Las 10 herramientas forenses más conocidas que funcionan en Linux

Hoy en día, el análisis forense informático o digital es muy importante por los delitos relacionados con los ordenadores, Internet y los móviles. Las pruebas, como computadoras y dispositivos digitales, contienen o almacenan información confidencial que puede ser útil para el investigador forense en un crimen o incidente en particular.
La investigación forense digital requería herramientas para extraer la información deseada de los dispositivos. Existen varias herramientas comerciales para la investigación forense, sin embargo, se requiere una gran cantidad para comprar. La comunidad de código abierto también contribuyó en este campo y hay varios herramientas de código abierto para el campo forense digital. En este artículo, se explorarán las mejores herramientas relacionadas con la ciencia forense digital.
Antes de explorar herramientas conocidas para el análisis forense digital, las siguientes distribuciones de Linux contenían muchas herramientas forenses gratuitas.
1) SIFT (Kit de herramientas forenses de investigación SANS)
Un equipo internacional de expertos forenses, junto con instructores de SANS, creó la estación de trabajo SANS Incident Forensic Toolkit (SIFT) para respuesta a incidentes y uso forense digital. Suite forense SIFT está disponible gratuitamente para toda la comunidad. El kit de herramientas SIFT gratuito, que puede coincidir con cualquier conjunto de herramientas forenses y de respuesta a incidentes modernos, que se utiliza en los cursos SANS. Demuestra que las investigaciones avanzadas y la respuesta a las intrusiones se pueden lograr utilizando herramientas de código abierto de vanguardia que están disponibles de forma gratuita y se actualizan con frecuencia.
Las características de la distribución SIFT son las siguientes:
- Ubuntu LTS 14.04 Base
- Sistema básico de 32/64 bits
- Últimas herramientas y técnicas forenses
- VMware Appliance listo para abordar la ciencia forense
- Compatibilidad cruzada entre Linux y Windows
- Opción de instalación independiente a través de (.iso) o uso a través de VMware Player / Workstation/
2) CAINE (Entorno de investigación asistido por computadora)
CAINE es una distribución en vivo de Linux creada como un proyecto de Digital Forensics. CAINE ofrece un completo análisis forense entorno que está organizado para integrar las herramientas de software existentes como módulos de software y para proporcionar una interfaz gráfica amigable.
Los principales objetivos que pretende garantizar CAINE Distribución son los siguientes:
- un entorno interoperable que apoya al investigador digital durante las cuatro fases de la investigación digital
- interfaz gráfica fácil de usar
- contiene herramientas de código abierto
3) KALI (anteriormente Backtrack)
Kali Linux es un proyecto de código abierto mantenido y financiado por Seguridad ofensiva, un proveedor de servicios de prueba de penetración y capacitación en seguridad de la información de clase mundial. Kali Linux es la primera opción para el probador de penetración y el profesional de la seguridad. Tiene herramientas de seguridad para diferentes propósitos. Las herramientas de código abierto para análisis de RAM, redes y dispositivos móviles están disponibles en el Kali Linux.
4) DEFT linux (Kit de herramientas de evidencia digital y forense)
DEFT es una distribución hecha para Computer Forensics, con el propósito de ejecutarse en vivo en sistemas sin alterar o corromper los dispositivos (discos duros, pendrives). Está basado en GNU Linux y puede ejecutarse en vivo (a través de CD / DVD o pendrive USB), instalado o ejecutarse como una máquina virtual en VMware / Virtualbox. DEFT está emparejado con DART (conocido como Digital Advanced Response Toolkit), un sistema forense que se puede ejecutar en Windows y contiene las mejores herramientas para análisis forense y respuesta ante incidentes.
5) Martiux
Es una distribución de seguridad con todas las funciones basada en Debian que consta de un poderoso grupo de más de 300 herramientas de código abierto y gratuitas que se pueden utilizar para diversos fines, incluidos, entre otros, pruebas de penetración, piratería ética, administración de redes y sistemas, ciber investigaciones forenses, pruebas de seguridad, análisis de vulnerabilidades y mucho más. Es una distribución diseñada para entusiastas y profesionales de la seguridad, aunque puede usarse normalmente como su sistema de escritorio predeterminado.
Matriux está diseñado para ejecutarse desde un entorno en vivo como un CD / DVD o una memoria USB o puede instalarse fácilmente en su disco duro en unos pocos pasos. Matriux también incluye un conjunto de herramientas informáticas forenses y de recuperación de datos que se pueden utilizar para análisis e investigaciones forenses y recuperación de datos.
6) Santoku
Santoku se dedica a la ciencia forense móvil, análisis y seguridad, y empaquetados en una plataforma de código abierto fácil de usar. Está patrocinado por la empresa de seguridad móvil «nowsecure».
Herramientas forenses gratuitas para Linux
Hay varias categorías de herramientas informáticas forenses, sin embargo, las siguientes son categorías bien conocidas:
- Análisis forense de la memoria
- Análisis forense de discos duros
- Imágenes forenses
- Forense de la red
7) Volatilidad
Con Volatility puede extraer información sobre procesos en ejecución, sockets de red abiertos y conexiones de red, archivos DLL cargados para cada proceso, secciones de registro en caché, ID de procesos y más. Se ha convertido en una herramienta de investigación digital indispensable en la que confían los investigadores policiales, militares, académicos y comerciales de todo el mundo. El marco de volatilidad es compatible con la plataforma Windows y Linux para la investigación forense.
8) Utilidad «dd» de Linux
La utilidad «dd» viene por defecto en la mayoría de las distribuciones de Linux disponibles en la actualidad (por ejemplo, Ubuntu, Fedora). Esta herramienta se puede utilizar para diversas tareas forenses digitales, como borrar un disco de forma forense (poner a cero un disco) y crear una imagen sin procesar de un disco. Es una herramienta muy poderosa que puede tener efectos devastadores si no se usa con cuidado. Se recomienda que experimente en un entorno seguro antes de utilizar esta herramienta en el mundo real.
9) Equipo de detective (autopsia)
Kit de detective es un conjunto de herramientas forenses digitales de código abierto que se puede utilizar para realizar análisis en profundidad de varios sistemas de archivos (FAT, NTFS, EXT2 / 3, etc. e imágenes sin procesar). Autopsy es una interfaz gráfica para Sleuth Kit (herramienta de línea de comandos). Viene con características como análisis de línea de tiempo, filtrado de hash, análisis del sistema de archivos y búsqueda de palabras clave con la capacidad de agregar otros módulos para una funcionalidad extendida.
Cuando inicia Autopsy, puede optar por crear un nuevo caso o cargar uno existente. Para crear un nuevo caso, deberá cargar una imagen forense para iniciar el análisis y, una vez que se complete el proceso de análisis, utilice los nodos del panel de la izquierda para elegir qué resultados desea ver.
10) Xplico
Conclusión
Este artículo trata sobre la contribución del código abierto en el campo forense digital. Se discuten las herramientas gratuitas y más conocidas relacionadas con diferentes áreas de la ciencia forense digital. Se enumeran varias distribuciones de Linux que contienen muchas herramientas forenses gratuitas.