*****BACKTRACK 5***** -Foren sics*Anti Virus Forensic Tools ch root it r hunter *Digital Anti Forensics Install truecrypt *Digital

Forensics hexedit *Forensic Analysis Tools bul _extractor evtparse exiftool missidentify mor pref PTK readpst regloo up stegdetect vinetto *Forensic Carving Tools fatbac foremost magicrescue recoverjpeg safecopy scalpel scrounge-ntfs testdis *Forensic Hashing Tools hashdeep md5deep sha1deep sha256deep tigerdeep whirlpooldeep *Forensic Imaging Tools air dc3dd ddrescue ewfaquire *Forensic Suites PTK Setup Autopsy Sleuth it *Networ Forensics Driftnet p0f tcpreplay Wireshar Xplico *Password Forensics Tools CmosPwd fcrac zip samdump

*PDF Forensic Tools pdfid pdf-parser peepdf *RAM Forensics Tools pdfboo pdgmail PTK Volatility *Anti Virus Forensic Tools ch root it ch root it es una utilidad que va a verificar si hay signos de que un dispositiv o est infectado con un root it. Se ejecuta en Linux, FreeBSD, y las versiones de OSX. Utiliza Utlitities estndar, como aw , grep, netstat, cortadas, eco, y ms con el fin de detectar firmas que sugieren que los root its. El uso estndar de ch root it debe contener una ruta alternativa para los binarios de confianza (no confan en los binarios en una mquina que va a escanear), junto c on la ruta al directorio que desea escanear. Ejemplo de uso: ch root it -p [path-to-trusted-binaries] -r [root-path-to-scan] ch root it-p [ruta-al-de confianza-binarios]-r [root-path-a-scan ] r hunter r hunter es otra utilidad que se utiliza para verificar si hay signos de root it s en sistemas basados ??en Unix. Por lo general, tendr que ejecutar la exploracin en contra de un sistema de archivos montado, usando un juego de confianza de los binarios. En el siguiente ejemplo, la opcin-s establece de modo que al pulsar u na tecla, no se requiere despus de cada prueba.

*Digital Anti Forensics Install truecrypt Este script se usa para instalar TrueCrypt, software que se utiliza para crear a rchivos encriptados utilizando claves de encriptacin diferentes. Contiene caracte rsticas tales como las particiones ocultas dentro del archivo de encriptacin, as co mo la capacidad de utilizar los archivos y las contraseas en texto como claves pa ra el cifrado de archivos. Mire aqu para una mayor profundidad: -Tutorial Truecrypt: TrueCrypt es un programa que se utiliza para proporcionar seguro de encriptacin d e archivos, sin embargo, es mucho ms seguro que eso! TrueCrypt almacena los archi vos cifrados en un solo archivo ms grande, con el tamao no es proporcional a los a rchivo (s) en su interior (excepto que el cifrado de archivos debe ser mayor). S in conocer la clave, es casi imposible de descifrar el archivo. La mejor parte? Se pueden tener varias "divisiones" dentro de la encriptacin de archivos, cada un o con un directorio independiente de los archivos. Por lo tanto, si alguien desc

