El Proyecto Canaima-Forense no pretende ser una nueva herramienta forense o framework de

recopilacin de ellas, pues este tipo de distribuciones ya existen (e! Felix FCC", #eft, fire, Caine,
otras$ propone como novedad un nuevo entorno de f%cil uso para todo este tipo de herramientas!
&dem%s introduce nuevas caracter'sticas importantes, (ue aspiran a llenar el vacio de interoperabilidad
a trav)s de diferentes herramientas forenses, ya (ue proporciona una interfa* +r%fica homo+)nea (ue
+u'a a los investi+adores di+itales durante la ad(uisicin y el an%lisis de las pruebas electrnicas, y
ofrece un proceso semi-autom%tico durante la documentacin y +eneracin de informes y resultados!
El proyecto Canaima-Forense proporciona al usuario las si+uientes principales novedades,
&!- F%cil interoperabilidad durante todo el an%lisis (Preservacin, -ecoleccin, &n%lisis, -eportes$!
.!- &mi+able entorno +r%fico!
C!- Canaima como sistema base, ello implica un f%cil uso y f%cil instalacin o adaptacin sobre nuestro
entorno de trabao!
#!- /eneracin semi-autom%tica de reportes!
&l+unas herramientas inclu'das,
(traducidas en Espa0ol$
1!- creacion del pa(uete 2enu-forense, interfa* +rafica ami+able (ue recoe al+unas herraminetas para
las experticias informaticas
1!1!- 3erramientas-analisis forenses, es una interfa* dentro del menu-forense (ue permite al
investi+ador di+ital poder hacer de la investi+acion un procedimineto ams facil y ami+able por la
cantidad de interfaces +raficas creadas para al+unas herramientas (ue solo corrian en consola4 as' cmo
tambien la posibilidad de poder crear reportes y ver reportes tomados de los lo+ del sistema
5!- &utomated 6ma+e 7 -estore (&6-$
8!- /uyma+er
9!- Foremost and :calpel
;!-&utopsy 5,51
<he &uptosy forense .rowser es una interfa* +r%fica para la l'nea de comandos di+itales herramientas
de an%lisis de investi+acin en <he :leuth =it! >untos, pueden anali*ar los discos de ?indows y "@6A
y sistemas de archivos (@<F:, F&<, "F:1 B 5, Ext5 B 8$!
Conducta de venta de archivos, Cista al contenido de los archivos, Comparacin de archivos de usuario
creado o descar+ado 3ash .ases de datos, clasificacin por tipo de firmas de archivos interno, crear
una l'nea de tiempo de actividad de archivos, reali*ar bDs(uedas de palabras clave, sistema de archivos
2eta #ata &n%lisis, la "nidad de datos (contenido de los archivos$ &n%lisis en mDltiples formatos,
sistema de archivos de ima+en #etalles, /estin de Casos de uno o m%s e(uipos host, secuenciador de
eventos le permite a0adir eventos basados en el tiempo de otros sistemas (es decir, cortafue+os B 6#:
lo+s$, @otas sobre el caso, la ima+en de verificacin de la inte+ridad, la creacin de informes, auditor'a
-e+istro de la investi+acin!
E!- :F#umper
F!- Fundl
G!- :te+detect
H!- Iphcrack
1J!- tstdisk
11!- dvdsaster
15!- editor hexadecimal
utilidad de disco
18!- vlc
19!- audacity
1;!- +tk-recordmydesktop
1E!- nmap
1F!- tkdiff
1G!- +tk-hash
otras herramientas
2ostrar forma romani*ada
3erramientas y pa(uetes incluidos en canaima forense
(/racias especiales a >oetekno de esta lista$
&6-
:oportes de ima+en autom%tica y restauracin
&6- es un front-end /"6 para dd y dcfldd dise0ada para crear f%cilmente im%+enes forenses bit!
-------------------------------------------------- ---------
&biword 5!E!9
&bi?ord es un procesador de textos libre similar a 2icrosoft K ?ord! Es conveniente para una amplia
variedad de tareas de procesamiento de textos!
