Lista de distribuições Linux para Forense Digital

Posted: 22 maio 2011 by Bhior in Marcadores: , ,
4


A Computação Forense consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. A aplicação desses métodos nem sempre se dá de maneira simples, uma vez que encontrar uma evidência digital em um computador pode ser uma tarefa muito árdua. Atualmente, com os discos rígidos atingindo a capacidade de TeraBytes de armazenamento, milhões de arquivos podem ser armazenados. Logo, é necessário a utilização de métodos e técnicas de Computação Forense para encontrar a prova desejada que irá solucionar um crime, por exemplo.

http://pt.wikipedia.org/wiki/Computa%C3%A7%C3%A3o_forense
http://pt.wikipedia.org/wiki/Forense_computacional


SANS SIFT Workstation 2,0

Faculty Fellow Rob Lee criou o SANS Investigativo Forensic Toolkit Workstation (SIFT) apresentou na Computação Forense Investigações e Resposta a Incidentes de curso (FOR 508) a fim de mostrar que as investigações avançadas e hackers investigando pode ser feito usando ferramentas disponíveis livremente open-source. O SANS SIFT Workstation é um aparelho de VMware, que é pré-configurado com todas as ferramentas necessárias para realizar um exame detalhado forense digital. É compatível com Expert Witness Format (E01), Advanced Forensic Format (AFF), e matérias-primas formatos (dd) provas. A nova versão foi totalmente reconstruída sobre uma base Ubuntu com muitas ferramentas e recursos que podem corresponder a qualquer pacote de ferramentas forenses modernas.

http://computer-forensics.sans.org/community/downloads


C.A.IN.E. Computer Aided Investigative Environment

Caine (Computer Aided Investigativo Environment) é um italiano GNU / Linux live criado como um projeto da Digital Forensics
Atualmente, o gerente do projeto é Nanni Bassetti. CAINE oferece um completo ambiente forense, que é organizado para integrar ferramentas de software existentes como módulos de software e para fornecer uma interface gráfica amigável.

Os objetivos principais do projeto que visa garantir CAINE são os seguintes:

* um ambiente inter-operável que suporta o investigador digital durante as quatro fases da investigação digital
* uma interface gráfica amigável
* compilação de uma semi-automática do relatório final

http://www.caine-live.net/

DEFT Linux

DEFT 6 baseia-se Lubuntu com Kernel 2.6.35 (Linux lateral) e Extra DEFT 3.0 (Windows lado) com os melhores freeware Computação Forense, que é um novo conceito de computador do sistema judicial ao vivo, ewflib pronto, que usam o WINE para executar Windows Computer Forensics ferramentas em Linux.

http://www.deftlinux.net/


SMART Linux

SMART é uma distribuição Linux live CD do Linux, personalizado e concebido para dados forense, a Discovery Eletrônica e Resposta a Incidentes. Cada aspecto da SMART Linux foi otimizado e configurado para a produção de um ambiente limpo, não-invasivo, de ambiente do sistema operacional forense.

http://www.asrdata2.com/

Forensic Hard Copy.

FHC é uma distribuição Linux desenvolvida apenas para a aquisição de evidências digitais em dispositivos de armazenamento. É comumente usado da Polícia Italiana Cyber ​​a fim de acelerar e manter a integridade dos dados.

http://www.fhclive.org/

REMnux Linux Distribution for Reverse-Engineering Malware

REMnux é uma distribuição Linux leve para auxiliar analistas de malware em engenharia reversa de software malicioso. A distribuição é baseada no Ubuntu e é mantido por Lenny Zeltser.

REMnux é projetado para executar os serviços que são úteis para emular dentro de um ambiente de laboratório isolado na realização de análise de malware comportamentais. Como parte deste processo, o analista normalmente infecta um outro sistema de laboratório com a amostra de malware e direciona as ligações potencialmente maliciosos para o sistema REMnux que está escutando nas portas apropriadas.

http://remote-execution.blogspot.com/2010/08/remnux-distribuicao-linux-para-reverse.html

FDTK-UbuntuBr – Forense Digital ToolKit

O FDTK-UbuntuBr, é um projeto livre que objetiva produzir e manter uma distribuição para coleta e análise de dados em Pericias de Forense Computacional.

O projeto FDTK-UbuntuBr é uma distribuição Linux criada a partir da já consagrada distribuição Ubuntu, e reúne mais de 100 ferramentas capazes de atender a todas as etapas de um investigação em Forense Computacional, oferecendo a possibilidade de ser utilizada como LiveCD e também ser instalada em um equipamento transformando-o em uma estação Forense. Essa distribuição está em constante desenvolvimento e caracteriza-se não apenas pela quantidade de ferramentas, mas também por uma interface amigável, estruturada conforme as etapas do processo de perícia e, ainda pela preocupação por ser distribuída no idioma português.

