16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

Inicio BLOG Contenido Descargas Enlaces Contacto

WELCOME SOBRE MÍ BLOG ESPECIALIDADES ORGANIZACIONES

SERVICIOS CARA B

Herramientas LINUX para análisis forense

JAVIER TOBAL

Esta entrada completa una entrada anterior: LINUX como herramienta de análisis forense

Recojo en esta entrada, una lista de herramientas LINUX que, como perito judicial
informático, utilizo a menudo. Mi experiencia es que la mayoría de los peritos usamos LINUX
cuando tenemos que procesar evidencias digitales. Aunque existen herramientas similares
en WINDOWS o IOS, el uso de LINUX tiene ventajas para el perito que, a veces, van más allá
del precio o la posibilidad de personalizar los desarrollos. Creo que casi todos los
peritos utilizamos LINUX como el sistema desde el que extraer y analizar las evidencias
objeto de la pericia.

LINUX, por supuesto, puede usarse como herramienta para analizar evidencias que
procedan de otro sistema operativo. Por ejemplo, podemos usar LINUX para analizar una
imagen de un disco duro procedente de un sistema WINDOWS o de un dispositivo móvil.

VENTAJAS DE LINUX COMO HERRAMIENTA FORENSE

Es gratuito. Además del ahorro que esto supone, su sistema de licencias permite al
perito disponer de varios sistemas especializados en diferentes problemáticas.

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 1/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

Existen muchas herramientas gratuitas (y de pago) desarrolladas para este sistema

operativo.
Existen multitud de distribuciones que proporcionan conjuntos de herramientas
forenses listas para usar.
Es fácil tener un sistema autónomo (LIVE CD) que permite acceder a los sistemas a
analizar sin modificar el contenido del mismo.

DESVENTAJAS DE LINUX COMO HERRAMIENTA FORENSE

Es más difícil de utilizar y configurar que un sistema comercial.
Es menos conocido fuera del ámbito técnico por lo que su utilización puede generar
inseguridad entre abogados y jueces.
Las herramientas utilizadas no suelen tener licencias comerciales, ni empresas de
software que garanticen el soporte de las mismas.
La configuración de algunas herramientas y su adaptación a cada caso puede ser
compleja y requerir conocimientos de programación.

NOTA SOBRE LAS HERRAMIENTAS INCLUIDAS

Esta entrada recoge de forma no exhaustiva las herramientas más relevantes para el análisis
forense en plataformas LINUX. Al seleccionar la lista he optado por las soluciones más
estándares del mercado y más comunes en la casuística real de un perito en el trabajo
diario. Cada perito puede ampliar el listado de herramientas con sus preferencias propias o
las necesidades de cada caso que se le presente. De hecho, este listado es simplemente una
muestra de herramientas que cubren las necesidades más comunes de un perito pero no
son todas las opciones posibles ni, por supuesto, cubre absolutamente todos los casos
imaginables.

USO DE HERRAMIENTAS FORENSES DE CÓDIGO ABIERTO (OPEN

SOURCE)
Es habitual utilizar herramientas de código abierto cuando se trabaja con LINUX (de hecho,
el propio sistema operativo y las herramientas propias del mismo lo son).

En el caso de las herramientas usadas para análisis forense, es posible (y habitual) que el
perito deba hacer frente a cuestiones sobre la idoneidad del uso de herramientas “open
source” frente a herramientas comerciales.

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 2/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

Cualquier herramienta (sistema operativo o aplicación) usada para un análisis forense

debería tener las siguientes características:

Estar basado en la fuente original (repositorios oficiales) y estar disponible para su

análisis si fuera necesario.
Ser conocida y reconocida por la comunidad internacional y por organismos
prestigiosos.
Ser utilizada siguiendo procedimientos estándares y documentar adecuadamente el
uso de la misma.
Utilizar algoritmos y procedimientos conocidos que, idealmente, podría ser
reproducido por el perito de forma manual.

DISTRIBUCIONES FORENSES
Una distribución forense es una distribución LINUX especializada que contienen
herramientas de análisis forense. La principal ventaja de utilizar una de estas distribuciones
es que permiten disponer de forma autónoma tanto del sistema operativo como de las
aplicaciones necesarias para ejecutar el análisis forense.

Distribuciones forenses de propósito general

BUG TRACK (http://bugtraq-team.com/)

Distribución genérica con herramientas forenses que destaca por disponer de múltiples
configuraciones que se adaptan a muchos entornos diferentes además de por sus
prestaciones y capacidad de gestión de recursos.

CAINE (http://www.caine-live.net/)

Computer Aided Investigative Environment

Seguramente la distribución forense más fácil de utilizar y una de las más populares.

DEFT (http://www.deftlinux.net/)

Distribución de origen italiano especializada en análisis forense que suele estar

puntualmente actualizada con las herramientas más estándares y conocidas.

HELIX (http://www.e-fense.com/)

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 3/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

HELIX es una distribución comercial (a partir de la versión 3) que incluye herramientas de

análisis forense y otras herramientas orientados a la respuesta a incidente y tests de
intrusión.

SIFT de SANS (http://digital-forensics.sans.org/)

SANS Investigative Forensic Toolkit (SIFT).

Sin duda, la más prestigiosa y completa distribución existente actualmente.

Distribuciones forenses especializadas

BACK TRACK (http://www.backtrack-linux.org/)

Distribución especializada en test de intrusión.

KALI (https://www.kali.org/)

Distribución especializada en test de intrusión.

