La ciencia forense digital es un proceso de preservación, identificación, extracción y documentación de pruebas informáticas que pueden ser utilizadas por el tribunal de justicia. Hay muchas herramientas que le ayudan a hacer este proceso simple y fácil. Estas aplicaciones proporcionan informes completos que pueden ser utilizados para los procedimientos legales.
La siguiente es una lista de kits de herramientas forenses digitales, con sus características más populares y enlaces a sitios web. La lista contiene tanto software de código abierto (gratuito) como comercial (de pago).
1) ProDiscover Forensic
ProDiscover Forensic es una aplicación de seguridad informática que permite localizar todos los datos de un disco de ordenador. Puede proteger las pruebas y crear informes de calidad para el uso de procedimientos legales. Esta herramienta permite extraer la información EXIF(Exchangeable Image File Format) de los archivos JPEG.
Características:
- Este producto es compatible con los sistemas de archivos de Windows, Mac y Linux.
- Puede previsualizar y buscar archivos sospechosos rápidamente.
- Crea una copia de todo el disco sospechoso para mantener las pruebas originales a salvo.
- Esta herramienta le ayuda a ver el historial de Internet.
- Puede importar o exportar imágenes en formato .dd.
- Le permite añadir comentarios a las pruebas que le interesen.
- ProDiscover Forensic es compatible con VMware para ejecutar una imagen capturada.
Enlace: https://www.prodiscover.com
2) Sleuth Kit (+Autopsy)
Sleuth Kit (+Autopsy) es una herramienta de utilidad basada en Windows que facilita el análisis forense de los sistemas informáticos. Esta herramienta permite examinar el disco duro y el smartphone.
Características:
- Puede identificar la actividad utilizando una interfaz gráfica de forma eficaz.
- Esta aplicación proporciona análisis para los correos electrónicos.
- Puede agrupar los archivos por su tipo para encontrar todos los documentos o imágenes.
- Muestra una miniatura de las imágenes para ver rápidamente las fotografías.
- Puede etiquetar archivos con los nombres arbitrarios de las etiquetas.
- El Kit Sleuth le permite extraer datos de los registros de llamadas, SMS, contactos, etc.
- Le ayuda a marcar los archivos y carpetas basados en la ruta y el nombre.
- Apoya al investigador digital durante las cuatro fases de la investigación digital.
- Ofrece una interfaz fácil de usar.
- Se pueden personalizar las características de CAINE.
- Este software ofrece numerosas herramientas fáciles de usar.
- Proporciona versiones de 64 y 32 bits.
- Esta herramienta está disponible en una unidad USB.
- Esta caja de herramientas tiene herramientas de código abierto que le ayudan a buscar la información requerida sin esfuerzo.
- Esta herramienta tiene más de 33 categorías que le ayudan a realizar una tarea ciberforense.
- Puede adquirir datos de numerosos dispositivos, incluyendo teléfonos móviles, tabletas, etc.
- Le permite producir informes completos para mantener la integridad de las pruebas.
- Puede buscar, identificar, así como priorizar rápidamente las pruebas.
- Encase-forensic le ayuda a desbloquear las pruebas cifradas.
- Automatiza la preparación de las pruebas.
- Puede realizar análisis profundos y de triaje (gravedad y prioridad de los defectos).
- Puede funcionar en un sistema operativo de 64 bits.
- Esta herramienta ayuda a los usuarios a utilizar la memoria de una mejor manera.
- Actualiza automáticamente el paquete DFIR (Digital Forensics and Incident Response).
- Se puede instalar a través del instalador SIFT-CLI (interfaz de línea de comandos).
- Esta herramienta contiene numerosas herramientas y técnicas forenses de última generación.
- Proporciona un enfoque guiado por un asistente para detectar el cibercrimen.
- Este programa ofrece una mejor visualización de los datos mediante un gráfico.
- Puede recuperar contraseñas de más de 100 aplicaciones.
- Tiene una facilidad de análisis de datos avanzada y automatizada.
- FTK Imager le ayuda a gestionar perfiles reutilizables para diferentes requisitos de investigación.
- Soporta el refinamiento previo y posterior al procesamiento.
- Puede ejecutar esta aplicación mientras minimiza los datos sobrescritos en la memoria.
- Le permite exportar los datos de memoria capturados y cargarlos en herramientas de análisis como magnet AXIOM y magnet IEF.
- Esta aplicación es compatible con una amplia gama de sistemas operativos Windows.
- La captura de RAM magnética soporta la adquisición de RAM.
- Tiene la capacidad de leer las estructuras de particionamiento y del sistema de archivos dentro de los archivos de imagen .dd.
- Puede acceder a discos, RAIDs (Redundant array of independent disk), y más.
- Identifica automáticamente las particiones perdidas o eliminadas.
- Esta herramienta puede detectar fácilmente NTFS (New Technology File System) y ADS (Alternate Data Streams).
- X-Ways Forensics admite marcadores o anotaciones.
- Tiene la capacidad de analizar ordenadores remotos.
- Puede ver y editar datos binarios mediante el uso de plantillas.
- Proporciona protección contra escritura para mantener la autenticidad de los datos.
- Proporciona un rico análisis de VoIP (Voice over Internet Protocol).
- Los archivos de captura comprimidos con gzip se pueden descomprimir fácilmente.
- La salida se puede exportar a XML (Extensible Markup Language), archivo CSV (Comma Separated Values), o texto plano.
- Los datos en vivo se pueden leer desde la red, blue-tooth, ATM, USB, etc.
- Soporte de descifrado para numerosos protocolos que incluyen IPsec (Internet Protocol Security), SSL (Secure Sockets Layer), y WEP (Wired Equivalent Privacy).