-------------------------------------------------- ---------
&utopsia 5,51
La autopsia forense .rowser es una interfa* +r%fica para la l'nea de comandos di+itales herramientas de
an%lisis de investi+acin en <he :leuth =it! >untos, pueden anali*ar los discos de ?indows y "@6A y
sistemas de archivos (@<F:, F&<, "F:1 B 5, Ext5 B 8$!
Conducta de venta de archivos, Cista al contenido de los archivos, Comparacin de archivos de usuario
creado o descar+ado 3ash .ases de datos, clasificacin por tipo de firmas de archivos interno, crear
una l'nea de tiempo de actividad de archivos, reali*ar bDs(uedas de palabras clave, sistema de archivos
2eta #ata &n%lisis, la "nidad de datos (contenido de los archivos$ &n%lisis en mDltiples formatos,
sistema de archivos de ima+en #etalles, /estin de Casos de uno o m%s e(uipos host, secuenciador de
eventos le permite a0adir eventos basados en el tiempo de otros sistemas (es decir, cortafue+os B 6#:
lo+s$, @otas sobre el caso, la ima+en de verificacin de la inte+ridad, la creacin de informes, auditor'a
-e+istro de la investi+acin,
-------------------------------------------------- ---------
&fflib
La avan*ada Formato Forense (&FF$ es un formato abierto extensible para el almacenamiento de
im%+enes de disco y los metadatos relacionados forenses! &FF es un formato de archivo abierto y
extensible para almacenar im%+enes de disco y los metadatos asociados! "so de la &FF, el usuario no
est% blo(ueado en un formato propietario (ue puede limitar cmo )l o ella puede anali*arla! "n
est%ndar abierto permite a los investi+adores de forma r%pida y eficiente utili*acin de sus herramientas
preferidas para resolver cr'menes, reunir informacin de inteli+encia, y resolver incidentes de
se+uridad!
-------------------------------------------------- ---------

&tomicParsley
&tomicParsley es un pro+rama li+ero de l'nea de comandos para la lectura, an%lisis y creacin de
metadatos en archivos 2PE/-9
-------------------------------------------------- ---------
.khive
bkhive es una herramienta para extraer el sistema de ?indows-clave (ue se utili*a para cifrar el hash
de la userpasswords!
-------------------------------------------------- ---------
Cryptcat
Cryptcat es una sencilla utilidad de "nix (ue lee y escribe datos a trav)s de conexiones de red,
utili*ando los protocolos <CP o "#P, mientras (ue la encriptacin de los datos (ue se transmiten! Est%
dise0ado para ser un fiable back-end Mherramienta (ue se puede utili*ar directamente o f%cilmente
conducida por otros pro+ramas y scripts!
-------------------------------------------------- ---------
Chntpw
Esta es una utilidad para (re$ establecer la contrase0a de cual(uier usuario (ue ten+a una v%lida (local$
cuenta en su sistema ?indows @<B5kBAPBCista etc! 3ay tambi)n un editor de re+istro y otros servicios
pDblicos del -e+istro (ue funciona bao Linux B "nix, y se puede utili*ar para otras cosas (ue editar
contrase0a!
-------------------------------------------------- ---------
dos5unix
dos5unix - #I: B 2&C al convertidor de formato de archivo de texto "@6A
-------------------------------------------------- ---------
#drescue
ddrescue es una herramienta de recuperacin de datos! :e copia a los datos de un archivo o dispositivo
de blo(ues (disco duro, cdrom, etc$ a otro, tratando de rescatar los datos en caso de errores de lectura!
-------------------------------------------------- ---------
#cfldd
dcfldd es una versin meorada de /@" dd con caracter'sticas Dtiles para la medicina forense y la
se+uridad! dcfldd puede hash los datos de entrada, ya (ue se est% transfiriendo, ayudando a ase+urar la
inte+ridad de los datos, comprobar (ue una unidad de destino es un poco-para el partido de bits del
archivo de entrada especificado o patrn, la salida a varios archivos o discos al mismo tiempo, salida de
dividir a los archivos mDltiples con m%s de confi+uracin (ue el comando de divisin, enviar todos sus
datos de re+istro y salida a los comandos, as' como archivos de forma nativa!
