Computación Forense

Suites de Cómputo Forense

Suites comerciales vs open-source, EnCase, Forensic Explorer,

Autopsy, FTK, OSForensics

www.KarinaAstudillo.com
 ¿Qué comprende
una suite forense?
La suite forense ideal debe proveer:
• Manejo de casos e imágenes forenses
• Soporte para montar y procesar los formatos de imágenes forenses más populares
• Soporte para montar y procesar volúmenes RAID
• Incluir herramientas para adquisición de evidencia
• Soporte para verificación de imágenes forenses y archivos individuales
• Incluir herramientas de “triage”, extracción de metadata y escarbado forense
• Incluir herramientas para expansión de formatos comprimidos
• Proveer opciones de indexado y búsqueda avanzada de información
• Proveer plugins para montar particiones cifradas y descifrar archivos individuales
• Incluir visores de archivos para los formatos más populares
• Permitir bootear desde la imagen forense sin alterar la evidencia
• Incluir herramientas para procesar el registro de Windows
• Incluir herramientas para procesar correos electrónicos
www.KarinaAstudillo.com
 Distros Linux para
Cómputo Forense

This images by Unknown Author are licensed under CC BY-SA-NC

www.KarinaAstudillo.com
 Suites Forenses
Open-Source

www.KarinaAstudillo.com
 Suites Forenses
Comerciales

www.KarinaAstudillo.com
 • Instalación sencilla bajo Windows (versión browser para Linux)
• Flujo intuitivo y automatizado
• Soporta discos duros y smartphones
• Extrae artefactos desde web browsers
• MD5 hash lookup
• Búsqueda indexada de palabras claves
• Escarbado de archivos borrados
• Extracción de datos EXIF desde imágenes JPEG
• Análisis de línea de tiempo para todos los eventos
• Standard Android database parsing
• Detección de extension mismatch
• Galería de imágenes para revisión
• Extracción de mensajes de correo electrónico
• Colaboración basada en red

www.KarinaAstudillo.com
 • Instalación sencilla bajo Windows y Linux
• Interfaz gráfica amigable
• Vista clásica tipo árbol de dispositivos y
marcadores
• Soporte para formatos de imágenes populares
• Integrado en diversas distros Linux como DEFT
• Puede correr batch scripts de Python
• Incluye opciones de indexado y búsqueda de
palabras claves
• No ha sido actualizado desde 2010 *

www.KarinaAstudillo.com
 • Granularidad en la adquisición de imágenes
• Capacidad de obtener Archivos de Evidencia Lógica
• Verificación de imágenes
• Automatización mediante EnScript
• Filtrado y condiciones, combinación de filtros
• Extracción de información desde AD
• Análisis de hardware (datos desde el registro)
• Recuperación de particiones NTFS y FAT
• Recuperación de archivos borrados
• Parser de logs de Windows y de enlaces
• Extracción de archivos compuestos
• Análisis de firmas y hashes
• Visor integrado (más de 400 formatos de archivos)
• Análisis mediante línea de tiempo
• Bookmarks, reportería automática
• Investigación de correo e Internet
www.KarinaAstudillo.com
 • Incluye herramienta para adquirir imágenes
• Soporte para formatos populares de imágenes forenses
• Indexación y búsqueda rápida
• Recuperación de artefactos móviles, de Internet y correo
• Identificación de actividad reciente y/o sospechosa
• Análisis mediante línea de tiempo
• Visor integrado de streams, hex, texto, imágenes y
metadata
• Visor de correo electrónico integrado
• Recuperación de claves de navegadores, descifrado de
documentos de Office
• Descubre y revela áreas escondidas de un disco duro
• Exploración de volumen shadow copies
• Navegador de SQLite, ESEDB viewer, prefetch viewer, plist
viewer, $UsnJrnl viewer
• Manejo de casos y generación de reportes en HTML
• Versión para instalar en Windows y booteable desde USB
www.KarinaAstudillo.com
 • Administración de casos
• Soporte para formatos de imágenes populares
• Incluye capacidad para adquisición de imágenes
• Opción para agregar evidencia remota
• Indexado, búsqueda y filtrado
• Uso de etiquetas (bookmarks)
• Incluye módulos para descifrado de particiones y archivos
• Verificación de imágenes y archivos
• Exportación selectiva de información y archivos
• Análisis de malware con Cerberus
• Visor de archivos populares
• Examinación de gráficos, videos, correo y artefactos de
Internet
• Generación de reportes

www.KarinaAstudillo.com

• Incluye herramienta para adquirir y montar imágenes, Live
Boot
• Soporte para 17 formatos de imágenes forenses, incluido
RAID
• Indexación y búsqueda rápida, actividad reciente
• Recuperación de artefactos móviles, chats, navegación y
correo, generación de línea de tiempo
• Visor de disco, hex, texto, info, bookmark, byte plot, display,
filesystem record, imágenes, metadata, file extent
www.KarinaAstudillo.com
• Visor de correo electrónico integrado
• Soporte para cifrado Bitlocker y FileVault
• Procesamiento inicial de evidencia
automático
• Network servlet para network forensics
• Exploración de volumen shadow copies
• Navegador de SQLite, prefetch viewer,
Windows Registry
• Manejo de casos y generación de
reportes en Word y otros formatos
• Análisis de firmas de más de 300 tipos de
archivos
• Escarbado de archivos borrados
• Verificación: CRC, MD5, SHA1, SHA256,
Fuzzy, Differential, PhotoDNA
• Expansión a través de Delphi scripting
• Análisis de metadata, GeoTag, Google
Earth, registry análisis, video análisis
Forensic Dump Memory Tools Otras herramientas
forenses

www.KarinaAstudillo.com
Live Memory Analyzer Tools Otras herramientas
forenses

www.KarinaAstudillo.com
Network Forensic Tools Otras herramientas
forenses

Tenable SC Virtual Appliance

www.KarinaAstudillo.com
IoT and Mobile Forensics Otras herramientas
forenses

www.KarinaAstudillo.com
 ¡Gracias!

www.KarinaAstudillo.com