- Puede aplicar análisis intuitivos, reglas de coloreado al paquete.
- Permite leer o escribir archivo en cualquier formato.
- Es compatible con Windows XP, Vista, 7, 8, 10 y otros sistemas operativos.
- Esta herramienta recupera automáticamente los valiosos datos NTFS.
- Puede integrarse con la herramienta de utilidad Microsoft Disk Manager.
- Monta rápidamente todos los VSC (Volume Shadow Copies) VSC dentro de un disco.
- Este programa reconstruye la base de datos del registro activo.
- Cuenta con API que permite realizar búsquedas de banderas PTE (Page Table Entry) rápidamente.
- Volatility Framework soporta KASLR (Kernel Address Space Layout Randomization).
- Esta herramienta proporciona numerosos plugins para comprobar el funcionamiento de los archivos de Mac.
- Ejecuta automáticamente el comando Failure cuando un servicio falla al iniciarse varias veces.
- Puede obtener sus datos de salida en la base de datos SQLite o en la base de datos MySQL.
- Esta herramienta le da colaboración en tiempo real.
- No hay límite de tamaño en la entrada de datos o el número de archivos.
- Puede crear fácilmente cualquier tipo de despachador para organizar los datos extraídos de forma útil.
- Soporta tanto IPv4 como IPv6.
- Puede realizar búsquedas de DNS de reserva a partir de paquetes DNS que tengan archivos de entrada.
- Xplico proporciona la función PIPI (Port Independent Protocol Identification) para apoyar el forense digital.
- Da protección contra el comportamiento malicioso, la piratería informática y las violaciones de las políticas.
- Puede adquirir el historial de Internet, la memoria y la captura de pantalla de un sistema en una unidad USB.
- Esta herramienta tiene una interfaz sencilla de usar que le permite alcanzar su objetivo de investigación.
- E-fense admite multihilos, lo que significa que puede ejecutar más de un hilo simultáneamente.
- Esta herramienta le ayuda a gestionar las vulnerabilidades del sistema.
- Puede analizar automáticamente el malware.
- Puede asegurar su centro de datos virtual, físico y en la nube.
Enlace: https://www.sleuthkit.org
3) CAINE
CAINE es una app basada en Ubuntu que ofrece un completo entorno forense que proporciona una interfaz gráfica. Esta herramienta se puede integrar en las herramientas de software existentes como un módulo. Extrae automáticamente una línea de tiempo de la memoria RAM.
Características:
Enlace: https://www.caine-live.net
4) PALADIN
PALADIN es una herramienta basada en Ubuntu que permite simplificar una serie de tareas forenses. Proporciona más de 100 herramientas útiles para investigar cualquier material malicioso. Esta herramienta le ayuda a simplificar su tarea forense de forma rápida y eficaz.
Características:
Enlace: https://sumuri.com/software/paladin/
5) EnCase
Encase es una aplicación que te ayuda a recuperar pruebas de los discos duros. Permite realizar un análisis en profundidad de los archivos para recopilar pruebas como documentos, imágenes, etc.
Características:
Enlace: https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT es una distribución de informática forense basada en Ubuntu. Proporciona un servicio de examen forense digital y de respuesta a incidentes.
Características:
Enlace: https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager es un kit de herramientas forenses i desarrollado por AccessData que se puede utilizar para obtener pruebas. Puede crear copias de datos sin realizar cambios en las pruebas originales. Esta herramienta permite especificar criterios, como el tamaño del archivo, el tamaño de los píxeles y el tipo de datos, para reducir la cantidad de datos irrelevantes.
Características:
Enlace: https://accessdata.com/products-services/forensic-toolkit-ftk
8) Captura de RAM magnética
La captura de RAM magnética registra la memoria de un ordenador sospechoso. Permite a los investigadores recuperar y analizar elementos valiosos que se encuentran en la memoria.
Características:
Enlace: https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways es un software que proporciona un entorno de trabajo para los examinadores forenses informáticos. Este programa es compatible con la clonación de discos y la creación de imágenes. Permite colaborar con otras personas que tengan esta herramienta.
Características:
Enlace: http://www.x-ways.net/forensics/
10) Wireshark
Wireshark es una herramienta que analiza un paquete de red. Se puede utilizar para la prueba de la red y la solución de problemas. Esta herramienta le ayuda a comprobar diferentes tráficos que pasan por su sistema informático.
Características:
Enlace: https://www.wireshark.org
11) Registry Recon
Registry Recon es una herramienta de informática forense utilizada para extraer, recuperar y analizar los datos del registro del sistema operativo Windows. Este programa se puede utilizar para determinar eficazmente los dispositivos externos que se han conectado a cualquier PC.
Características:
Enlace: https://arsenalrecon.com/products/
12) Volatility Framework
Volatility Framework es un software de análisis de memoria y forense. Te ayuda a probar el estado de ejecución de un sistema utilizando los datos que se encuentran en la memoria RAM. Esta aplicación te permite colaborar con tus compañeros de equipo.
Características:
Enlace: https://www.volatilityfoundation.org
13) Xplico
Xplico es una app de análisis forense de código abierto. Soporta HTTP( Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol), y más.
Características:
Enlace: https://www.xplico.org
14) e-fense
E-fense es una herramienta que le ayuda a satisfacer sus necesidades de informática forense y ciberseguridad. Te permite descubrir archivos de cualquier dispositivo en una interfaz sencilla de usar.
Características:
Enlace: http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike es un software forense digital que proporciona inteligencia de amenazas, seguridad de puntos finales, etc. Puede detectar y recuperar rápidamente los incidentes de ciberseguridad. Puede utilizar esta herramienta para encontrar y bloquear a los atacantes en tiempo real.
Características:
Enlace: https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/