Herramientas Forenses

Esta entrada la encontré en uno de los mejores blogs de informática forense de habla hispana :) aquí la comparto.

Hola lectores,

¡¡ Feliz 2013 !!. Empezamos el año con este conjunto de herramientas interesantes y que alguna vez voy utilizando.

Espero que os sea de ayuda.

OBTENCIÓN DE CONTRASEÑAS

TCHead

Es un software que permite descifrar contraseñas que permiten el cifrado de volumen en TrueCrypt. Esta pensado para contraseñas sencillas.

Sitio: http://16s.us/TCHead/

INTEGRIDAD DE ARCHIVOS

Lo que viene a continuación es un conjunto de utilidades que permiten verificar el HASH en MD5 y SHA1

IgorWare Hasher
Es una herramienta gratuita y portátil que es capaz de calcular SHA1, MD5 y CRC32 de cualquier archivo

Tiene distintas versiones disponibles de 32 bits y 64 bits y funciona con Windows XP, Vista, Windows 7 y 8. Ten en cuenta que la descarga es un archivo rar.

Sitio: http://www.igorware.com/hasher

Hash Generator

Al igual que la anterior, es portátil y sencilla. Disponible para todas las plataformas y permite realizar huellas masivas.

Sitio: http://www.securityxploded.com/hashgenerator.php

HashMyFiles

HashMyFiles es otra herramienta pequeña y portátil de Nirsoft. Está orientado hacia la comprobación de archivo por lotes dado que se puede añadir uno o varios archivos, carpetas y subcarpetas, procesos en ejecución. Este programa puede mostrar los hashes para CRC32, MD5 y la familia SHA (SHA1, SHA256, SHA384 y SHA512) y también otro tipo de información como los tiempos de creación y modificación, tamaño, información de la versión y atributos.

Al igual que con todas las herramientas Nirsoft, este es un programa gratuito y funciona en Windows 2000, XP, 2003, Vista y Windows 7.

Sitio: http://www.nirsoft.net/utils/hash_my_files.html

Multihaser

Esta utilidad tiene una serie de opciones como apertura de archivos, carpetas (incluidas las subcarpetas), caminos, procesos y listas de XML/MD5/SFV. También puede crear un valor hash de cadenas de texto. CRC32, MD5, RIPEMD y la familia de algoritmos hash SHA

Esta herramienta tiene algo que los otros no disponen. Puede cargar ficheros y consultar por medio de su hash si está detectado o informado en Virustotal. Se necesita una clave de API

SUPERVISAR EN TIEMPO REAL CAMBIO DE FICHEROS O CARPETAS

Algo muy interesante cuando estas analizando una máquina y no sabes que está ocurriendo en ella, lo mas interesante es este conjunto de utilidades que describo a continuación:

Watch 4 Folder

Puede alertar sobre el cambio de varias maneras diferentes. También hay otras funciones interesantes, como ver un cambio en la asociación de archivos, o si el espacio libre ha cambiado.

Sitio: http://www.raymond.cc/blog/wp-content/plugins/download-monitor/download.php?id=1025

Directory Monitor

Es una herramienta que observa los cambios de archivos y carpetas, (modificaciones, eliminaciones y la creación de nuevos archivos). Existe la posibilidad de ver recursos compartidos de red, además de las carpetas locales.

Sitio:http://www.raymond.cc/blog/wp-content/plugins/download-monitor/download.php?id=1026

ABRIR FICHEROS VMWARE e ISO 

VMxray

Digamos que tienes una imagen de disco VMWare (archivo VMDK) o una imagen de CD (archivo ISO) en el escritorio y le gustaría ver los archivos en su interior. Tal vez hay un par de archivos que desea extraer. Usted podría iniciar la máquina virtual para acceder a sus archivos, o instalar un montón de utilidades para que puedas montar la imagen como un sistema de archivos. O bien, puede utilizar VMXRay , una pura aplicación web HTML5 que no requiere instalación alguna.

Sitio: http://vmxray.com/

REGISTRO DE ACTIVIDAD

LastActivityView

Es una nueva utilidad para el sistema operativo Windows que recopila información de diversas fuentes en un sistema en ejecución, y muestra un registro de las acciones realizadas por el usuario y las acciones que ocurrieron en este equipo. La actividad desplegada por LastActivityView incluye las conexiones y desconexiones de usuario, red, procesos, puntos de restauración, etc. 

Sitio: http://www.nirsoft.net/utils/lastactivityview.zip

RECUPERACIÓN DE DATOS

Un conjunto de dos utilidades desarrolladas por el Centro de Recursos Ciberforenses de la India. y una del magnifico Jason Hale.

F-DaC

Recupera ficheros ocultos, borrados o semiborrados estén ubicados en el sistema operativo o fuera del espacio de este.

Sitio: http://www.cyberforensics.in/Uploads/Downloads/F-DAC1.0Setup.exe

F-rat

Al igual que la anterior pero en este caso permite obtener información del registro en tiempo real o bien de aquellas ficheros HIVE como el SYSTEM o SOFTWARE que hayamos realizado en la obtención de discos. Me ha sorprendido gratamente y la suelo utilizar a menudo.

Sitio: http://www.cyberforensics.in/Uploads/Downloads/F-RAT1.0Setup.exe

VSC

Esta utilidad permite la capacidad de extraer sistemáticamente los archivos de instantáneas. Es tan sencillo como seleccionar las instantáneas de la que extraer el archivo o carpeta, escribir la ruta de acceso (o la navegación utilizando el botón Examinar) y haciendo clic en el botón Ejecutar comando.

Es otra de las utilidades que he me ha dado muy buenas alegrías.

Sitio: https://www.sugarsync.com/pf/D7238600_704_719675195?directDownload=true

Fuente: http://conexioninversa.blogspot.com/2013/01/herramientas-para-enero.html