-------------------------------------------------- ---------

dc8dd
dc8dd es una versin MparcheadaM de /@" dd incluir un nDmero de caracter'sticas Dtiles para la
inform%tica forense! 2uchas de estas caracter'sticas fueron inspiradas por dcfldd, pero fueron reescritos
para dc8dd!
dc8dd puede escribir un valor hexadecimal Dnico o una cadena de texto al dispositivo de salida para
limpiar los propsitos! Por partes y en +eneral con al+oritmos hash y mDltiples ventanas de tama0o
variable! &poya 2#;, :3&-1, :3&-5;E y :3&-;15! Los valores hash puede ser calculado antes o
despu)s de las conversiones se reali*an! Pro+reso metros con entrada autom%tica B salida de tama0o de
archivo sondeo! re+istro combinado de hash y errores! Error a+rupacin! Produce un mensae de error
para errores id)nticos secuencial! Compruebe modo! Capa* de repetir cual(uier transformaciones hecho
para el archivo de entrada y compararla con una salida! Capacidad para dividir la salida en tro*os con
extensiones num)rica o alfab)tica!
-------------------------------------------------- ---------
#vdisaster
tiendas dvdisaster de datos en C# B #C# B .# (con el apoyo de medios$ de una manera (ue es
totalmente recuperable, incluso despu)s de al+unos errores de lectura se han desarrollado! Esto le
permite rescatar a los datos completos a un nuevo medio!
-------------------------------------------------- ---------
Exif
El formato de archivo de ima+en intercambiable (EA6F$ es un formato de archivo de ima+en (ue se
a+re+a o revela +ran cantidad de metadatos desde o hacia los formatos de ima+en existentes, sobre todo
>PE/!
-------------------------------------------------- ---------
Principal
Foremost es un pro+rama de consola para recuperar archivos bas%ndose en sus cabeceras, pies de
p%+ina, y las estructuras internas de datos! El principal puede trabaar en archivos de ima+en, tales
como los +enerados por dd, :afe.ack, Encaar, etc, o directamente en el disco!
-------------------------------------------------- ---------
Firefox 8!J!;
?eb .rowser
-------------------------------------------------- ---------
Fundl 5,J
:e trata de un perro perdi+uero selectiva archivo eliminado con la presentacin de informes 3<2L! Es
<:= base!
-------------------------------------------------- ---------
F=Look
Este script puede ser usado para buscar una palabra clave en varios archivos y se copia slo los
archivos (ue tienen una concordancia de palabras clave a un directorio independiente de su eleccin!
-------------------------------------------------- ---------
Fod
#" si+nifica dividir la produccin m%s importante! Este es un script para dividir todo el contenido de
directorios de salida en subdirectorios con un nDmero determinado de archivos para cada tipo de
archivo de formato!
-------------------------------------------------- ---------
Fatback
"n pro+rama para recuperar archivos de los sistemas de archivos F&<!
-------------------------------------------------- ---------
/calctool
M/calctool Nes la calculadora de escritorio!
-------------------------------------------------- ---------
/eany
/eany es un editor de texto!
-------------------------------------------------- ---------
/parted
La aplicacin /Parted es el editor de particiones para crear, reor+ani*ar y eliminar particiones del
disco!
-------------------------------------------------- ---------
+tk-recordmydesktop
record2y#esktop es un +rabador de sesin de escritorio (ue intenta ser f%cil de usar, pero tambi)n
efica* en (ue es tarea primordial!
-------------------------------------------------- ---------
/alleta
/alleta es una Cookie 6nternet Explorer 3erramienta de &n%lisis Forense! /alleta el fin de examinar el
contenido de los archivos de cookies! /alleta anali*ar% la informacin en un archivo de cookies y la
salida de los resultados en un campo delimitado forma para (ue pueda ser importado en su hoa de
c%lculo favorita!
