Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Herramientas LINUX para Análisis Forense - Javier Tobal
Herramientas LINUX para Análisis Forense - Javier Tobal
SERVICIOS CARA B
Esta entrada completa una entrada anterior: LINUX como herramienta de análisis forense
Recojo en esta entrada, una lista de herramientas LINUX que, como perito judicial
informático, utilizo a menudo. Mi experiencia es que la mayoría de los peritos usamos LINUX
cuando tenemos que procesar evidencias digitales. Aunque existen herramientas similares
en WINDOWS o IOS, el uso de LINUX tiene ventajas para el perito que, a veces, van más allá
del precio o la posibilidad de personalizar los desarrollos. Creo que casi todos los
peritos utilizamos LINUX como el sistema desde el que extraer y analizar las evidencias
objeto de la pericia.
LINUX, por supuesto, puede usarse como herramienta para analizar evidencias que
procedan de otro sistema operativo. Por ejemplo, podemos usar LINUX para analizar una
imagen de un disco duro procedente de un sistema WINDOWS o de un dispositivo móvil.
http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 1/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal
En el caso de las herramientas usadas para análisis forense, es posible (y habitual) que el
perito deba hacer frente a cuestiones sobre la idoneidad del uso de herramientas “open
source” frente a herramientas comerciales.
http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 2/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal
DISTRIBUCIONES FORENSES
Una distribución forense es una distribución LINUX especializada que contienen
herramientas de análisis forense. La principal ventaja de utilizar una de estas distribuciones
es que permiten disponer de forma autónoma tanto del sistema operativo como de las
aplicaciones necesarias para ejecutar el análisis forense.
Distribución genérica con herramientas forenses que destaca por disponer de múltiples
configuraciones que se adaptan a muchos entornos diferentes además de por sus
prestaciones y capacidad de gestión de recursos.
CAINE (http://www.caine-live.net/)
Seguramente la distribución forense más fácil de utilizar y una de las más populares.
DEFT (http://www.deftlinux.net/)
HELIX (http://www.e-fense.com/)
http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 3/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal
KALI (https://www.kali.org/)
SANTOKU (https://santoku-linux.com/)
dd (http://linux.die.net/man/1/dd)
hacer imágenes de discos copiando a bajo nivel sector por sector el contenido del
mismo,
borrar de forma segura un sistema de archivos (wipe).
http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 4/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal
fdisk (http://linux.die.net/man/8/fdisk)
Herramienta para ver y manipular las particiones de los discos conectados al sistema.
netcat (http://nc110.sourceforge.net/)
Herramienta que permite transmitir flujos de información entre sistemas conectados en red.
Especialmente útil cuando se necesita extraer información de un sistema en ejecución sin
alterar el mismo.
sha256sum (http://linux.die.net/man/1/sha256sum)
Permite calcular códigos hash usando el algoritmo SHA-2 y bloques resumen de 256 bits.
Este algoritmo es preferido respecto a otros algoritmos como MD5SUM o SHA-1 (160 bits de
digest).
strings (http://linux.die.net/man/1/strings)
tcpdump (http://www.tcpdump.org/manpages/tcpdump.1.html)
Herramienta de análisis de red por defecto de sistemas LINUX. Permite capturar el tráfico
TCP que transita por cualquiera de los interfaces de red del sistema.
AIR (http://air-imager.sourceforge.net/)
Interfaz gráfico para las herramientas de línea de comando “dd”/”dcfldd” que permite crear
imágenes forenses de sistemas de archivos.
dc3dd (http://sourceforge.net/projects/dc3dd/)
Versión del comando estándar “dd” que incluye algunas funciones interesantes como el
cálculo de hash, barras de progreso y verificación mejorada.
dcfldd (http://dcfldd.sourceforge.net/)
Versión del comando estándar “dd” que incluye algunas funciones interesantes como el
cálculo de hash. Destaca por las prestaciones a la hora de realizar imágenes.
foremost (http://foremost.sourceforge.net/)
Herramienta para recuperar archivos borrados a partir del análisis del espacio en disco no
usado.
guymager (http://guymager.sourceforge.net/)
log2timeline (https://github.com/log2timeline/plaso)
Herramienta que permite reconstruir líneas de tiempo a partir de ficheros de registro (logs)
del sistema.
kismet (http://www.kismetwireless.net/)
nmap (http://nmap.org)
scalpel (https://github.com/sleuthkit/scalpel)
Herramienta para recuperar archivos borrados a partir del análisis del espacio en disco no
usado. Basado inicialmente en “foremost” tiene un uso más eficiente al ser más rápido y
http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 6/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal
tcpflow (https://github.com/simsong/tcpflow)
volatility (https://code.google.com/p/volatility/)
wireshark (http://www.wireshark.org)
xplico (http://www.xplico.org/)
Twittear
http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 7/8
16/10/2018 Herramientas LINUX para análisis forense – Javier Tobal
http://www.javiertobal.com/herramientas-linux-para-analisis-forense-detalle/ 8/8