FritscheGarcaAnaCecilia

ReyesRiveraPatricia
SalvadorBaltazarMiriamJazmn

CicloForense

Herramienta

Descripcin

Referencia

Adquisicin
evidencia
digital

Guymager

Guymager es un replicador forense para

adquisicin de medios. Entre sus principales
caractersticasseencuentran:
Una fcil interfaz de usuario en
diferenteslenguajes.
SeejecutaenGNU/Linux.
Es rpido debido a su diseo
multithreaded,
pipelined,
y
compresindedatosmultihilos.
Genera imgenes en bruto (dd), EWF
(E01) y AFF, soportando clonacin de
disco.
Eslibre,completamenteopensource.

Guymager.
(s.f).
Guymager Introduction.
Recuperado el 9 de
febrero de 2016 desde
http://guymager.sourcefor
ge.net/

FMount

Se usa para montar los volmenes, en el Reydes. (24defebrerode

directorio /media, detectados que estn 2015).
Montar

las
asignadosenunaimagendesololectura.
particionesdeunaimagen
Forense
utilizando
FMount
. Recuperado el 9
de febrero de 2016 desde
http://www.reydes.com/d/
?q=Montar_las_Particione
s_de_una_Imagen_Foren
se_utilizando_FMount

DDRescueGUI Es un software libre usado para la

recuperacin de datos, es capaz de copiar
datos desde un archivo o bloque a otro
dispositivo. Tambin fue diseado para
recuperar informacin del disco duro, unidad
flash USB, CD, DVD corruptos. Incluye
diferentes algoritmos y herramientasparaque
no se trunquen los archivos desalida sinose
pregunta previamente en archivos vacos.
Contiene el bloqueo automatizado, software
desacelerado y la mejor ventaja es que nos
evitaerrores.
TestDisk

Es un software poderoso Open Source que

est bajo la licencia GNU/GPL para la
recuperacin
de
datos.
Diseado
principalmente para recuperar particiones
perdidas y/o hacer discos no booteables
booteables nuevamente, problemascausados
por software defectuoso: ciertos tiposdevirus

NCODE.(26 de agosto de
2015).
DdrescueGUI:FrontEnd
for Ddrescue Command
line Tool. Recuperado el
9 de febrero de 2016
desde
http://ubuntuportal.com/20
15/08/ddrescueguiubunt
u.html

Cgsecurity.(13deabrilde
2014).
TestDisk.

Recuperado el 9 de
febrero de 2016 desde
http://www.cgsecurity.org/
wiki/TestDisk

oerrorhumano.
XHFS

Interfazgrficaparanavegarycopiararchivos
en volmenes HFS. La pantalla se divide en
dos secciones, en cada uno se puede ver un
directorio ya sea del volumen HFS o del host
(UNIX).

Linux Command. (s.f.).

xhfs
. Recuperado el 9 de
febrero de 2016 desde
http://linuxcommand.org/
man_pages/xhfs1.html

DDRescueView Visualizador grfico para los archivos log de

GNU DDRescue. Permite alusuarioexaminar
grficamentearchivosderegistrodeddrescue
en una aplicacin de interfaz grfica de
usuariofcildeusar.

Sourceforge.
(s.f.).
ddrescueview.
Recuperado el 9 de
febrero de 2016 desde
http://sourceforge.net/p/dd
rescueview/wiki/Home/#1
introduction

Autopsy

Herramienta libre que existe para el anlisis

de evidencia digital. Su interfaz grfica es un
browser que basado en las herramientas en
lnea de comandos del Sleuth Kit, permite un
anlisis de diversos tipos de evidencia
mediante una lacapturadedeunaimagende
disco.

Daz
Gerardo,Usme
Jaime (s.f).
Tutorial de
Linux CainE.
Recuperado
el 10 de febrero de 2016
desde
http://softwarelibreif.blog
spot.mx/p/tutorialdelinux
caine.html

Tesdisk

Herramienta diseada para recuperar

particiones perdidas de almacenamiento de
datos, o recuperar la capacidad del disco
para hacerlo booteable. Estas funciones son
exitosas cuando los problemas son causados
por softwareconfallas,ciertostiposdeviruso
en caso de borrar accidentalmente una tabla
de particiones. Su funcin no aplica para
discos duros con daos fsicos, sin embargo
puede intentar el acceso a las particiones
daadasuocultas.