-------------------------------------------------- ---------
/tkhash
"na utilidad de /<= O para el c%lculo de resDmenes de mensae ni sumas de control utili*ando la
biblioteca mhash! &ctualmente los tipos soportados incluyen funciones de hash 2#;, :3&1, :3&5;E,
:3&;15, -6PE2#, 3&C&L, <6/E- y ?36-LPIIL!
-------------------------------------------------- ---------
/uyma+er
+uyma+er es un reproductor de im%+enes forenses para la ad(uisicin de medios de comunicacin!
-------------------------------------------------- ---------
3fsutils
3F: es el Msistema de ficheros er%r(uicoM, el formato de volumen nativos utili*ados en los modernos
ordenadores 2acintosh! hfsutils es el nombre de un completo pa(uete de software est%n desarrollando
para permitir la manipulacin de los volDmenes 3F: de "@6A y otros sistemas!
-------------------------------------------------- ---------
3ex Editor (Editor 3exadecimal de /@I2E$
/3ex - un editor hexadecimal para /@I2E
/3ex permite al usuario car+ar los datos de cual(uier archivo, ver y editar en hexadecimal o &:C66
bien!
-------------------------------------------------- ---------
L--P
L--P es un script bash para reunir informacin sobre los dispositivos (ue necesitan ad(uirir para hacer
un archivo de ima+en forense!
-------------------------------------------------- ---------
Libewf
Libewf es una biblioteca para apoyo de los expertos <esti+o Formato de compresin (E?F$, (ue ayuda
tanto en el formato :2&-< (E?F-:J1$ y el formato EnCase (E?F-EJ1$! Libewf le permite leer y
escribir informacin de los medios dentro de los archivos E?F!
-------------------------------------------------- ---------
Lnk-parse
Este es un script de perl para anali*ar los archivos P! lnk
-------------------------------------------------- ---------
lnk!sh
El an%lisis de archivos de ?indows L@=
-------------------------------------------------- ---------
@o se pudo encontrar
-------------------------------------------------- ---------
mork!pl
Este es un script de perl para leer datos fue+o la historia
-------------------------------------------------- ---------
2#;deep
md;deep es una cru*-plataforma conunto de pro+ramas para calcular 2#;, :3&-1, :3&-5;E, <i+re, o
resDmenes de mensae de hidromasae en un nDmero arbitrario de archivos! md;deep es capa* de
examinar un %rbol recursivo todo el directorio! md;deep puede aceptar una lista de hashes conocidos y
compararlos con un conunto de archivos de entrada y mucho m%s!
-------------------------------------------------- ---------
md;sum
md;sum - calcular y comprobacin de mensaes 2#;
-------------------------------------------------- ---------
ntfs-8+
@<F:-8/ es un establo de lectura B escritura del controlador de @<F: para Linux, 2ac I: A,
Free.:#, @et.:#, Ipen:olaris, Q@A, 3aiku, y otros sistemas operativos! Ifrece se+uro y r%pido
maneo de la de ?indows AP, ?indows :erver 5JJ8, ?indows 5JJJ, ?indows Cista, ?indows :erver
5JJG y ?indows F archivo!
-------------------------------------------------- ---------
IffsetR.ruteRForce
Esta secuencia de comandos shell fuer*a bruta la particin de despla*amiento en busca de una particin
oculta y tratar de montarlo!
-------------------------------------------------- ---------
Iphcrack
Iphcrack es un pa's libre cracker contrase0a de ?indows basada en las tablas -ainbow!
-------------------------------------------------- ---------
Pasco
Pasco es una actividad en 6nternet Explorer herramienta de an%lisis forense! Pasco fue desarrollado para
examinar el contenido de los archivos de cach) de 6nternet Explorer! Pasco anali*ar% la informacin en
un archivo index!dat y salida de los resultados en un campo delimitado forma para (ue pueda ser
importado en su hoa de c%lculo favorita!
