- Paladin: distribuição Linux voltada para realizar imagens forense de disco
- Raptor: simplifica o processo de criar uma imagem de disco. Baseada no Ubuntu
- Helix3: distribuição linux voltada para forense computacional. Foi descontinuada em 2009
- Tapeworm (TASC Pre-processing Exploitation & Workflow Management system): máquina virtual de 64 bits baseada no Xubuntu que foi feita para automatizar o uso de algumas ferramentas livres. Algumas destas ferramentas são log2timeline, bulk_extractor, regripper, exiftool, etc
- TIM (Tableau IMager): Software de Imagem forense de disco gratuito, fabricado pela tableau (famosa empresa fabricante de bloqueadores de escrita), produz imagens forense no formato .E01, RAW (formato DD) e .DMG
Ferramentas para Forense em redes de computadores (Network Forensic Analysis Tool - NFAT) e Monitoramento de Redes:
- NetworkMiner: ferramenta voltada para análise forense em redes de computadores
- Chaosreader: busca vários tipos de arquivos em logs de redes
- Netwitness Investigator: versão free da famosa ferramenta para análise forense de rede
- Xplico: Ferramenta Open Source para análise forense de redes
- ngrep: Network Grep
- tcpflow: captura um fluxo de informações TCP e o armazena para poder ser feito depois uma análise dos protocolos
- p0f (Passive OS Fingerprinting): ferramenta para fingerprinting passivo de OS/rede
- tcpreplay: é uma suíte de ferramentas para editar o tráfego de rede capturado anteriormente por ferramentas, como tcpdump. O objetivo é testar uma variedade de dispositivos de rede, como switches, roteadores, firewall, IPS
- SiLK (System for Internet-Level Knowledge): coleção de ferramentas voltadas para análise de tráfego desenvolvida pela CERT NetSA cujo objetivo é facilitar a análise da segurança em redes de computadores de grande escala.
- OSSIM: Solução Open Source para SIEM
- OSSEC: HIDS Open Source que funciona também como uma ferramenta para SIEM
- Security Onion: Distribuição Linux específica para se trabalhar com vários IDS (Intrusion Detection System) e NSM (Network Security Monitoring). Baseada no Ubuntu, contém SNORT, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, etc
Hardware para Forense Computacional:
- Digital Intelligence
- ForensicPC
- ForensicComputers
- Silicon Forensics
- Data Duplication
- Mac Forensics Lab
Frameworks de análises forense:
- OSForensics: ferramenta de análise forense, feita primeiramente para rodar um sistema "vivo" (Live Forensics), porém, o perito pode montar a imagem como um volume e rodar a ferramenta contra a imagem montada. Lista das principais tarefas.
- DFF: ferramenta em python que trabalha com módulos. Para aprender a trabalhar com esta ferramenta é só seguir o blog e wiki
- DEFT: distribuição linux voltada para forense computacional
- Caine: distribuição linux, italiana, voltada para forense computacional.
- SIFT (Sans Investigative Forensic Toolkit): distribuição linux voltada para forense computacional, feita pelo SANS.
- VulnHub: Fornece material (várias VMs legalmente frágeis, vulneráveis e exploráveis) permitindo que qualquer pessoa possa ganhar prática "hands on" em segurança digital
Análise Forense de Memória / Dumps de Memória
- Volatility: framework em python que funciona através de plugins
- Mandiant Redline: nova ferramenta da empresa Mandiant que analisa um dump de memória, trabalhando inclusive com IOC
- FTK Imager: ferramenta da empresa AccessData que dentre várias outras coisas, realiza o dump de memória
- Win32dd: faz parte de uma toolkit chamada Moonsols Windows Memory Toolkit. A versão Community Edition é free.
- HBGary Free Tools: conjunto de várias ferramentas grátis da empresa HBGary.
Carving:
- Foremost: ferramenta para recuperar arquivos baseando-se em headers, footers e estrutura de dados internas.
- Scalpel: excelente ferramenta para recuperar arquivos com base nos headers e footers. Funciona independentemente do sistema de arquivos.
- Photorec: excelente ferramenta para recuperar fotos.
- Testdisk: ferramenta que foi inicialmente criada para recuperar partições com problemas.
- Bulk_Extractor: ferramenta desenvolvida pelo Simson Garfinkel. Foi feita para recuperar dados em massa.
Montando Imagens:
- FTK Imager: Ferramenta gratuita da empresa AccessData. Serve tanto para montar um arquivo de imagem como um volume adicional, como para realizar uma análise básica na imagem montada
- ImDisk: Faz o mesmo que a ferramenta FTK Imager. Também é gratuita
Excelentes ferramentas!
ResponderExcluirValeu. Obrigado!
ExcluirGostei das dicas.
ResponderExcluirValeu. Obrigado!
Excluiralgumas urls estão desatualizadas
ResponderExcluirCara, os links que não estiverem funcionando, dá uma pesquisada a mais no google. VocÊ vai acabar encontrando essas ferramentas em outros links
ExcluirBoa noite,
ResponderExcluirhá alguma ferramenta que consiga fazer análise forense em disco virtual que já foi apagado da máquina?
Opa, tudo bem Lailton?
ResponderExcluirOlha só: máquina virtual é um arquivo do computador. A máquina interpreta o disco virtual como se fosse um arquivo qualquer. Por exemplo: um disco virtual do vmware terá extensão .vmdk. Basta vc recuperar esse arquivo .vmdk do disco físico da sua máquina
Depois vc pode fazer o seguinte:
- usar FTK Imager (ou outra ferramenta que faça cópia forense) e fazer uma imagem forense desse arquivo com extensão .vmdk
- Nesse momento vc vai ter uma imagem forense do arquivo .vmdk (que vai ser uma imagem forense do disco virtual)
- Depois basta analisar o que vc precisar, usando as ferramentas corretas. Aqui no blog existem exemplos de várias ferramentas de análise. Uma dica é analisar o registro do windows com o regripper, histórico de internet, etc. Nesse momento, será uma análise normal
Esclareceu um pouco?
Qualquer dúvida, estou à disposição
Um abraço!
Tem como alguem mandar pra mim todos os SOFTWARES zipado ?
ResponderExcluir