Atualmente ela está na versão 3.0, e contamos com sua contribuição de toda a comunidade Linux para que ela fique ainda melhor.

http://fdtk.com.br/www/download/

FCCU -  Federal Computer Crime Unit

FCCU GNU/Linux Forensic Bootable CD é um CD bootável baseado no Knoppix, que contém uma grande quantidade de ferramentas adequadas para investigação forense computacional, incluindo bash scripts.

FCCU GNU / Linux Forensic objetivo principal Boot CD é a criação de imagens de dispositivos antes da análise, e é usada pelo Belgica Federal Computer Crime Unit.

http://www.lnx4n6.be/index.php?sec=Downloads&page=bootcd

Helix - Digital Forense

Helix3 Pro é a única ferramenta necessária para cada kit de ferramentas de informática forense! Obter a única ferramenta com um LiveCD de arranque para as suas necessidades de investigação.

A multi-plataforma Live Side para três ambientes; Mac OS X, Windows e Linux com uma interface simples de usar
         Faça imagens forenses de todos os dispositivos internos
         Faça uma imagem forense de memória física (32 e 64 bits)
         Determinar se o nível de criptografia de disco está ativada
Um ambiente de boot forense para inicializar qualquer sistema x86
         Faça imagens forenses de todos os dispositivos
         Procura arquivos para tipos de arquivo específico (ou seja, arquivos gráficos, arquivos de documentos, etc)
Vários aplicativos de código aberto forense para auxiliar na análise dos dados, incluindo a análise de telefone celular.

http://www.e-fense.com/helix3pro.php

Atualizado em 28/05/11.

-----------------------------xxx-----------------------------

Extra:

Lista de ferramentas separadas por etapas

1 – Coleta de Dados

Formulário --> Formulário de Cadeia de Custódia

gnome-screenshot -> Salvar imagens da àrea de trabalho ou de janelas individuais

aimage --> Geração de imagem dos dados das mídias utilizando o padrão aff

air --> Interface gráfica para dd/dcfldd, para criar facilmente imagens forense

---------------xx------------------

dc3ddgui --> Interface gráfica para O DC3DD, para criar imagens forense

dcfldd --> Versão aprimorada pelo DOD-Departament of Defense do dd

dd --> Ferramenta para geração de imagem dos dados

ddrescue --> Recuperar dados de hds com setores defeituosos (bad blocks)

mondoarquive --> Copiar dados de fitas, cd's, nsf ou hd's

mondorestore --> Restaurar dados de fitas, cd's, nsf ou hd's

rdd --> Versão mais robusta do dd

rddi --> Prompt interativo do rdd

sdd --> Versão da ferramenta dd para Fitas (DAT, DLT...)

memdump --> Dumper de memória para sistemas UNIX-like

md5sum --> Gerar hash md5

sha1sum --> Gera hash sha 160bits

discover --> Informações sobre Hardware

hardinfo --> Informações e Testes do Sistema

lshw-gráfico --> Lista os dispositivos de hardware em formato HTML

sysinfo --> Mostra informações do computador e do sistema

wipe --> Remover totalmente os dados das Mídias

2 – Exame dos Dados

cabextract --> Acessar conteúdo de arquivos .cab

orange --> Ferramenta para manipular arquivos .cab

p7zip --> Acessar arquivos zip

unace --> Ferramenta para descompactar extensões .ace

unrar-free --> Ferramenta para descompactar arquivos rar

unshield --> Ferramenta para descompactar arquivos CAB da MS

xarchiver --> Criar, modificar e visualizar arquivos compactados

zoo --> Acessar arquivos compactados .zoo

dcraw --> Acessar imagens cruas de câmeras digitais

exif --> Ler informações EXIF de arquivos jpeg

exifprobe --> Exame do conteúdo e da estrutura dos arquivos de imagens JPEG e TIFF

exiftran --> Transformar imagens raw de câmeras digitais

exiftags -->  Adquirir informações sobre a câmera e as imagens por ela produzidas

