Análisis De Evidencia Digital Usando Kali Linux

En muchos casos se piensa en Kali Linux, es una de las distribuciones Linux más
populares disponibles para los profesionales de la seguridad. Contiene todo el
paquete sólido de programas que se pueden usar para realizar una serie de
operaciones basadas en seguridad.
La ciencia forense se está volviendo cada vez más importante en la era digital
actual, donde muchos delitos se cometen utilizando la tecnología digital, tener una
comprensión de la ciencia forense puede aumentar en gran medida la posibilidad
de asegurarse de que los delincuentes no salgan impunes de un delito.
Autopsy.
Una herramienta utilizada por los militares, las policías y las entidades cuando llega
el momento de realizar operaciones forenses. Este paquete es probablemente uno
de los más robustos disponibles a través de código abierto, combina las
funcionalidades de muchos otros paquetes más pequeños que están más
enfocados en su enfoque en una aplicación ordenada con una interfaz de usuario
basada en el navegador web. Se usa para investigar imágenes de disco. Cuando
hace clic en Autopsy, inicia el servicio y se puede acceder a su interfaz de usuario
en el navegador web en http://localhost:9999/autopsy. Brinda al usuario una gama
completa de opciones necesarias para crear un nuevo archivo de caso: Nombre del
caso, Descripción, Nombre del investigador, Nombre de host, Huso horario del host,
etc.
Sus funcionalidades incluyen: análisis de la línea de tiempo, búsqueda de palabras
clave, artefactos web, filtrado hash, talla de datos, multimedia e indicadores de
compromiso. Acepta imágenes de disco en formato RAW o E01 y genera informes
en HTML, XLS y archivo de cuerpo dependiendo de lo que se requiere para un caso
particular.
Su robustez es lo que lo convierte en una gran herramienta, ya sea gestión de casos,
análisis o informes, esta herramienta lo tiene cubierto.
Binwalk
Esta herramienta se utiliza al tratar con imágenes binarias, tiene la capacidad de
encontrar archivos incrustados y códigos ejecutables mediante la exploración del
archivo de imagen. Es una herramienta muy poderosa para aquellos que saben lo
que están haciendo, si se usa correctamente, se puede usar para encontrar
información confidencial escondida en las imágenes de firmware que pueden usarse
para descubrir un truco o para encontrar información que explotar.
Esta herramienta está escrita en python y usa la biblioteca libmagic, lo que la hace
perfecta para usar con firmas mágicas creadas para la utilidad de archivos Unix.
Para facilitar las cosas a los investigadores, contiene un archivo de firma mágica,
comúnmente encontradas en el firmware, lo que facilita detectar anomalías.

Bulk Extractor
Esta es una herramienta muy interesante, cuando un investigador busca extraer
cierto tipo de datos del archivo de evidencia digital, esta herramienta puede descifrar
direcciones de correo electrónico, URL, números de tarjetas de pago, etc. Esta es
una herramienta que funciona en directorios, archivos y discos imágenes. Los datos
pueden estar parcialmente dañados o pueden ser comprimidos, esta herramienta
encontrará su camino dentro de ella.
La herramienta viene con características que ayudan a crear un patrón en los datos
que se encuentran repetidamente, como URL, ID de correo electrónico y más, y los
presenta en un formato de histograma. Tiene una característica por la cual crea una
lista de palabras a partir de los datos encontrados, esto puede ayudar a descifrar
las contraseñas de los archivos cifrados.

Chkrootkit
Este programa se usa principalmente en una configuración de arranque en vivo. Se
usa para verificar localmente el host en busca de rootkits instalados. Es útil para
tratar de fortalecer un punto final o asegurarse de que un hacker no haya
comprometido un sistema.
Tiene la capacidad de detectar binarios del sistema para la modificación del rootkit,
eliminaciones del último registro, reemplazos de cadenas sucias y rápidas y
eliminaciones de Utemp. Esto es solo una muestra de lo que puede hacer, el
paquete parece simple a primera vista, pero para un investigador forense, sus
capacidades son invaluables.

Foremost
¿Archivos eliminados que podrían ayudar a resolver un incidente de datos? No hay
problema, Foremost es un paquete de código abierto fácil de usar que puede extraer
datos de discos formateados. Es posible que el nombre del archivo en sí no se
recupere, pero los datos que contiene pueden ser tallados.
Foremost fue escrito por agentes especiales de la Fuerza Aérea de los Estados
Unidos. Puede hacer archivos haciendo referencia a una lista de encabezados y
pies de página, incluso si se pierde la información del directorio, esto hace que la
recuperación sea rápida y confiable.

Galleta
Al seguir un rastro de cookies, esta herramienta las analizará en un formato que se
puede exportar a un programa de hoja de cálculo.
Entender las cookies puede ser un hueso duro, especialmente si las cookies pueden
ser evidencia de un cibercrimen que se cometió, este programa puede ayudar dando
la capacidad de estructurar los datos en una mejor forma y permitiéndole ejecutarlos
a través de un análisis software, la mayoría de los cuales generalmente requieren
que los datos estén en alguna forma de hoja de cálculo.

Hashdeep
Este programa es imprescindible cuando se trata de hashes. Sus valores
predeterminados se centran en MD5 y SHA-256. Pueden ser archivos existentes
que se hayan movido en un conjunto o archivos nuevos colocados en un conjunto,
archivos faltantes o archivos coincidentes, Hashdeep puede trabajar con todas
estas condiciones y proporcionar informes que puedan analizarse detenidamente;
es muy útil para realizar auditorías.
Una de sus mayores fortalezas es la realización de cálculos hash recursivos con
múltiples algoritmos, que es integral cuando el tiempo es esencial.

Volafox
Esta es una herramienta de análisis de memoria que se ha escrito en Python, está
enfocada hacia la memoria forense para MAC OS X. Funciona en el marco Intel x86
y IA-32e. Si está tratando de encontrar malware o cualquier otro programa malicioso
que haya estado o esté residiendo en la memoria del sistema, este es el camino a
seguir.
Volatility
Probablemente uno de los marcos más populares cuando se trata de memoria
forense. Esta es una herramienta basada en Python que permite a los
investigadores extraer datos digitales de muestras de memoria volátil (RAM). Es
compatible para ser utilizado con la mayoría de las variantes de ventanas de 64 y
32 bits, sabores selectivos de las distribuciones de Linux, incluido Android. Acepta
dump de memoria en diversas formas, ya sea formato sin formato, dump de
emergencia, archivos de hibernación o instantáneas de VM, puede dar una idea
clara del estado de tiempo de ejecución de la máquina, esto se puede hacer
independientemente de la investigación de los hosts.
Aquí hay algo que considerar, los archivos descifrados y las contraseñas se
almacenan en la RAM, y si están disponibles, la investigación de archivos que
podrían estar cifrados en el disco duro puede ser mucho más fácil y el tiempo total
de la investigación puede reducirse considerablemente.