miércoles, 2 de noviembre de 2011

Distribucion Forense DEFT

(Digital Evidence & Forensic Toolkit) es una distribución Live CD (booteable desde el CD) basada en Ubuntu con kernel 2.6.35, muy fácil de usar, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware.
DEFT 1 DEFT (Digital Evidence & Forensic Toolkit)
DEFT es una de las distribuciones de análisis que más han avanzado en estos últimos años (puedes verlo tú mismo desde la entrada que creamos cuando solo estaba en su versión 3), no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DEFT Extra.
DEFT (Digital Evidence & Forensic Toolkit) está dividida en dos, su entorno y herramientas booteables que recogen lo mejor del software libre para el análisis forense y DEFT Extra un conjunto de herramientas gratuitas para análisis forense en entornos Windows.
En DEFT podemos encontrar las siguientes herramientas para realizar Análisis Forense:
DEFT 3 DEFT (Digital Evidence & Forensic Toolkit)
  • sleuthkit 3.2.0, collection of UNIX-based command line tools that allow you to investigate a computer
  • autopsy 2.24, graphical interface to the command line digital investigation tools in The Sleuth Kit
  • DFF 0.8
  • dhash 2.0.1, multi hash tool
  • aff lib 3.6.4, advanced forensic format
  • disk utility 2.30.1, a partition manager tool
  • guymager 0.5.7, a fast and most user friendly forensic imager
  • dd rescue 1.14, copy data from one file or block device to another
  • dcfldd 1.3.4.1, copy data from one file or block device to another with more functions
  • dc3dd 7, patched version of GNU dd to include a number of features useful for computer forensics
  • Xmount 0.4.4, convert on-the-fly between multiple input and output hard disk image types
  • foremost 1.5.6, console program to recover files based on their headers, footers, and internal data structures
  • photorec 6.11, easy carving tool
  • mount manager 0.2.6, advanced and user friendly mount manager
  • scalpel 1.60, carving tool
  • wipe 0.21
  • hex dump, combined hex and ascii dump of any file
  • outguess 0.2 , a stegano tool
  • ophcrack 3.3.0, Windows password recovery
  • Xplico 0.6.1 DEFT edition, advanced network analyzer
  • Wireshark 1.2.11, network sniffer
  • ettercap 0.7.3, network sniffer
  • nmap 5.21, the best network scanner
  • dmraid, discover software RAID devices
  • testdisk 6.11, tool to recover damaged partitions
  • ghex, light gtk hex editor
  • vinetto 0.6, tool to examine Thumbs.db files
  • trID 2.02 DEFT edition, tool to identify file types from their binary signatures
  • readpst 0.6.41, a tools to read ms-Outlook pst files
  • chkrootkit, Checks for signs of rootkits on the local system
  • rkhunter 1.3.4, rootkit, backdoor, sniffer and exploit scanner
  • john 1.7.2, john the ripper password cracker
  • catfish, file search
  • galletta 1.0
  • pasco 1.0
  • md5sum, sha1sum, sha224sum, sha256sum, sha512sum
  • md5deep, sha1deep, sha256deep
  • skype log view, skype chat conversation viewer
  • Xnview, viewer graphics, picture and photo files
  • IE, Mozilla, Opera and Chrome cache viewer
  • IE, Mozilla, Opera and Chrome history viewer
  • Index.dat file analyzer
  • pdfcrack, cracking tool
  • fcrackzip, cracking tool