Ejemplo de uso: r hunter -c s

ubre una clave, que todava no tienen acceso a todos los archivos ocultos! Si bien no es el camino follwing esteganografa oculta, es un mtodo muy seguro de mantener el secreto de los datos. Muy bien, as que aqu est cmo usarlo. Paso 1: Descargue e instale 1. Puede descargar TrueCrypt desde aqu> http://www.truecrypt.org/downloads 2. Slo tiene que ejecutar el instalador y se debe instalar el programa con facili dad. Paso 2: Crear un volumen cifrado Cmo utilizar TrueCrypt para cifrar un archivo. Muestro cmo utilizar algunas de las caractersticas interesantes TrueCrypt tiene para ofrecer. 1. Haga clic en "Crear volumen" 2. Seleccione "Crear un contenedor de archivos cifrados". 3. Usted tiene dos opciones. El primero es un simple contenedor, de una sola par ticin con una llave. La segunda opcin es como tener dos recipientes en uno, y si a lguien encuentra la clave para uno, que todava no puede conseguir en la otra. En este caso, voy a seleccionar la segunda opcin ya que es ms seguro. 4. Elegir dnde colocar el archivo que se va a crear. 5. A continuacin, seleccione el sistema de cifrado y el algoritmo de hash. Usted tiene varios para elegir, aunque por lo general seguir con AES256. Es muy poco p robable que alguna de las cifras se muestran igual (la fuerza bruta es muy impro bable, ya pesar de las fallas cifra es poco probable, siguen siendo un peligro). 6. Elegir el tamao que desea que el archivo contenedor para ser. El tamao mnimo es de 340 KB, aunque yo suelo usar 50 MB, ya que es lo suficientemente grande como para llevar a muchos archivos, pero no dar demasiada informacin de distancia basa do en el tamao del archivo. Si se lo puede permitir y la necesidad de una mayor s eguridad, lo convierten en un archivo ms grande. 7. Seleccione la clave. Aqu, usted puede configurar su contrasea. Sin embargo, otr a caracterstica interesante es la idea de archivos clave. Archivos de claves son simplemente un archivo o una serie de archivos de su eleccin que puede actuar com o una contrasea. Sin embargo, si pierde el archivo de clave, el beso de los conte nidos de la despedida TrueCrypt contenedor. Yo dira que seguir con una contrasea a menos que sea) Paranoid o b) muy, muy en la seguridad a toda costa. 8. Mover el ratn! Esto crea la entropa del sistema, o el azar, que fortalecer su nu evo volumen. Ahora, su volumen de contenedores, o exterior est terminado. Si ha o ptado por tener un volumen oculto, hay unos cuantos pasos ms. 9. Seleccione la clave y el algoritmo hash de nuevo. 10. Elija el tamao del volumen oculto. No puede ser mayor que el volumen exterior , y se necesita una poca capacidad de maniobra. TrueCrypt te dir el tamao mximo. 11. Elegir otra clave. Asegrese de que sta es diferente de la utilizada para el vo lumen exterior. 12. Seleccione el tipo de volumen. Dado que el archivo va a ser montado como un disco, es necesario darle un tipo de particin. FAT funcionara mejor, ya que Window s le gusta volmenes FAT. Un volumen FAT o cualquiera de los volmenes * ext funcion ar para Linux. 13. Crear ms entropa! Este se utiliza en la fabricacin del volumen interior. Despus de esto, el volumen debera estar todo listo y dispuesto a ir. Paso 3: Agregar archivos y acceder a tu volumen cifrado 1. Seleccione el volumen que desee descifrar, y la prensa "el monte" 2. Introduzca la clave que hizo el archivo con extensin. Si desea acceder al volu men oculto, que tendr que dar una contrasea diferente que si usted quiere tener ac ceso al volumen exterior. 3. Haga doble clic en el volumen montado, y se puede tratar como una unidad USB! Arrastrar y soltar los archivos que desea ocultar en ella. Cuando hayas termina

do, vuelve a TrueCrypt y pulse el botn "Desmontar" para cifrar todo. Eso es todo! Disfrute de la tranquilidad de saber que sus archivos estn a salvo! Pagina web> http://technology-flow.com/articles/truecrypt/ *Digital Forensics hexedit HexEdit es un programa que le da la vista hexadecimal y ASCII. Se mo un archivo. Incluye construir editar y analizar los archivos, icas, cortar y pegar, cambiar de cs. al usuario la posibilidad de ver un archivo en ofrece la posibilidad de leer un dispositivo co en atajos de teclado para que sea rpido y fcil de incluyendo saltar a posiciones de memoria especf vista, los modos y sintaxis similar a la de ema

Ejemplo de uso: hexedit [filename] hexedit [archivo] *Forensic Analysis Tools bul _extractor bul _extractor es una utilidad que analiza varios tipos de almacenamiento de inf ormacin (archivos, carpetas) y enva la informacin que encuentra en ellos. Lo que se para a bul _extractor de otras herramientas similares es su velocidad. bul _extr actor no observar las estructuras del sistema de archivos en la entrada, por lo que es capaz de procesar el anlisis ms rpido, y por lo tanto, ms a fondo. Esta infor macin las herramientas de las salidas encontradas, como ccn.txt (nmeros de tarjeta s de crdito), email.txt (direcciones de correo electrnico), exif.txt (los datos EX IF ??de los archivos de los medios de comunicacin), url (URL encontradas), y much o ms. Ejemplo de uso: bul _extractor -o [output directory] input bul _extractor-o [directorio de salida] de entrada Tenga en cuenta que el directorio de salida no debe existir. evtparse.pl Esta utilidad tiene. Evt archivos, que contienen informacin de registro para su u so por el gerente del evento, y los analiza en algo til para los investigadores. En concreto, los vertederos de los acontecimientos como una lnea de tiempo. Ejemplo de uso: evtparse.pl -e [event_log] exiftool exiftool permite a los usuarios leer y escribir metadate (como EXIF) a los archi vos de imagen, vdeo y audio. Aqu estn algunos ejemplos de la pgina de manual exiftoo l: Ejemplo de uso:exiftool -a -u -g1 [image_file] Ejemplo de uso:exiftool -Comment= Introduzca un comentario entre comillas aqu [image _file] missidentify La herramienta missidentify encuentra Windows 32 archivos ejecutables. Se puede buscar de forma recursiva a travs de carpetas con el fin de encontrar, a continua cin, muestra los resultados de vuelta al usuario.