-------------------------------------------------- ---------
Photo-ec
Photo-ec recupera archivos desde el espacio no asi+nado con cabecera tipo de archivo espec'fico y los
valores de pie de p%+ina!
-------------------------------------------------- ---------
-e+lookup
-e+Lookup es una pe(ue0a utilidad de l'nea de comandos para la lectura y consulta de re+istros basado
en ?indows @<! &ctualmente, el pro+rama permite leer un re+istro completo y la muestran en una (la
mayor'a$ formato normali*ado, cit! <ambi)n proporciona caracter'sticas para el filtrado de los
resultados basados en la ruta de re+istro y tipo de datos!
-------------------------------------------------- ---------
-ifiuti
-ifiuti es una herramienta de reciclae Papelera de &n%lisis Forense! -ifiuti el fin de examinar el
contenido del archivo 6@FI5 en la Papelera de reciclae! -ifiuti anali*ar% la informacin en un archivo
6@FI5 y salida de los resultados en un campo delimitado forma para (ue pueda ser importado en su
hoa de c%lculo favorita!
-------------------------------------------------- ---------
-ifiuti5
Como su nombre lo indica, rifiuti5 es una reescritura de rifiuti, -ifiuti (Dltima actuali*acin 5JJ9$ se
limita a la versin 6n+l)s de ?indows (no para anali*ar cual(uier car%cter no-latinos$, por lo tanto esta
reescritura! <ambi)n ?indows admite nombres de archivo en cual(uier idioma, compatible con Cista y
?indows 5JJG MS -ecycle!.inM (no m%s utili*a el archivo 6@FI5$, locali*acin &ctiva (es decir,
traducible$ mediante el uso de che(ues simplista, el error m%s ri+urosa, la produccin de su apoyo, en
A2L formato!
-------------------------------------------------- ---------
-eadpst
readpst convierte P:< (2: Iutlook las carpetas personales$ en archivos mbox y otros formatos!
-------------------------------------------------- ---------
:calpel
.istur' es un tallador de archivos a +ran velocidad (ue lee una base de datos de cabecera y pie de
p%+ina las definiciones y los extractos de los archivos se pon+an en venta de un conunto de archivos de
ima+en o archivos -&? dispositivo! :calpel es independiente del sistema de ficheros y archivos de
tallar F&<x, @<F:, ext5 B 8, o particiones!
-------------------------------------------------- ---------
:F#umper 5!1
:F#umper es un perro perdi+uero de archivo selectivo, (ue trabaa en activo, eliminar archivos y
tallado! :e puede hacer una bDs(ueda por palabra clave entre los archivos recuperados! Es <:= base!
-------------------------------------------------- ---------
:te+detect
:te+detect es una herramienta automati*ada para detectar contenidos este+ano+r%ficos en im%+enes! Es
capa* de detectar varios m)todos este+ano+r%ficos diferentes para incrustar informacin oculta en
im%+enes >PE/!
-------------------------------------------------- ---------
:te+break
3erramienta para extraer el contenido este+ano+r%ficos en im%+enes!
-------------------------------------------------- ----------
:martmontools
El pa(uete smartmontools contiene dos pro+ramas de utilidad (smartctl y smartd$ para controlar y
supervisar los sistemas de almacenamiento mediante el autocontrol, &n%lisis y Presentacin de
6nformes del :istema de <ecnolo+'a (:2&-<$ incorporada en la mayor'a de los modernos discos duros
&<& y :C:6! En muchos casos, estas utilidades establecer sistemas de alerta avan*ada de la
de+radacin del disco y el fracaso!
:martmontools !!! autom%ticamente informes y pone de relieve la existencia de anomal'as, permite
activar B desactivar :2&-< permite activar B desactivar autom%tico de reco+ida de datos fuera de l'nea
- un autoche(ueo corto (ue la unidad se reali*an autom%ticamente cada cuatro horas, sin impacto sobre
el rendimiento4 admite la confi+uracin de lo +lobal y por opciones sin conductor de smartctl, reali*a
&utopruebas :2&-<4 unidad muestra la informacin de identidad, las capacidades, atributos y self-
testBerror re+istros4 puede leer en la produccin smartctl desde un archivo +uardado, interpret%ndolo
como un dispositivo de slo lectura virtual, obras en la mayor'a de los sistemas operativos apoyados
smartctl4 tiene informacin amplia ayuda!
