Herramientas forenses en vivo

Daniela Villaseñor
Herramientas forenses en vivo
Este artículo es una introducción a los sistemas y herramientas operativas forenses en vivo más populares.

Forense de computadora es la investigación de evidencia dentro de dispositivos tecnológicos como computadoras, tabletas, teléfonos celulares, etc. con fines legales o de investigación.

A través del forense informático, la evidencia se puede recuperar incluso después de la eliminación e incluso la geolocación física de un sospechoso o víctima puede rastrearse entre más posibilidades.

Este artículo se centra en algunas de las herramientas más populares que se enumeran a continuación.

Nota: Este artículo se escribió originalmente en 2018 y se actualizó en 2022, incluido el nuevo software.

Tsurugi Linux

Tsurugi Linux es un Ubuntu 20.04 Distribución de Linux basada en TLS desarrollada con fines forenses. Esta distribución basada en Ubuntu está diseñada para forense digital y respuesta a incidentes, así como para inteligencia de código abierto.

Hay 3 versiones disponibles de Tsurugi. Tsurugi Lab es la versión completa que incluye todas las características. Tsurugi Adquire es una versión ligera optimizada para iniciar los dispositivos y para los dispositivos de almacenamiento masivo. Contrariamente a Tsurugi Lab, esta versión se basa en Debian 10. Tsurugi adquirir se puede almacenar en el ram. La tercera versión, Tsurugi Bento, incluye cientos de aplicaciones portátiles para ejecutar las tareas forenses y de respuesta a incidentes.

Enlace de descarga: https: // tsurugi-linux.org/

Herramienta forense en vivo de Santoku

Santoku es una distribución de Linux que, además de las características de seguridad, incluye herramientas forenses móviles como flasheo de firmware, RAM, tarjetas multimedia y herramientas de imágenes NAND, fuerza bruta para el cifrado de Android, el análisis de las copias de seguridad del iPhone y más.

Detecta automáticamente los dispositivos móviles conectados. Puede ejecutar el Santoku Live también desde una máquina virtual con VMware o VirtualBox.

Santoku es una de las mejores herramientas para forense móvil.

Enlace de descarga: https: // santoku-linux.comunicarse
Instrucciones para usuarios de Ubuntu: https: // santoku-linux.com/wp-content/uploads/build.sh_.TXT

Kali Linux (modo forense)

La distribución Kali Linux de Pentesting incluye un modo forense que los usuarios pueden seleccionar al arranque.

Bajo el modo forense, el disco duro del dispositivo permanece intacto y la partición de intercambio. La automoger para dispositivos externos también está deshabilitado para CDS.

Enlace de descarga: https: // www.kali.org/get-kali/

Herramienta forense de Caine Live

Caine es otra computadora informática Linux Live Distro. Es una de las herramientas más populares en laes forense informática e incluye utilidades forenses de nivel superior como autopsia, dcfldd, dc3dd, ddrescue, dvdisaster, exif, foremt, fileInfo, Fiwalk, Fundl 2.0, Fklook, Fod, Fatback, GcalcTool, Geany, Garted, GTK-RecordMydesktop, Galleta, Gtkhash, GuyMager, HDSentinel, Hex Editor (Ghex), Hfsutils, Libewf, Lnk-Parse, LNK.SH, Log2Timeline, Liveusb, Mork.pl, mc, md5deep, md5sum, nautilus scripts, nbtempo, ntfs-3g, offset_brute_force, pasco, Photorec, read_open_xm, reglokup, rifiuti, rifiuti2, readpst, scalpel, sqljuicer, sfdumper 2.2, Ssdeep, Stegbreak, SmartMontools, Shred y más herramientas.

Enlace de descarga: https: // www.live.NET/PAGE5/PAGE5.html

Respuesta en vivo de Helix E-Fense

Esta herramienta forense en vivo desarrollada para unidades flash USB fue diseñada para recopilar datos volátiles antes de que una computadora se apague. Todos los datos se almacenan en la unidad flash USB. Esta es una de las herramientas más recomendadas para el primer enfoque del dispositivo que se investiga.

Enlace de descarga: http: // www.ecenso.com/en vivo-respuesta.php

Herramienta forense de volatilidad

La volatilidad es una herramienta interesante para analizar y diagnosticar la salud del dispositivo después de que se detectó un ataque. Se usa ampliamente contra ataques de malware y gordas de memoria.