Uso estndar por lo general se incluyen la bsqueda de forma recursiva (-r options). Ejemplo de uso: missidentify -r [location] missidentify-r [lugar] mor .pl Un script en Perl que se tira de la informacin desde un archivo de base de datos de Mor . Mor archivos fueron utilizados previamente por los programas de Mozill a para almacenar informacin, como la historia de navegacin de Firefox, Thunderbird y contactos. Mientras que las nuevas versiones Firefox utilizar los archivos de base de datos SQLite para almacenar la informacin del navegador ahora, Thunderbi rd contina utilizando los archivos de Mor . El siguiente ejemplo utiliza mor .pl para crear un archivo HTML con la informacin de un archivo de entrada Mor . Ejemplo de uso: mor .pl html [Mor _file] pref.pl Este script de perl analiza el contenido de Windows XP y Windows Vista los archi vos de prefetch y directorios. La salida se puede configurar para valores separa dos por comas (. Csv) para facilitar la visualizacin. En el siguiente ejemplo, pr ef.pl se utiliza para analizar datos de una carpeta que contiene los archivos de prefetch de Windows Vista (por defecto es XP) y la salida como un archivo csv. Ejemplo de uso: pref.pl -v -f [prefetch_file] -c

PTK es una herramienta forense, al igual que el conjunto de herramientas SleuthK it. Contiene construido en mdulos con el fin de analizar prcticamente cualquier ti po de medio o tipo de archivo que se pueden encontrar en una investigacin forense . Es basado en un navegador, y el primero tiene que tener una base de datos MySQ L configurados. Deje todos los campos por defecto, y el uso de la contrasea "toor " para el usuario root en MySQL. Se debe configurar correctamente, momento en el que es necesario registrarse para la versin gratuita. Copie el archivo de licenc ia que recibi en el directorio de configuracin de PTK se encuentra en / var / www / pt / config. A continuacin, inicie una sesin como administrador o sea investigador, y abrir un nuevo caso. Complete la informacin necesaria, a continuacin, agregar un archivo de imagen para empezar. Incluso puede ser un vertedero de RAM. A partir de aqu, el construido en herramientas le ayudar a obtener informacin de la imagen (s).

readpst ReadPST es una utilidad de lnea de comandos que toma archivos de Microsoft Outloo PST, y los convierte en archivos de formato mbox. Los archivos mbox son ms fcile s de leer y manipular archivos de PST, por lo que permite a los investigadores p ara ver el correo electrnico que figura en los archivos PST. En el siguiente ejem plo, el correo electrnico que figura en el mail.pst archivo se convierte al forma to mbox y se coloca en el escritorio del usuario root. Ejemplo de uso: readpst -o /home/root/Des top/ mail.pst regloo up RegLoo Up es una utilidad que te mostrar el contenido de las entradas del registr o en los sistemas Windows basados ??en NT. Nos devuelve la informacin en un forma to de fcil lectura, que ayuda en la facilidad de bsqueda, e incluye varias opcione

pt

s de filtrado para que el resultado sea an ms til. El ejemplo siguiente salida de t odos los contenidos encontrados en el registro en [registro-archivo] ruta. Ejemplo de uso: regloo up -v [registry-file] regloo up-v [registro-archivo] stegdetect Stegdetect es un programa que tratar de detectar mensajes steganographic incrusta dos en los medios de comunicacin. Acepta imgenes JPEG, y buscar las firmas de vario s conocidos programas de esteganografa incorporacin con el fin de alertar al usuar io de que los datos pueden ser incorporados en el archivo. El ejemplo siguiente se ejecuta en stegdetect [archivo.jpg] y devuelve si los datos pueden estar ocul tos en la imagen. Ejemplo de uso: stegdetect -t jopi [file.jpg] stegdetect-t Jopi [archivo.jpg] vinetto Vinetto es una herramienta que se utiliza para analizar los archivos Thumbs.db. Archivos Thumbs.db contiene imgenes en miniatura y los metadatos de las imgenes al macenadas en sistemas de archivos, y muchas veces queda despus de la imagen origi nal ha sido borrado. Vinetto es capaz de tomar estos archivos thumbs.db y extrae r informacin acerca de las imgenes encontradas en el sistema de ellos. Vinetto tiene varios modos, los dos ms tiles son el modo de primaria y el modo de sistema de archivos. Modo de primaria se thumbs.db archivos individuales y los a naliza, mientras que el modo de sistema de archivos tiene una imagen de sistema de ficheros completo y busca y analiza los archivos thumbs.db contenida en la im agen. El primer ejemplo muestra el modo de primaria bsica, mientras que el segund o muestra el modo de primaria con un informe HTML y las imgenes en miniatura escr iben en un directorio de su eleccin. Ejemplo de uso: vinetto [thumbs.db file] Ejemplo de uso: vinetto -H [directory to write HTML] -o [directory to write thum bnails] [thumbs.db file] Vinetto-H [directorio para escribir HTML]-o [directorio para esc ribir imgenes en miniatura] [thumbs.db archivo] *Forensic Carving Tools