Snchez
Pedro(2011)
Forensics Power Tools.

Recuperado el 10 de
febrero de 2016 desde
http://conexioninversa.blo
gspot.mx/2013/09/forensic
spowertoolslistadode.ht
ml

Ophcrack

Utilidad para romper u obtener contraseas

de usuario en el sistema operativo Windows.
Su funcionamiento se basa en el anlisis de
las tablas
rainbow
para elaccesoa lasclaves
delaSAM(SecurityAccountsManager).
SAM es el gestor de seguridad para cuentas
de usuario, de los actuales sistemas
operativos Microsoft Windows. Este servicio
se emplea durante los procesos de acceso al
sistema, y retiene informacindelusuarioque
sehalogeadoanteelsistema

Ophcrack (s.f).
What is
Ophcrack?. Recuperado
el 10 de febrero de 2016
desde
http://ophcrack.sourceforg
e.net/

PhotoRec

Recupera datos y archivos perdidos

incluyendo video, documentos y archivos de
discos duros y CD/DVD. Incluyendo la
bsqueda en el espacio no asignado en
disco, examinando cabecera tipo de archivo
especficoylosvaloresdepiedepgina.

Snchez
Pedro(2011)
Forensics Power Tools.

Recuperado el 10 de
febrero de 2016 desde
http://conexioninversa.blo
gspot.mx/2013/09/forensic
spowertoolslistadode.ht
ml

Hexeditor

Permite
cargar los datos de cualquier
archivo, veryeditarenformatohexadecimalo
ASCII. Por medio del editor hexadecimal, el
usuario puede ver, redactar, reparar o
modificar el contenido intacto y exacto de un
archivobinario.

Daz
Gerardo,Usme
Jaime (s.f).
Tutorial de
Linux CainE.
Recuperado
el 10 de febrero de 2016
desde
http://softwarelibreif.blog
spot.mx/p/tutorialdelinux
caine.html

XDeview

Decodificador inteligente para los archivos

adjuntos que se han recibido en forma
codificada a travs de correo electrnico ode
Usenet. XDeview es compatible con los
mtodos de codificacin Base64 y BinHex, y
es capaz de manejar archivos split, as como
varios archivos a la vez, lo que simplifica
enormemente el proceso de decodificacin.
Despus de invocar el programa, se
explorarn todos los ficheros dados de datos
codificados

die.net(2010)
xdeview(1) Linux man
page. Recuperado el 10
defebrerode2016desde
http://linux.die.net/man/1/x
deview
.

Zenmap

Zenmap es la interfazgrficaoficialdeNmap,
el conocido programa de cdigo abierto para
hacer escaneo de puertos a fondo de
cualquier equipo conectado. Zenmap
proporciona una interfaz grfica para ejecutar
los diferentes tipos de anlisisde puertosque
tiene Nmap y tambin para mostrarlos de
forma intuitiva a los usuarios menos
experimentados.

De Luz, S. (18 de enero

de 2014).
Zenmap, la
interfaz grfica oficial de
Nmap para escanear
puertos a fondo.
Redes
Zone. Recuperado el 10
de de febrero de 2016
desde
http://www.redeszone.net/
2014/01/18/zenmaplaint
erfazgraficaoficialdenm
apparaescanearpuertos
afondo/

Blackberryand
idevicescripts

Software de gestin de datos y

backups.Permite extraer, visualizar y exportar
los datos de los archivos de copia de
seguridad.

Snchez
Pedro(2011)
Forensics Power Tools.

