cadenas presentes en un archivo y proporciona byte de compensación si.
Figura 15: Herramienta forense de recuperación de cadenas
Conclusión:
Estas 14 herramientas vienen con Kali Linux Live e Imágenes del instalador y están de código abierto y están disponibles gratuitamente. En el caso de una versión anterior de Kali, sugeriría una actualización de la última versión para obtener estas herramientas directamente. Hay muchas otras herramientas forenses que cubriremos a continuación. Vea la Parte 2 de este artículo aquí.