Fatbac es una herramienta que se utiliza para recuperar archivos borrados de si stemas de archivos FAT. Fatbac a leer una imagen de un sistema de archivos FAT, y salidas de todos los archivos borrados en un directorio determinado por el us uario. Esto es til en las investigaciones con las mquinas de Windows, ya que mucho s mayores instalaciones de Windows utilizan algn tipo de sistema de archivos FAT (FAT16, FAT32). Muchas unidades flash USB emplean en la actualidad algn tipo de s istema de archivos FAT. El siguiente ejemplo toma una imagen del sistema de arch ivos FAT, las salidas del registro creado por el tocino en un directorio determi nado por el usuario, escribe Muestra un mensaje a la pantalla del terminal, las salidas archivos borrados a un directorio determinado por el usuario, y se recup era automticamente todos los archivos han sido borrados . Ejemplo de uso: fatbac [image] -l [logfile to output] -v -o [output directory] -a tocino [imagen]-l [log de ??salida]-v-o [directorio de salida]-a

fatbac

foremost La principal es una reconocida utilidad que se especializa en el tallado de arch ivo. Toma los archivos de imagen, tales como los creados por dd, y la bsqueda de cabeceras de los archivos con el fin de recuperar los archivos. Devuelve la info rmacin al usuario por la salida de los archivos encontrados en un directorio pred eterminado establecido por el usuario. El siguiente ejemplo produce imgenes JPEG en image.img (un archivo de imagen creado por dd) y todo lo que las salidas se e ncuentran en / root / Des top / salida /. Ejemplo de uso: foremost -v -t jpeg -o /root/Des top/output/ -i image.img todo-v-t jpeg-o / root / Des top / salida /-i image.img magicrescue Magic Rescue es un programa que busca una imagen de sistema de archivos de "nmero mgico" de bytes, y los intentos de recuperar los archivos que estos nmeros perten ecen a la magia. Nmeros mgicos son bsicamente varios bytes de datos que actan como u n identificador de archivo, dando informacin bsica como el tipo de archivo. El uso del ejemplo siguiente utiliza el JPEG JFIF "receta" (los dems se encuentran en / usr / local / share / magicrescue / recetas), es decir, busca los archivos JPEG basado en la cabecera JFIF. El directorio de salida es / root / Des top / salid a / y la imagen que se analiza en / dev/sdb1, aunque puede ser cualquier sistema de archivos o archivo de imagen. Ejemplo de uso: magicrescue -r jpeg-jfif -d /root/Des top/output/ /dev/sdb1 recoverjpeg RecoverJPEG es otra utilidad para recuperar las imgenes JPEG de un sistema de arc hivos. RecoverJPEG puede obtener informacin, ya sea como una particin (por ejemplo / dev/sda1) o un archivo de imagen, como los producidos por dd. El siguiente ej emplo se recuperan las imgenes JPEG en el archivo image.img. Ejemplo de uso: recoverjpeg image.img safecopy SafeCopy es un programa que permite recuperar los datos tanto como sea posible d esde un dispositivo daado, tal como un disco duro o unidad USB. A diferencia de o tros programas, como dd, un gato o cp, SafeCopy se especializa en dispositivos d aados. Otros programas que dejar de leer los datos de una vez a la zona daada se v e afectado, mientras que SafeCopy leer a un punto designado por el usuario, indep endientemente de las reas daadas. Esto se logra mediante la identificacin de las zo nas daadas, y saltando a su alrededor. Este ejemplo muestra cmo utilizar SafeCopy para recuperar los datos en / dev/sdb1, un dispositivo montado que otros program as UCH s como cp o dd fallar en. Genera los datos recuperados a / root / Des top / rescued_files: Ejemplo de uso: SafeCopy / dev/sdb1 / root / Des top / rescued_files scalpel Bistur es una utilidad de archivo conocidos talla que busca en una base de datos del encabezado del archivo de firmas conocidas y pie de pgina, y los intentos de forjar archivos de un archivo imagen de disco. Para comenzar a utilizar bistur, e l archivo scalpel.conf necesita editar para decir bistur que tipos de archivos qu e usted est buscando. Ejemplo de los archivos de configuracin se puede encontrar a qu> http://sandbox.dfrws.org/2008/Devin_Paden/dfrwsattachments/scalpel.conf Slo descomentar las lneas para cada tipo de archivo que est buscando. Este ejemplo

utiliza un archivo de configuracin llamado scalpel.conf, busca la imagen de disco image.img archivo, y los resultados de todos los archivos tallada a / root / De s top / scalpel_results / Ejemplo de uso: bistur c scalpel.conf image.img-o / root / Des top / scalpel_resu lts / scrounge-ntfs Gorronear-NTFS es una utilidad que se puede utilizar para recuperar informacin de una particin NTFS. Gorronear-NTFS utilizar la informacin proporcionada por el usua rio con el fin de reconstruir el rbol de archivos, que se coloca en otra particin. Este programa requiere que conozca el inicio y final de bloque del sistema de a rchivos, pero ofrece una pgina para ayudarle a adivinar la informacin de la partic in> http://thewalter.net/stef/software/scrounge/guessing.html El siguiente ejemplo utiliza un tamao de cluster de 8 (el ms comn, siempre mltiplos de 2), establece el directorio de salida a / root / Des top / salida /, lee dato s de / dev/sda1, comienza en el sector 63 y termina en el sector 81920000 , es d ecir, el disco en general tiene alrededor de 40 GB de espacio. Ejemplo de uso: scrounge -c 8 -o /root/Des top/output/ /dev/sdb1 63 81920000 gorronear-c 8-o / root / Des top / salida / / dev/sdb1 63 81920 000