  • clam, antivirus 4.15
  • mc, UNIX file manager
Y en el DEFT extra contamos con el siguiente listado de herramientas para análisis de entornos Windows:
DEFT 2 DEFT (Digital Evidence & Forensic Toolkit)
  • WinAudit 2.28.2
  • MiTeC Windows Registry Recovery 1.5.1.0
  • Zeroview 1.0
  • FTK Imager 3
  • Nigilant32 0.1
  • Windows Forensic Toolchest 3.0.05
  • MoonSols Win32dd 1.0.2.20100417
  • MoonSols Win64dd 1.0.2.20100417
  • Windows File Analyzer 1.0
  • UltraSearch 1.40
  • Pre-Search xx.08
  • XnView 1.97.8
  • X-AgentRansackk 2010 (build 762)
  • Index.dat Analyzer 2.5
  • AccessEnum 1.2
  • Autoruns 10.03
  • DiskView 2.4
  • Filemon
  • Process eXPlorer 12.04
  • RAM Map 1.1
  • Regmon
  • Rootkit Revealer 1.71
  • VMMap 2.62
  • WinObj 2.15
  • AlternateStreamView 1.15
  • ChromeCacheView 1.25
  • CurrPorts x86 e x64 1.83
  • CurrProcess 1.13
  • FoldersReport 1.21
  • IE Cache View 1.32
  • IE Cookie View 1.74
  • IE History View 1.50
  • Inside Clipboard 1.11
  • Live Contacts View 1.07
  • Mozilla Cache View 1.30
  • Mozilla History View 1.25
  • MUI Cache View 1.01
  • MyEventView 1.37
  • MyLastSearch 1.44
  • Mozilla Cookie View 1.30
  • Opened File View 1.46
  • Opera Cache View 1.37
  • Outlook Attack View x86 e x64 1.35
  • Process Activity View x86 e x64 1.11
  • Recent File View 1.20
  • Regscanner x86, x64 e win98 1.82
  • ServiWin 1.40
  • SkypeLogView 1.15
  • SmartSniff x86 e x64 1.71
  • StartupRun 1.22
  • USBdeview x86 e x64 1.80
  • User Assist View 1.01
  • User Profile View 1.01
  • Video Cache View 1.78
  • WhatInStartup 1.25
  • WinPerfectView 1.10
  • Password Tool
  • ChromePass 1.10
  • Dialupass 3.10
  • IE PassView 1.20
  • LSA Secrets Dump x86 e x64 1.21
  • LSA Secrets View x86 e x64 1.21
  • Mail PassView 1.65
  • MessenPass 1.35
  • Network PassRecovery x86 e x64 1.30
  • Opera PassView 1.01
  • PasswordFOX 1.25
  • PC AnyPass 1.12
  • Protected Pass View 1.63
  • PST Password 1.12
  • Remote Desktop PassView 1.01
  • VNC PassView 1.02
  • Win9x Passview 1.1
  • WirelessKeyView x86 e x64 1.34
  • AViScreen Portable 3.2.2.0
  • Hoverdesk 0.8
  • File Restore Plus 3.0.1.811
  • WinVNC 3.3.3.2
  • TreeSizeFree 2.40
  • PCTime
  • LTFViewer 5.2
  • Sophos Anti-Rootkit 1.5.4
  • Terminal with tools command line
  • Spartakus 1.0
  • Testdisk 6.11.3
  • Photorec 6.11.3
Al ser un proyecto pensado inicialmente para enseñar análisis forense en la Universidad di Bologna, DEFT esta muy bien documentado, el único problema de esta documentación es que está totalmente en italiano, pero con muchas gráficas y fácilmente entendible (IT – manuale completoIT – manuale senza le appendici)
Como novedad en DEFT 6.1.1 version previa a la 7.0, han añadido una excelente herramienta que nos permite sacar una completa línea de tiempo, parseando los logs del sistema y ordenándolos para una fácil comprensión, esta herramienta se llama log2timeline y promete ahorrarnos mucho tiempo en la creación de nuestra línea de tiempo.

Descargar la última versión de DEFT

Mas Información:
Pagina oficial de DEFT (Digital Evidence & Forensic Toolkit)

Fuente:http://www.dragonjar.org/deft-digital-evidence-forensic-toolkit.xhtml

No hay comentarios:

Publicar un comentario