En el mundo de la ciencia forense digital, contar con las herramientas adecuadas es fundamental para realizar una investigación exhaustiva. Este artículo proporciona una descripción general de las herramientas forenses básicas para analizar archivos, detectar esteganografía, procesar archivos de mensajes, examinar volcados de memoria y más.
Ya sea usted un principiante o un investigador experimentado, estas herramientas lo ayudarán a descubrir material oculto y analizar eficazmente la actividad maliciosa.
Herramientas para análisis básico:
Siempre que obtenga un archivo, primero utilice estas herramientas de línea de comandos para el análisis inicial.
| herramienta | describir | uso |
|---|---|---|
| documento | Verificar tipo de archivo | nombre-archivo |
| herramienta exif | Dar metadatos básicos | exiftool – nombre del archivo |
| Ben Walker | Mostrar archivos incrustados | nombre del archivo binwalk |
| Cadena | da todos los caracteres imprimibles | cadena – nombre del archivo |
| el más importante | Extrae todos los archivos incrustados | Lo más importante: el nombre del archivo. |
| cheque PNG | Información detallada sobre imágenes png | pngcheck –opciones-nombre de archivo |
| ffmpeg | Verifique la integridad de los archivos de audio. | ffmpeg –opciones-nombre de archivo |
Herramientas de detección de esteganografía:
Estas herramientas pueden detectar si se está produciendo alguna actividad de esteganografía en cualquier tipo de archivo:
| herramienta | Tipos de archivos admitidos | uso |
|---|---|---|
| Ztegue | PNG, BMP | nombre de archivo zsteg |
| detección encubierta | JPEG | stegDetect-nombre del archivo |
| Stegbrek | JPEG | stegbreak -to -f lista de palabras.txt -nombre de archivo |
| solución de Steger | Todos los formatos de imagen | los detalles son los siguientes |
Primero instale el paquete jar de stegsolve y luego utilícelo de la siguiente manera: [java -jar stegsolve] en la terminal.
Asegúrese de tener también instalados los paquetes de Java necesarios
Herramientas de aplicación de esteganografía:
Estas herramientas se pueden utilizar para implementar y mostrar cualquier mensaje oculto.
| herramienta | Tipos de archivos admitidos | esconder | Recuperación |
|---|---|---|---|
| bufón | JPEG | jsteg ocultar ocultar.jpg secreto.txt imagen1.jpg | jsteg Revelar hide.jpg salida.txt |
| esteganografía abierta | Papúa Nueva Guinea | openstego incrustar -mf Secret.txt -cf hide.png -p contraseña -sf stego.png | extracto de openstego -sf openstego.png -p ab12 -xf salida.txt |
| Adivinar | JPEG | adivinar -k contraseña -d Secret.txt cover.jpg stego.jpg | adivinar -r -k contraseña stego.jpg salida.txt |
| Steged | JPG, BMP, WAV | Steghide incrustar -f -ef Secret.txt -cf portada.jpg -p contraseña-sf stego.jpg | Extracto de Steghide -sf stego.jpg -p contraseña -xf salida.txt |
| Steger SB más bajo | PNG, BMP | Codificación LSBSteg -i cover.png -o stego.png -f Secret.txt | Decodificación LSBSteg -i stego.png -o salida.txt |
| mp3 secreto | archivo de audio | mp3stego-encode -E Secret.txt -P contraseña cover.wav stego.mp3 | mp3stego-decode -X -P contraseña stego.mp3 out.txt |
| esteganografía de audio | archivo de audio | hideme cover.mp3 Secret.txt && mv ./output.mp3 stego.mp3 | hideme stego.mp3 -f && cat salida.txt |
| estegano | Papúa Nueva Guinea | stegano-lsb hide – entrada cover.jpg -f Secret.txt -e UTF-8 – salida stego.png o stegano-red hide – entrada cover.png -m “Mensaje secreto” – salida stego.png o stegano-lsb- Configure hide –input cover.png -f Secret.txt -e UTF-8 -g $GENERATOR –output stego.png para varios generadores (stegano-lsb-set list-generators) | stegano-lsb Reveal -i stego.png -e UTF-8 -o output.txt o stegano-red Reveal -i stego.png o stegano-lsb-set Reveal -i stego.png -e UTF-8 -g $GENERADOR -o salida.txt |
Herramientas para trabajar con archivos de audio (incrustar y mostrar datos):
| herramienta | describir | uso |
|---|---|---|
| Atrevido | Esta es una gran herramienta que puede analizar, modificar y mostrar cualquier dato presente en el mensaje, utilizada principalmente para analizar archivos de mensajes. | Nombre de archivo en negrita |
| Visualizador de ondas sonoras | También existe una herramienta similar como Audacity que también se puede utilizar para ver archivos de mensajes. | Sonic Visualizer-Nombre de archivo |
| Sonido profundo | Esta es una herramienta para ocultar/mostrar cualquier dato en un archivo de audio usando una contraseña. | Esta es una aplicación de Windows |
mp3stego y Audiostego también son herramientas que se pueden utilizar para el análisis de datos de audio.