Recuperado el 10 de
febrero de 2016 desde
http://conexioninversa.blo
gspot.mx/2013/09/forensic
spowertoolslistadode.ht

ml
BlockON/OFF

Herramienta grfica con la cual podremos

habilitar la escritura de datos en el
almacenamiento interno una vez que
hayamos realizado una copia de seguridad
sector por sector de todo el contenido del
discoolosdiscos.

iPhoneBackup Es una herramienta diseada para navegar

Analyzer
fcilmente a travs de las carpetas de copia
de seguridad de un iPhone (o cualquier otro
dispositivo iOS). A travs de sta es posible
leer archivos de configuracin, navegar por
los archivos, buscar dentro de bases de
datos,etc.

De Luz Sergio(15 de
noviembre de 2015).
CAINE 7.0 ya est
disponible: Distribucin
orientada
a
anlisis
forense
informtico.

Recuperado el 10 de
febrero de 2016 desde
http://www.redeszone.net/
2015/11/15/caine70yae
stadisponibledistribucion
orientadaaanalisisforen
seinformatico/
Kali tools. (18 de febrero
de
2014).
iPhoneBackupAnalyzer
Package
Description.
Recuperado el 10 de
febrero de 2016 desde
http://tools.kali.org/forensi
cs/iphonebackupanalyze
r

Netdiscover

Netdiscover es una herramienta activa/pasiva

de
reconocimiento
de
direcciones,
desarrollado principalmente para las redes
inalmbricas sin servidor DHCP, cuando se
est realizando Wardriving (bsqueda de
redes inalmbricas WiFi desde un vehculo
en movimiento). Puede tambin ser utilizado
enelredesconhub/switch.

Nix generation. (14 de

septiembre de 2009).
Netdiscover
Active/Passive
ARP
scanner.
Recuperado el
10 de febrero de 2016
desde
http://nixgeneration.com/~
jaime/netdiscover/

Volatility

Es una coleccin de herramientas

completamente
de
cdigo
abierto,
implementado en Python bajo la Licencia
Pblica General de GNU (GPL v2), para la
extraccin de evidencia digital a partir de
muestras de memoria voltil (RAM). Las
tcnicas de extraccin se realizan
completamente independientes del sistema
que estsiendoinvestigado,peroofrecenuna
visibilidad sin precedentes en el estado de
ejecucindelsistema.

Forensics Wiki. (s.f).

Volatility
Framework.
Recuperado el 10 de
febrero de 2016 desde
http://forensicswiki.org/wik
i/Volatility_Framework

SQLite
database
browser

Es una herramienta para crear, disear y DB Browser for SQLLite.

editar archivos de base de datos compatibles (s.f.).
What

it
is
.
conSQLite.
Recuperado el 10 de

febrero de 2016 desde

http://sqlitebrowser.org/

SQLiteMan

BEViewerBulk
Extractor

Se utiliza para encontrar informacin

potencialmente sensible en una imagen de
disco. Es una interfaz grfica para bulk
extractor (un programa en C ++ que escanea
una imagen de disco , un archivo o un
directorio de archivos yextraeinformacintil
sin necesidad de analizar las estructuras del
sistemadearchivosoelsistemadearchivos)

Bitcurator. (7 mayo2014).
Using Bulk Extractor
Viewer to Find Potentially
Sensitive Information ona
Disk Image.
Recuperado
el 10 de febrero de 2016
desde
http://wiki.bitcurator.net/in
dex.php?title=Using_Bulk
_Extractor_Viewer_to_Fin
d_Potentially_Sensitive_In
formation_on_a_Disk_Ima
ge

Inception

Herramienta para la manipulacin de la

memoria fsica y hackeo que explota
PCIbased DMA. La herramienta puede
atacar a travs de FireWire , Thunderbolt ,
ExpressCard , tarjeta de PC y cualquier otra
interfazPCI/PCIe

GitHub. (s.f.)
Inception.

Recuperado el 10 de
febrero de 2016 desde
https://github.com/carmaa
/inception

XAll

Extractor dearchivos ydatosdedispositivosy

archivos de imagen. Monta una imagen de
archivo DD/EWF odispositivo,copiatodoslos
archivos asignados, extrae todos los archivos
borrados.

GitHub.
(s.f.)
XAll.