TestDis es un programa que se especializa en la recuperacin de particiones perdi das del disco, y hacer discos de arranque. Tiene la capacidad para reconstruir l as tablas de particin, reconstruccin de los sectores de arranque, fijar la tabla m aestra de archivos (MFT), los archivos se recuperan, y mucho ms. El programa cont iene muchas caractersticas, por lo que en lugar de enviar un pequeo ejemplo de uso aqu, os dejo la Guia Paso a Paso > http://www.cgsecurity.org/wi i/TestDis _Step_ By_Step *Forensic Hashing Tools hashdeep Hashdeep es una utilidad que puede calcular los hashes de muchos archivos, busca recursivamente en directorios y los hashes de computacin para cada archivo encon trado. Tambin contiene caractersticas para comparar y digiere mensaje de auditora. Por defecto, se calcula el hash MD5 y SHA256 de los archivos, aunque otros tipos se pueden especificar. Disponible en los tipos de hash son MD5, SHA1, SHA256, T iger, y Whirlpool. El siguiente ejemplo genera hashes MD5 y SHA256 (lo mismo que por defecto no-c determinado) para los archivos en el directorio / root / Des t op / archivos / directorios. Ejemplo de uso: hashdeep-c md5, sha256 / root / Des top / files / md5deep md5deep es una herramienta utilizada para calcular y comparar mensaje MD5. El si guiente ejemplo crea de forma recursiva mensaje MD5 de los archivos en / root / Des top / Ejemplo de uso: md5deep / root / Des top / * sha1deep Al igual que md5deep, sha1deep se utiliza para comparar equipo y digiere mensaje

testdis

. Ofertas Sha1deep con SHA1 digiere. El uso es el mismo que md5deep, y el ejempl o siguiente se crea SHA1 resmenes de los archivos en / root / Des top / Ejemplo de uso: sha1deep / root / Des top / * sha256deep Al igual que md5deep, sha256deep se utiliza para comparar equipo y digiere mensa je. Ofertas Sha256deep con SHA256 digiere. El uso es el mismo que md5deep, y el ejemplo siguiente se crea SHA256 resmenes de los archivos en / root / Des top / Ejemplo de uso: sha256deep / root / Des top / * tigerdeep Al igual que md5deep, tigerdeep se utiliza para comparar equipo y digiere mensaj e. ofertas tigerdeep con tigre digiere. El uso es el mismo que md5deep, y el eje mplo siguiente se crea tigre resmenes de los archivos en / root / Des top / Ejemplo de uso: tigerdeep / root / Des top / * whirlpooldeep Al igual que md5deep, whirlpooldeep se utiliza para comparar equipo y digiere me nsaje. ofertas whirlpooldeep digiere con baera de hidromasaje. El uso es el mismo que md5deep, y el ejemplo siguiente se crea hidromasaje resmenes de los archivos en / root / Des top / Ejemplo de uso: whirlpooldeep / root / Des top / * *Forensic Imaging Tools air Imagen de AIR, o automtica y restauracin, es una utilidad para crear forense de ca lidad de imgenes de disco de las unidades de dispositivo. AIR s es una interfaz grf ica para dd/dc3dd, que es el programa que realmente se utiliza para crear la ima gen. En retroceso, la primera vez que seleccione el aire, se descarga y compilar los componentes necesarios para ejecutar el programa. A partir de aqu, la interf az grfica de usuario fcil de usar. dc3dd dc3dd es una versin alterada de dd, la utilidad que se utiliza para operar bajo l as funciones de disco de nivel. dc3dd contiene varias caractersticas que son de g ran utilidad para los forenses investiga, incluidas las caractersticas que ayudan a proteger el disco original que se copia. El siguiente ejemplo muestra cmo divi dir una imagen de disco de gran tamao en partes ms pequeas, lo cual es muy til cuand o se trata de archivos de imgenes que son demasiado grandes para ser trasladados con facilidad. Toma / dev / sda como archivo de entrada, calcula hashes de los a rchivos de nuevo individuo y el archivo de gran tamao original, se divide el arch ivo grande en pedazos de 2 GB con "000" como sufijo en el nombre del archivo, lo s registros de todos los datos a / root / escritorio / log.txt, y salidas de los archivos ms pequeos a / root / des top / imgenes Ejemplo de uso: dc3dd if=/dev/sda progress=on hashconv=after hash=md5,sha1 hashw indow=2GB splitformat=000 split=2GB log=/root/Des top/log.txt bs=512 iflag=direc t conv=noerror, sync of=/root/Des top/images dc3dd if = / dev / sda = progreso en hashconv = despus de hash = md5, sha1 hashwindow = 2GB splitformat = 000 = split 2GB log = / root / Des top