exiv2 --> Manipular metadados de imagens

jhead --> Visualizar e manipular os dados de cabeçalhos de imagens jpeg

jpeginfo --> Ferramenta para coletar informações sobre imagens jpeg

antiword --> Ferramenta para ler arquivos do MS-Word

dumpster --> Acessar os arquivos da lixeira do Windows

fccu-docprob --> Ferramenta para visualizar as propriedades de arquivos OLE

mdb-hexdump --> Ferramenta para manipulação de arquivos MDB

readpst --> Ferramenta para ler arquivos do MS-Outlook

reglookup --> Utilitário para leitura e resgate de dados do registro do Windows

regp --> Acessar o conteúdo de arquivos .dat

tnef --> Acessar anexos de email's MS

bcrypt --> Encriptar e decriptar arquivos usando o algoritmo blowfish

ccrypt --> Encriptar e decriptar arquivos e streams

outguess --> Detectar dados ocultos em imagens JPG

stegcompare --> Comparar imagens jpeg e detectar a existência de steganografia

stegdimage --> Detectar a existência de steganografia em imagens jpeg

stegdetect --> Detectar a existência de steganografia em imagens jpeg

xsteg --> Ferramenta gr fica para detectar steganografia em imagens jpeg

ghex2 --> Visualizar arquivos em formato HEX

hexcat --> Visualizar arquivos em formato HEX

ghexdump --> Visualizar arquivos em formato HEX

affcat --> Verificar conteúdo de arquivos .aff sem montar

afcompare --> Comparar dois arquivos .aff

afconvert --> Converte aff -> raw, raw -> aff, aff -> aff recompactando-o

afinfo --> Visualizar estatísticas sobre um ou mais arquivos aff

afstats --> Visualizar estatísticas sobre um ou mais arquivos aff

afxml --> Exportar metadados de arquivos aff para um arquivo xml

dcat --> Localizar dados dentro de arquivos dd, aff, ewf

glark --> Ferramenta semelhante ao grep para localizar dados

gnome-search-tool --> Ferramenta gráfica de localização de arquivos

slocate --> Localiza arquivos e indexa os disco

mac-robber --> Coletar dados de arquivos para criar a linha de tempo (timeline)

mactime --> Cria uma linha do tempo ASCII das atividades dos arquivos

ntfscat --> Concatenar arquivos e visualizá-los sem montar a partição NTFS

ntfsclone --> Clonar um sistema de arquivos NTFS ou somente parte dele

ntfscluster --> Localizar arquivo dentro de cluster ou de v rios clusters NTFS

ntfsinfo --> Obter informações sobre partições NTFS

ntfslabel --> Verificar ou alterar a descrição de partições NTFS

ntfsls --> Lista o conteúdo de diretórios em partições NTFS sem montá-los

fcrackzip --> Ferramenta para quebrar as senhas de arquivos compactados em ZIP

john the ripper --> Ferramenta para localizar senhas de usuários

medussa --> Crack de senhas

ophcrack --> Crack de senhas do Windows

e2undel --> Ferramenta para recuperar arquivos em partições ext2

fatback --> Ferramenta para recuperar dados de sistemas de arquivos FAT

foremost --> Ferramenta para recuperação de imagens a partir dos cabeçalhos

gzrecover --> Ferramenta para extrair dados de arquivos gzip corrompidos

magicrescue --> Recuperação de imagens RAW, baseando-se nos cabeçalhos

ntfsundelete --> Recuperar arquivos deletados em partições NTFS

recover --> Ferramenta para recuperar todos inodes deletados de um disco

recoverjpg --> Ferramenta para recuperar imagens jpg

scrounge-ntfs --> Ferramenta para recuperar dados de partições NTFS

chkrookit --> Ferramenta para identificar a presença de rootkits no sistema

rkhunter --> Ferramenta para identificar a presença de rootkits no sistema

fspot --> Organizador de imagens fotos

gthumb --> Visualizar e organizar imagens

imageindex --> Gera galeria de imagens em html

3- Análise das Evidências

coockie_cruncher --> Analisar coockies

eindeutig --> Analisar arquivos .dbx

fccu-evtreader --> Script perl para visualizar arquivos de eventos da MS (EVT)

galleta --> Analisar coockies do Windows

GrocEVT --> Coleção de scripts construídos para ler arquivos de eventos do Windows

mork --> Script perl para visualizar arquivos history.dat do firefox

pasco --> Analisar cache do IExplorer

rifiuti --> Analisar arquivos INF2 da MS

xtraceroute --> Tracerouter gráfico

4 – ToolKits

autopsy --> Browser para realizar Perícias Forenses

4 comentários:

  1. Tem uma brasileira, a Forense Digital ToolKit (FDTK), que é baseada no Ubuntu. Vale a pena conferir: http://fdtk.com.br/

    Abraço!

  1. Bhior says:

    Álisson,

    Obrigado pela informação.

    Tópico atualizado!

    Abraços []'

  1. Dudu says:

    Excelente lista amigo! Vou conferir a VM do SANS tem cara de ser bem interessante.

  1. Anônimo says:

    Gostaria de saber a opinião de voces
    de qual é a melhor ferramenta para de
    utilizar