-------------------------------------------------- ---------
sha5;Esum
sha5;Esum - calcular y comprobar :3&5;E resumen del mensae
-------------------------------------------------- ---------
:te+hide
:te+hide es un pro+rama de este+ano+raf'a (ue es capa* de +rabar o extraer datos en diversos tipos de
im%+enes y archivos de audio!
-------------------------------------------------- ---------
Pi*ca
triturar - eliminar un archivo de forma se+ura, en primer lu+ar de sobrescribirlo para ocultar su
contenido
-------------------------------------------------- ---------
sha;15sum
sha;15sum - calcular y comprobar :3&;15 mensae de di+erir
-------------------------------------------------- ---------
<est#isk
<est#isk fue dise0ado principalmente para ayudar a recuperar particiones perdidas de almacenamiento
de datos y B o hacer discos no booteables a booteables nuevamente cuando estos s'ntomas son causados
por software con fallas, ciertos tipos de virus o error humano (como borrar accidentalmente una tabla
de particiones$!
-------------------------------------------------- ---------
<he:leuth=it 8!J!1
<he :leuth =it (<:=$ es una coleccin de herramientas de l'nea de comandos basada en "@6A (ue
permiten (ue usted investi+ue una computadora! La autopsia es un frontend para <:= (ue permite el
acceso basado en nave+ador para las herramientas de <:=!
-------------------------------------------------- ---------
<i+erdeep
ti+erdeep - 6nform%tica resDmenes de mensae <i+re
-------------------------------------------------- ---------
<ableau-PCE2
tableau-parm es una utilidad de l'nea de comandos pe(ue0os dise0ados para interactuar con los
blo(ueadores de <ableau escribir forense! -eali*a funciones similares a las de disco 2onitor <ableau,
salvo (ue opera en seleccionar las plataformas "@6A!
-------------------------------------------------- ---------
<kdiff
tkdiff es una interfa* +r%fica para el pro+rama diff! Proporciona una vista de lado a lado de las
diferencias entre dos archivos, unto con varias caracter'sticas innovadoras, tales como marcadores de
diferencias y un mapa +r%fico de diferencias para la nave+acin r%pida!
-------------------------------------------------- ---------
"serassist
Este es un anali*ador de secuencias de comandos en l'nea de perl para la Mclave del -e+istro
"ser&ssistM!
-------------------------------------------------- ---------
CLC
CLC media player es un reproductor multimedia port%til y el marco multimedia capa* de leer la
mayor'a de los formatos de audio y v'deo (2PE/-5, 2PE/-9, 3!5E9, #ivA, 2PE/-1, mp8, o++,
aac !!!$, as' como #C#s, CC#s C# de audio, y varios protocolos streamin+!
-------------------------------------------------- ---------

?icd
?icd es una fuente abierta y por cable administrador de la red inal%mbrica para Linux (ue tiene como
obetivo proporcionar una interfa* sencilla para conectarse a redes con una amplia variedad de
confi+uraciones!
-------------------------------------------------- ---------
?hirpooldeep
Calcule ?hirlpool resDmenes de mensae
-------------------------------------------------- ---------
Limpiar
?ipe es una utilidad se+ura de archivos limpiar!
-------------------------------------------------- ---------
Ahfs
xhfs presenta un front-end +r%fico para la nave+acin y la copia de archivos en volDmenes con formato
3F:!
-------------------------------------------------- ---------
Adeview
A#eview es un decodificador inteli+ente para accesorios (ue usted ha recibido en forma codificada a
trav)s de correo electrnico o de la "senet!
-------------------------------------------------- ---------
A:te+
/"6 :te+detect interfa*