/ log.txt bs = 512 = iflag directa conv = noerror, sincronizacin de las imgenes = / root / Des top / ddrescue ddrescue es una herramienta que se utiliza para copiar datos de un archivo o un dispositivo a otro. En el caso de un dispositivo daado, trata de reconstruir las r eas daadas, a diferencia de dd, que slo tiene que rellenar las zonas daadas con cer os. ddrescue tambin se puede utilizar para combinar copias daadas de un archivo en conjunto, crean una nica copia del archivo con (esperemos) ningn dao. He aqu un eje mplo de ddrescue se utiliza, como se encuentra en su pgina web> http://www.gnu.or g/software/ddrescue/manual/ddrescue_manual.html En conjunto, estos comandos se utilizan para rescatar a un disco que contiene 3 particiones ext2, incluyendo el uso de un archivo de registro y e2fsc para comp robar los sistemas de archivos. Ejemplo Ejemplo Ejemplo Ejemplo Ejemplo de de de de de uso: uso: uso: uso: uso: ddrescue -f -n /dev/hda /dev/hdb logfile ddrescue -d -f -r3 /dev/hda /dev/hdb logfile fdis /dev/hdb e2fsc -v -f /dev/hdb1 e2fsc -v -f /dev/hdb2

ewfacquire ewfacquire es una herramienta utilizada para crear imgenes de disco en el formato de EWF. Imgenes EWF formato se utiliza en varios juegos de herramientas forenses , incluyendo la EnCase y FTK (Forensic Tool it). Incluye varios resmenes de mensa jes como MD5 y SHA-1. El siguiente ejemplo muestra ewfacquire crear una imagen d e / dev/sdb1, la creacin de un resumen del mensaje SHA1, y el registro de datos a / root / Des top / log.txt Ejemplo de uso: ewfacquire -d sha1 -l /root/Des top/log.txt /dev/sdb1 *Forensic Suites

PTK es una herramienta forense, al igual que el conjunto de herramientas SleuthK it. Contiene construido en mdulos con el fin de analizar prcticamente cualquier ti po de medio o tipo de archivo que se pueden encontrar en una investigacin forense . Es basado en un navegador, y el primero tiene que tener una base de datos MySQ L configurados. Deje todos los campos por defecto, y el uso de la contrasea "toor " para el usuario root en MySQL. Se debe configurar correctamente, momento en el que es necesario registrarse para la versin gratuita. Copie el archivo de licenc ia que recibi en el directorio de configuracin de PTK se encuentra en / var / www / pt / config. A continuacin, inicie una sesin como administrador o sea investigador, y abrir un nuevo caso. Complete la informacin necesaria, a continuacin, agregar un archivo de imagen para empezar. Incluso puede ser un vertedero de RAM. A partir de aqu, el construido en herramientas le ayudar a obtener informacin de la imagen (s). setup autopsy La autopsia es un GUI (interfaz web utiliza) para herramientas que se encuentran en la caja de herramientas forenses SleuthKit. La autopsia se especializa en el anlisis de imgenes de disco, y puede obtener informacin de stos mediante la bsqueda o las funciones de navegacin. Para ver un tutorial sobre cmo recuperar "eliminado" la informacin de un disco, un vistazo a este tutorial autopsia> http://technolog y-flow.com/articles/recover-deleted-data/

pt

sleuth it SleuthKit es una herramienta forense que contiene muchas utilidades que pueden s er utilizados en una investigacin forense digital. SleuthKit es el sucesor oficia l de las herramientas del forense (TCT). SleuthKit s mismo no es un programa, sin o que es el nombre dado a la coleccin de muchos programas. Algunas de estas utili dades se incluyen: ils, bl ls, fls, fsstat, ffind, mactime, dis _stat. El siguie nte ejemplo muestra cmo utilizar mactime con el fin de la lista recursivamente lo s archivos que se ha accedido desde 01/01/2011: Ejemplo de uso: mactime-y-R-d /1/1/2011