Deepsound es una aplicación basada en Windows que se puede descargar de Internet.
(Pssss… solo revisa mi Tool_Vault tal vez puedas encontrar uno)
Herramientas para procesar volcados de memoria (analizando datos ocultos o actividad maliciosa):
Volatility es un marco forense de memoria de código abierto para respuesta a incidentes y análisis de malware. Está escrito en Python y es compatible con Microsoft Windows, Mac OS X y Linux.
Para descargar volatilidad, simplemente escriba sudo apt-get installvolatility en su terminal
Herramientas para manejar la captura de paquetes de red (analizando la actividad de la red):
| herramienta | describir | uso |
|---|---|---|
| Wireshark | Wireshark es un analizador de paquetes gratuito y de código abierto. Se utiliza para la resolución de problemas de red, análisis, desarrollo de software y protocolos. | nombre de archivo wirehark.pcap |
| volcado TCP | tcpdump es un analizador de paquetes común que se ejecuta desde la línea de comandos. Permite al usuario visualizar TCP/IP y otros paquetes transmitidos o recibidos a través de la red a la que está conectado el ordenador. | opciones-tcpdump |
| minero de internet | NetworkMiner es una herramienta de análisis forense de red (NFAT) para Windows. NetworkMiner se puede utilizar como una herramienta pasiva de captura de paquetes/rastreador de red para detectar sistemas operativos, sesiones, nombres de host, puertos abiertos, etc. sin colocar ningún tráfico en la red. | Aplicación de interfaz gráfica de usuario |
Network Miner es una aplicación GUI que se puede descargar de Internet o simplemente revisar mi Bóveda…
Herramientas para el análisis de datos de imágenes de disco:
| herramienta | describir | uso |
|---|---|---|
| disco flexible | Para sistemas de archivos informáticos, fdisk es una utilidad de línea de comandos que proporciona capacidades de partición de disco. | fdsik -lu nombre de archivo |
| MMLS | mmls muestra el contenido del sistema de volúmenes (administración de medios). En términos generales, se utiliza para enumerar el contenido de la tabla de particiones para que pueda determinar la posición inicial de cada partición. La salida identifica el tipo de partición y su longitud, lo que facilita extraer la partición usando «dd» | nombre del archivo mmls |
| disco de prueba | Testdisk es un potente software gratuito de recuperación de datos. Su objetivo principal es ayudar a recuperar particiones perdidas y/o hacer que los discos que no son de arranque puedan volver a arrancar cuando los síntomas son causados por un software defectuoso. | Nombre del archivo del disco de prueba |
| autopsia | Autopsy es un software informático que facilita la implementación de muchos de los programas y complementos de código abierto utilizados en The Sleuth Kit. La interfaz gráfica de usuario muestra los resultados de las búsquedas forenses de volumen subyacentes, lo que facilita a los investigadores marcar partes relevantes de los datos. | Aplicaciones gráficas |
| Análisis forense del sistema operativo | OSForensics es una aplicación de ciencia forense digital que le permite extraer y analizar evidencia digital de manera eficiente y sencilla. Descubre, identifica y gestiona, descubriendo todo lo oculto en los sistemas informáticos y los dispositivos de almacenamiento digital. | aplicaciones graficas |