Recuperado el 10 de
febrero de 2016 desde
https://github.com/nannib/
xall

XMountGUI

Permite la conversin entre diversos tipos de

imgenes de discos duros de entrada y
salida. Xmount crea un sistema de archivos
virtual utilizando FUSE (Filesystem in
Userspace).Lasimgenesdeentradapueden
estar en DD Bruto, EWF (Expert Witness
Compression Formar) o AFF (Advanced
Forensic Format). Adicionalmente, Xmount
tambin soporta acceso de escritura virtual
hacia archivos de salida el cual se

Caballero, A. (3 de marzo
de 2015).
Convertir y
Montar una Imagen
Forense
utilizando
XMountGUI.
ReYDeSs
blog. Recuperado el 9 de
febrero de 2016 desde
http://www.reydes.com/d/
?q=Convertir_y_Montar_u
na_Imagen_Forense_utili

Preservacin

Es una interfaz grfica para desarrolladores y Portable Apps.com (s.f.).

administradores para administrar base de Sqllite
portable.
datosSqlite3.
Recuperado el 10 de
febrero de 2016 desde
http://portableapps.com/a
pps/development/sqlitema
nportable

redireccionaaunarchivocach.

zando_XMount_GUI

Es una utilidad de lnea de comandos para

sistemas operativos Unix y Unixlike cuyo
principal objetivo es convertir y copiar
archivos, tambin escribe archivos deimagen
de disco para tarjetas de memoria y de
almacenamiento extrable, crea memorias
USB booteables y copias de seguridad y
restauracindearchivosIMG.

The Fan Club. (24 de

febrero de 2015).
dd
Utility Write and Backup
Operating System IMG
and ISO files on Memory
Card or Disk.
Recuperado
el 9 de febrero de 2016
desde
https://www.thefanclub.co.
za/howto/ddutilitywritea
ndbackupoperatingsyst
emimgandisofilesmem
orycardordisk

Qphotorec

QPhotoRec es un software libre y de cdigo

abierto, cuyo objetivo es la recuperacin de
archivos de datos, est diseado
principalmente para recuperar archivos
perdidos, incluyendo video, documentos y
archivos de discos duros, CDROM, e
imgenes perdidas dentro de una memoria
decmaradigital.

Geeks Sharing Space.

(2014).
QPhotoRec 1.0
(Data Recovery Software
to recover lost files like
Videos,
Documents,
Pictures from Digital
Camera).
Recuperado el
9 de febrero de 2016
desde
http://www.geekssharings
pace.org/2013/12/qphotor
ec10datarecoverysoftw
areto.html

Hfsutils

HFS es una herramienta para leer y escribir

volmenes de Macintosh, de su
"
sistema de
ficheros jerrquico
"
, el formato de volumen
nativos utilizados en los modernos
ordenadores Macintosh. hfsutils es el nombre
de un completo paquete de software estn
desarrollandoparapermitirlamanipulacinde
losvolmenesHFSdeUNIXyotrossistemas.

Daz
Gerardo,Usme
Jaime (s.f).
Tutorial de
Linux CainE.
Recuperado
el 10 de febrero de 2016
desde
http://softwarelibreif.blog
spot.mx/p/tutorialdelinux
caine.html

QuickHash

Validarqueelarchivoesautntico,quenoha
sidomodificado

INE(2015)
Quesun
cdigonicodelarchivo?.
Recuperadoel10de
febrerode2016desde
http://www.ine.mx/2015/D
ocs/sha_conteo_rapido.pd
f

ddutility

Dvdisaster

Herramienta que examina CD / DVD / BD, Daz

Gerardo,Usme
con el fin de recuperar archivos, incluso Jaime (s.f).
Tutorial de
despus de algunos errores de lectura. Esto Linux CainE.
Recuperado

permite rescatar informacin daada o de el 10 de febrero de 2016

difcil lectura
a un nuevo medio de desde
almacenamientotrassurecuperacin.
http://softwarelibreif.blog
spot.mx/p/tutorialdelinux
caine.html
Anlisis

Autopsy2.24

Es una plataforma de anlisis forense digital

con interfaz grfica para el Sleuthkit. Puede
ser utilizado por examinadores militares,
corporativos para investigar qu ocurri
dentrodeunacomputadora.