driftnet Driftnet es una utilidad de red que olfatea el trfico de imgenes y otros medios de comunicacin, y los muestra en una ventana X. Esto es muy til durante las investig aciones en los hbitos de los usuarios de Internet estn siendo monitoreados. En lug ar de todo el trfico sniffer con las utilidades, como Wireshar , con redes de der iva hace que sea ms fcil escoger las imgenes de forma automtica y los medios de comu nicacin y mostrar al usuario. En el siguiente ejemplo, usamos la wlan0 interfaz i nalmbrica en modo promiscuo para capturar el trfico, e instruir a redes de deriva sea ms explcito en su salida. Ejemplo de uso: driftnet -i wlan0 -v&nbsp p0f p0f es un identificador del lenguaje pasivo. p0f utiliza un technqiue toma de hu ellas dactilares que se ve en la estructura de los paquetes TCP / IP de la mquina con el fin de adivinar el sistema operativo y otras propiedades de la mquina. Lo que diferencia a p0f adems de los analizadores de otro host es que p0f es totalm ente pasivo. Todo el ejrcito tiene que hacer es conectarse a la misma red o poner se en contacto con otro host en la red. Los paquetes generados a travs de estas o peraciones son suficientes para dar p0f datos suficientes como para adivinar el sistema. Tenga en cuenta que se necesita un archivo que contiene las huellas dac tilares con el fin de identificar a los ejrcitos. En este ejemplo, se lee huellas dactilares de los / etc/p0f/p0f.fp y escucha a travs de wlan0 libpcap. Ejemplo de uso: p0f -f /etc/p0f/p0f.fp -i wlan0 tcpreplay tcpreplay es una suite de utilidades de red que puede tomar antes olfate (sniffed ) el trfico y la reproduccin de los paquetes en la red en vivo. Esto es a menudo u tilizado para las pruebas de los dispositivos de la red, como firewalls o de pre vencin de intrusiones / Sistemas de deteccin (IPS / IDS). La suite en s consiste en tcpprep, tcprewrite, tcpreplay, tcpreplay-edit, tcpbridge y tcpcapinfo. tcpprep: analizar los archivos de captura de paquetes para determinar cliente / servidor y crear caches para el uso de tcpreplay y tcprewrite tcprewrite: editar archivos de captura de paquetes en la capa 2 cabeceras tcpreplay: inyectar los archivos de captura de paquetes de nuevo en la red en vi vo tcpreplay-edit: reproducir y editar archivos en la red tcpbridge: puente entre dos secciones de una red, junto con tcprewrite tcpcapinfo: decodificar archivos RAW de captura de paquetes y depurarlos

Wireshar

*Networ

Forensics

Wireshar es el paquete famoso programa de captura y anlisis que se ha utilizado por miles de profesionales y aficionados. El programa permite a los usuarios esc uchar una interfaz de red con libpcap, y registra el trfico oli. Adems de capturar los datos, Wireshar ofrece un mtodo grfico sencillo para filtrar y analizar el trf ico. Esto incluye los siguientes TCP / IP cursos de agua, el filtrado de paquete s ARP o difusin, y virtualmente cualquier otra opcin de filtrado que se pueda imag inar. Xplico Xplico es una herramienta de anlisis forense (NFAT) que se especializa en la extr accin de datos de la aplicacin de los archivos de la captura de paquetes. A pesar de que incluye una funcin de trnsito en la captura en vivo, es el ms adecuado para anaylsis pcap. Xplico puede extraer de correo electrnico, HTTP, VoIP, FTP y otros datos directamente desde el archivo pcap, y la presenta al usuario como datos d e la aplicacin original. Por ejemplo, se puede reconstruir una imagen enviado a t ravs de FTP de la captura de paquetes de la sesin de FTP. En el siguiente ejemplo, usamos Xplico para decodificar la informacin de capture.pcap. Ejemplo de uso: xplico -m pcap -f capture.pcap *Password Forensics Tools CmosPwd CmosPwd es una galleta de la contrasea del BIOS. Con el apoyo de muchos modelos d iferentes de la BIOS, CmosPwd tiene diferentes mtodos de crac ing para cada tipo de BIOS. Desde una contrasea de BIOS que impide arrancar en ese equipo, se requie re algo de manipulacin fsica. Una vez que el aspecto de hardware de la forma ( htt p://www.cgsecurity.org/cmospwd.txt ) , el uso es muy sencillo. En el siguiente e jemplo,mataremos todos los CMOS juntos.

fcrac zip fcrac zip es una utilidad que se utiliza para romper la proteccin de contrasea arc hivo zip. Hay muchos crac ers Postal por ah, sin embargo, destaca fcrac zip en la velocidad y caractersticas, especialmente la opcin de la fuerza bruta. Es muy fcil de usar, y en los ejemplos siguientes, la usamos para romper un archivo comprim ido llamado crac .zip utilizando un mtodo de fuerza bruta y un ataque de dicciona rio basado en tomar las contraseas de passwords.txt. Ejemplo de uso: fcrac zip-b crac .zip Ejemplo de uso: fcrac zip-D-p passwords.txt crac .zip samdump Samdump es una utilidad que puede extraer los hashes de contraseas de los archivo s SAM. Archivos SAM son los archivos que se encuentran en sistemas basados ??en Windows que contienen las contraseas de los usuarios locales. Mediante el uso de samdump, puede recuperar los hashes de contraseas, y luego usarlos para el craque o con otro programa. En este ejemplo, recuperar los hash de un archivo exportado de SAM llamado sam.file. Ejemplo de uso: samdump sam.file *PDF Forensic Tools