SANTOKU (https://santoku-linux.com/)

Distribución especializada en análisis de dispositivos móviles.

HERRAMIENTAS DEL SISTEMA

El propio sistema operativo incluye por defecto, en la mayoría de sus distribuciones,
herramientas de gran utilidad en el análisis forense. Es preferible utilizar herramientas del
sistema frente a herramientas comerciales u “open source” siempre que tengan las
prestaciones requeridas para la tarea. En un trabajo pericial es importante garantizar que las
herramientas utilizadas no alteran ni modifican la evidencia analizada o el resultado del
análisis. Las herramientas del sistema están, supuestamente, libres de errores o
manipulaciones.

dd (http://linux.die.net/man/1/dd)

Este comando tiene múltiples aplicaciones en el análisis forense, por ejemplo:

hacer imágenes de discos copiando a bajo nivel sector por sector el contenido del
mismo,
borrar de forma segura un sistema de archivos (wipe).

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 4/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

fdisk (http://linux.die.net/man/8/fdisk)

Herramienta para ver y manipular las particiones de los discos conectados al sistema.

netcat (http://nc110.sourceforge.net/)

Herramienta que permite transmitir flujos de información entre sistemas conectados en red.
Especialmente útil cuando se necesita extraer información de un sistema en ejecución sin
alterar el mismo.

sha256sum (http://linux.die.net/man/1/sha256sum)

Permite calcular códigos hash usando el algoritmo SHA-2 y bloques resumen de 256 bits.
Este algoritmo es preferido respecto a otros algoritmos como MD5SUM o SHA-1 (160 bits de
digest).

strings (http://linux.die.net/man/1/strings)

Extrae cadenas de caracteres contenidas en archivos binarios.

tcpdump (http://www.tcpdump.org/manpages/tcpdump.1.html)

Herramienta de análisis de red por defecto de sistemas LINUX. Permite capturar el tráfico
TCP que transita por cualquiera de los interfaces de red del sistema.

APLICACIONES Y PAQUETES DE HERRAMIENTAS DE

TERCEROS
Además de las herramientas incluidas por el propio sistema operativo LINUX existen
herramientas, muchas de ellas “open source”, que mejoran o complementan las funciones
de las herramientas del sistema. Algunas de estas herramientas son, simplemente, más
fáciles de utilizar que los comandos del sistema. Otras, sin embargo, añaden funcionalidad
no existente en las herramientas del sistema.

AIR (http://air-imager.sourceforge.net/)

Automated Image and Restore

Interfaz gráfico para las herramientas de línea de comando “dd”/”dcfldd” que permite crear
imágenes forenses de sistemas de archivos.

bulk extractor (https://github.com/simsong/bulk_extractor/wiki)

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 5/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

Herramienta que permite el análisis y la extracción de información relevante de grandes

sistemas de archivos (archivos, directorios comprimidos, imágenes de discos, etc.) mediante
el análisis del contenido del archivo (sin utilizar la estructura lógica del mismo).

dc3dd (http://sourceforge.net/projects/dc3dd/)

Versión del comando estándar “dd” que incluye algunas funciones interesantes como el
cálculo de hash, barras de progreso y verificación mejorada.

dcfldd (http://dcfldd.sourceforge.net/)

Versión del comando estándar “dd” que incluye algunas funciones interesantes como el
cálculo de hash. Destaca por las prestaciones a la hora de realizar imágenes.

foremost (http://foremost.sourceforge.net/)

Herramienta para recuperar archivos borrados a partir del análisis del espacio en disco no
usado.

guymager (http://guymager.sourceforge.net/)

Herramienta gráfica que permite la realización de imágenes de sistemas de archivos. Puede

reemplazar el uso de “dd”.

log2timeline (https://github.com/log2timeline/plaso)

Herramienta que permite reconstruir líneas de tiempo a partir de ficheros de registro (logs)
del sistema.

kismet (http://www.kismetwireless.net/)

Analizador de redes WIFI.

nmap (http://nmap.org)

Herramienta de análisis de red que permite la enumeración y descubrimiento de sistemas y

servicios de red.

scalpel (https://github.com/sleuthkit/scalpel)

Herramienta para recuperar archivos borrados a partir del análisis del espacio en disco no
usado. Basado inicialmente en “foremost” tiene un uso más eficiente al ser más rápido y

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 6/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

generar menos “falsos positivos”.        .

tcpflow (https://github.com/simsong/tcpflow)

Herramienta que permite el análisis de conexiones tcp. Especialmente indicado cuando el

volumen de información a analizar es muy grande.

Sleuth Kit (+Autopsy) (http://www.sleuthkit.org/)

Conjunto de herramientas forenses que permite el análisis forense de diferentes sistemas

de archivos.

volatility (https://code.google.com/p/volatility/)

Framework multiplataforma que permite en análisis de volcados de memoria.

wireshark (http://www.wireshark.org)

Completo analizador de red.

xplico (http://www.xplico.org/)

Herramienta forense que permite realizar análisis forense de aplicaciones de internet a

partir de tráfico de red capturado.

Twittear

ARCHIVADA EN: BLOG, PERITAJES, TECNOLOGÍA

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 7/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal

Autor: Javier Tobal

Licencia: Reconocimiento-CompartirIgual

Uso cookies propias y de terceros. Si sigues

navegando esta web es porque aceptas su uso.
Más información aquí.

Copyright: Javier Tobal.

http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 8/8