SourceForge.(2de
noviembrede2015).
Autopsy.
Recuperadoel9
defebrerode2016desde
http://sourceforge.net/proj
ects/autopsy/?source=nav
bar

FRED

Forensic Registry EDitor (FRED) es un editor

multiplataforma Microsoft, este editor de
registros est basado en GUI, puede
funcionar en Linux y tiene incorporado un
visorhexadecimaleintrpretededatos.

Pinguin. (s.f.).
FRED.
Recuperado el 9 de
febrero de 2016 desde
https://www.pinguin.lu/fred

Mobius

Mobius es un marco forense escrito en

Python/GTK que administra casos as como
tems de casos, proporcionando una interfaz
abstracta para el desarrollo de extensiones.
Los casos y lascategorasdedichostemsse
definen mediante archivos XML paraunafcil
integracinconotrasherramientas.

Free
Code.
(2013).
Mobius Forensic Toolkit.
Recuperado el 9 de
febrero de 2016 desde
http://freecode.com/projec
ts/mobiusft

Wireshark

Esunanalizadordeprotocolosdered.Se
utilizaparasolucionarproblemasdered,
anlisis,desarrollodesoftwarey
comunicacionesdelprotocolo.Selepermite
verloqueestocurriendoensuredanivel
microscpico.

Wireshark(2015).
About
us.
Recuperadoel10de
febrerode2016desde
https://www.wireshark.org/

Tkdiff

Tkdiff es la interfaz grfica para el programa

diff. ste proporciona una visin amplia
acerca de las diferencias entre dos archivos,
incluye varias caractersticas innovadoras,
tales como marcadores de diferencias y
mapas grficos para representar las
diferencias entre estos y de esta forma exista
unanavegacinrpida.

Source Forge.(8demayo
de
2013).
tkdiff.

Recuperado el 10 de
febrero de 2016 desde
https://sourceforge.net/pro
jects/tkdiff/

NBTempo

NBTempo esta basado en The SleuthKit , el

cual puede crear archivos de cronologas o
lineas de tiempo mediante una Interfaz
Grfica de Usuario y reportarla en formato
CSV. Permite rastrear y seguirlasactividades
relacionadas al tiempo de los archivos
residentes
en
un
dispositivo
de

Reydes. (25defebrerode
2015).
Crear Cronologas
De Archivos Utilizando
NBTempo.
Recuperado el
10 de febrero de 2016
desde
http://www.reydes.com/d/

Informe

almacenamiento.

?q=Crear_Cronologias_d
e_Archivos_utilizando_NB
Tempo

Log2Timeline

Est diseadoparalacreacindelalneasde
tiempo y anlisis de dispositivos. El objetivo
principal es proporcionar una herramienta
nica para analizar variosarchivosderegistro
y lo encontrado en los sistemas sospechosos
con el objetivo de producir un archivo que
puede ser usado para crear una lnea de
tiempoyasseranalizado.

Forensics Wiki. (s.f).

Log2timeline.
Recuperado
el 10 de febrero de 2016
desde
http://www.forensicswiki.o
rg/wiki/Log2timeline

Gtkhash

Herramienta para el clculo de diferentes

funciones hash de un archivo y sumas de
comprobacin de mensajes. Actualmente los
tipos soportados incluyen funciones de hash
MD5, SHA1, SHA256, SHA512, RIPEMD,
HAVAL, TIGER y WHIRLPOOL. Esta
herramienta es bastante til, paracomprobar
el correcto estado de un archivo, o la
comparacin entre dos(2) archivos iguales,
paracomprobarsuintegridad.

Daz
Gerardo,Usme
Jaime (s.f).
Tutorial de
Linux CainE.
Recuperado
el 10 de febrero de 2016
desde
http://softwarelibreif.blog
spot.mx/p/tutorialdelinux
caine.html