Ejemplo de uso: cmospwd /

pdfid pdfid es una utilidad que puede extraer informacin til de un archivo PDF. En concr eto, los extractos de pdfid informacin de encabezado del ejemplo PDF como obj, en dobj, arroyo y otra informacin. Algunas brechas de seguridad PDF alterar esta inf ormacin, por lo que pdfid veces puede mostrar al usuario qu es exactamente lo que est sucediendo dentro del PDF. En este ejemplo, simplemente recoger informacin de un archivo PDF llamado archivo.pdf. Ejemplo de uso: pdfid.py file.pdf pdf-parser pdf-parser es un programa usado para mostrar informacin detallada acerca de un ar chivo PDF. Una caracterstica muy til es la capacidad de ejecutar un flujo de datos thorugh un filtro, como FlateDecode y ASCIIHexDecode. Estos filtros se utilizan a veces para ocultar cdigo en archivos PDF, lo que esta caracterstica puede ayuda r a exponer a los intentos de explotar. Adems de esto, pdf-analizador puede mostr ar los objetos individuales y los flujos de datos, as como proporcionar las estads ticas del documento PDF. En el siguiente ejemplo, usamos pdf-analizador para ofr ecer una visin general de los archivos PDF utilizando el archivo.pdf-stats opcin. Ejemplo de uso:pdf-parser.py peepdf peepdf es una utilidad muy completa que se utiliza para analizar y editar docume ntos PDF en el nivel de byte. Que ofrece el uso de lnea de comandos bsicos, sino q ue tambin ofrece una consola interactiva en profundidad. El uso de la lnea de coma ndos proporciona una visin ms bsica del archivo PDF, mientras que la consola intera ctiva proporciona las funciones ms potentes. En el primer ejemplo, se utiliza pee pdf ofrecer una visin general de archivo.pdf, mientras que la segunda muestra la forma de entrar en modo interactivo usando archivo.pdf. Ejemplo de uso: peepdf.py file.pdf Ejemplo de uso: peepdf.py -i file.pdf *RAM Forensics Tools pdfboo .py stats file.pdf nbsp;

Ejemplo de uso: pdfboo .py -f fboo strings pdgmail

Ejemplo de uso: pdgmail.py -f gmailstrings

pdgmail.py es una utilidad similar a cin de Faceboo de los depsitos de istema Windows, ejecute "pd-p [pid]> ntificacin de un navegador, y luego ile.dump> gmailstrings". Por ltimo, gmailstrings el comando strings.

pdfboo .py, pero en lugar de reunir informa proceso, que recoge informacin de Gmail. En un s file.dump" donde [pid] es el proceso de ide en un sistema Linux se ejecutan "cadenas-el f el uso pdgmail.py en el archivo resultante de

pdfboo .py es una utilidad que recoge informacin relativa a cado de proceso. En un sistema Windows, ejecute "pd-p [pid]> id] es el proceso de identificacin de un navegador, y luego e ejecutan "cadenas-el file.dump> fboo strings". Por ltimo, el archivo resultante de fboo strings el comando strings.

Faceboo desde un vol file.dump" donde [p en un sistema Linux s el uso pdfboo .py en

PTK PTK es una herramienta forense, al igual que el conjunto de herramientas SleuthK it. Contiene construido en mdulos con el fin de analizar prcticamente cualquier ti po de medio o tipo de archivo que se pueden encontrar en una investigacin forense . Es basado en un navegador, y el primero tiene que tener una base de datos MySQ L configurados. Deje todos los campos por defecto, y el uso de la contrasea "toor " para el usuario root en MySQL. Se debe configurar correctamente, momento en el que es necesario registrarse para la versin gratuita. Copie el archivo de licenc ia que recibi en el directorio de configuracin de PTK se encuentra en / var / www / pt / config. A continuacin, inicie una sesin como administrador o sea investigador, y abrir un nuevo caso. Complete la informacin necesaria, a continuacin, agregar un archivo de imagen para empezar. Incluso puede ser un vertedero de RAM. A partir de aqu, el construido en herramientas le ayudar a obtener informacin de la imagen (s).

Volatility es un marco escrito en Python que se especializa en el anlisis de RAM. El marco de la volatilidad puede analizar volcados de memoria permanente de cua lquier tipo de sistema, y puede proporcionar un conocimiento profundo de la situ acin del sistema mientras se estaba ejecutando. El marco de la volatilidad ha sid o probado en Windows, OS X, Linux, e incluso Cygwin. En el siguiente ejemplo, us amos la volatilidad en orden a la lista de procesos que se ejecutan en el sistem a, mientras que la RAM ram.img imagen fue tomada. Ejemplo de uso: volatility plist -f ram.img ***THE END*** Traducido x > ***LuM@r1323*** XD Pagina original > http://technology-flow.com/articles/bac trac -5-complete-tut/f orensics/#ddrescue Texto copiado y traducido con Traductor de Google. **NO ME AGO RENSPONSABLE DEL MAL USO DE CUALQUER PROGRAMA O INFORMACION ESCRITA MAS ARIBA NI PRETENDO PASARME POR EL AUTOR DELO MAS ARIBA ESCRITO ESO SOLO UNA COPIA TRADUCIDA DE UN A RTICULA DE UNA PAGINA WEB NI ESCRITO NI DIFUNDIDO POR MI.** Espero averles servido de ayda.Muchisimas gracias.

Volatility