A pesar de que no es una herramienta en vivo en sí, ya está incluida en todas las distribuciones de Linux que se centra en los forenses de la computadora enumerada anteriormente.

Enlace de descarga: https: // www.Volatilidad Fundación.org/

Lime (extractor de memoria de Linux)

Lime es un módulo de núcleo que permite recopilar la información de la memoria volátil en dispositivos Linux, incluidos los dispositivos Android. Le permite capturar completamente la memoria al tiempo que reduce la interacción entre el usuario y el sistema.

Enlace de descarga: https: // github.com/504ensicslabs/lima

Estación de trabajo de tamizado

Esta es una colección gratuita de herramientas para llevar a cabo las tareas forenses y de respuesta a incidentes a nivel profesional. Aunque esto se incluyó en esta lista, SIFT no es una herramienta en vivo, pero se puede instalar en máquinas virtuales.

Enlace de descarga: https: // www.sans.org/herramientas/sift-workstation/

Herramienta forense de autopsia

La autopsia contiene una interfaz gráfica para el kit de detectives, lo que le permite realizar un análisis y crear informes visualmente amigables sobre la investigación forense.

Es fácil de usar y sus características incluyen: análisis de línea de tiempo con interfaz gráfica de eventos, investigación de palabras clave para encontrar archivos con términos relevantes, artefactos web para extraer historia, marcadores, cookies de Firefox, Chrome e Internet Explorer.

La autopsia también trae herramientas para la talla de datos, lo que permite recuperar los archivos que se eliminaron del espacio no asignado entre más.

Si bien no es una herramienta en vivo en sí, ya está incluida en todas las distribuciones de Linux centradas en los forenses de computadora enumeradas anteriormente. La autopsia está disponible para Linux, Mac y Windows.

Enlace de descarga: https: // www.autopsia.com/descargar/

Conclusión

El forense de la computadora evolucionó muy rápido. ¿Qué era antes una tarea imposible se convirtió en una acción accesible para los usuarios regulares de escritorio hoy en día?.

La mayoría de las herramientas que se enumeran en este artículo tienen una interfaz fácil de usar, lo que hace posible que cualquier usuario realice las tareas forenses de la computadora con la misma credibilidad que haría un especialista: credibilidad respaldada por la característica de código abierto de las herramientas descritas. Las herramientas de código abierto no pueden ser rechazadas fácilmente por los especialistas en contraparte forense porque son transparentes. Esto puede representar una ventaja antes de las herramientas con fuentes ocultas.

Como dice su título, este artículo se centra en las herramientas en vivo, pero algunas alternativas instalables se incluyeron debido a sus increíbles funcionalidades. Tenga en cuenta que las herramientas compatibles con Linux definitivamente serán útiles para algunos dispositivos móviles que contienen sistemas basados ​​en Linux.

Gracias por leer este artículo que describe las herramientas forenses en vivo más populares. Sigue siguiéndonos para obtener más contenido profesional relacionado con Linux.

c agudo
Cómo usar la palabra clave de lanzar en c#
La palabra clave de lanzamiento es como una declaración de salto en C# que puede plantear una excepc...
Hernán Delao
c agudo
Que es matemáticas.Método máximo en C#
Las matemáticas.El método max () en C# puede encontrar el valor máximo de dos valores especificados....
Andrés Barrientos
C ++
¿Qué es el tipo de datos de char c ++?
En C ++, el tipo de datos Char representa los datos en forma de caracteres. Esta variable solo toma ...
Hernán Delao
Pitón
Parcela de bar horizontal marina
Lorenzo Morales
Pitón
Python OS Mkdir
José Luis Villagómez
Estibador
¿Cuál es la diferencia entre Docker y Podman??
Mariana Cotto
php
Cómo usar expresiones regulares en PHP
Beatriz Enríquez
AWS
¿Qué es elastic beanstalk?? ¿Es Paas o Iaas??
Pilar Alemán
Estibador
Cómo usar el comando Docker Copy para transferir un archivo de un contenedor Docker a la máquina host?
Mayte Mesa
Potencia Shell
Cómo usar operadores de comparación en PowerShell?
Mariana Cotto
Oracle Linux
¿Cuál es la diferencia entre Oracle Virtualbox y VMware??
Beatriz Enríquez
Java
Cómo usar Java One Line si la declaración?
Lorenzo Morales
php
Cómo usar la función PHP RAND
Lorenzo Morales