Capturar Imagens de Dados aimage, air, btktool, dc3dd

Propaganda
Capturar
aimage, air, btktool, dc3dd, dc3dd GUI, dd, ddrescue,
Imagens de dd_rescue, linen, rdd_copy, rddi, sdd, Guymager, dcfldd,
Dados
cstream, dds2tar, disktype
Captura tela
Gnome-Screenshot
Dump de
memdump
memória
Geração de
DHash, GtkHash, md5deep, md5sum, sha1deep,
Hash
sha1sum, sha256deep, sha256sum, ssdeep
Identificação Discover, Hardinfo, lshw, lshw-GTK, Sysinfo, scsitools,
de HW
lspci, lsusb, blktool, disktype, file
Limpar midias
Wipe, shred
AFFTools
Afcat, afcompare, afconvert, afinfo, afstats, afxml
ewfacquire, ewfacquirestream, ewfexport, ewfinfo,
EWFTools
ewfverify, mount_ewf.py
Antivírus
clamav
Arquivos
Cabextract, orange, p7zip, unace, unrar, unshield,
Compactados Xarchiver, zoo, lzop, arj, MScompress, msexpand, star
Arquivos de
Dcraw, exif, exifautotran, exifprobe, exiftags, exiv2,
Imagem
jhead, jpeginfo, vinetto, exifgrep, dcraw
Antiword, fccu-docprop, mdb-hexdump, readpst,
Arquivos MS
RegLookup, regp, tnef, Rifiuti, Grokevt, dumpsterdive.pl
Bcrypt, ccrypt, Gdecrypt, Outguess, TrueCrypt, cryptcat,
Cripto-Stegano
sshfs
Editor Hexa
Bless, ghex2, hexdump
blkcalc, blkcat, blkls, blkstat, disk_sreset, disk_stat,
Ferramentas ffind, fls, fsstat, hfind, icat, ifind, ils, img_cat, img_stat,
Sleuthkit
istat, jcat, jls, mactime, mmcat, mmls, mmstat, sigfind,
sorter
Linha do
mac-robber, mactime
Tempo
Localizar dados
glark, gnome-search-tool, Sgrep
ntfscat, ntfsclone, ntfscluster, ntfsinfo, ntfslabel, ntfsls,
NTFStools
ntfssundelete
Quebra de fcrackzip, john the Ripper, medussa, ophcrack, ophcrackSenha
cli, chntpw, samdump, bkhive, fcrackzip
E2undel, Fatback, Foremost, gzrecover, MagicRescue,
Restaurar
ntfsundelete, recover, recoverjpeg, scrounge-ntfs,
dados
ntfstools, photorec, scalpel, testdisk, myrescue,
recoverdm , jfsutils
RootKits
Arquivos Pdf
Visualizar
Imagens
Análise de
Evidências
Rede
ToolKits
chkrootkit, Rkhunter
pdftk
commix, F-Spot, gthumb, imageindex
cookie_cruncher, fccu-evtreader, galleta, grokevtfindlogs, grokevt-parselog, lnk-parse, pasco, rifiuti
Ngrep, Dsniff, Arping, Nmap, TCPdump, Arpspoof,
wireshark
autopsy, ptk, pyflag, Sleuthkit
Especificação das ferramentas, em ordem alfabética:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
afcat Verifica conteúdo dos arquivos .aff sem montar
afcompare Compara dois arquivos .aff
afconvert Converte .aff para raw e raw para .aff , recompacta aff
para aff.
afinfo Visualiza estatísticas de arquivos .aff
afstats Visualizar estatísticas sobre um ou mais arquivos aff
afxml Exporta metadados de arquivos aff para um arquivo xml
aimage Geração de imagem dos dados das mídias utilizando o
padrão aff (Aquisição GUI)
air Interface gráfica para dd/dcfldd, para criar facilmente imagens
forense (Aquisição GUI)
antiword Ferramenta para ler arquivos do MS-Word (Arquivo
Windows)
arj Comprime e expande arquivo
Arping Envia requisições arp para um host visinho.
Arpspoof Intercepta pacotes numa rede com suites
Autopsy Browser para realizar Perícias Forenses (Análise e
Investigações)
bcrypt Ferramenta para encriptar e decriptar arquivos usando o
algoritmo blowfish
Bless Editor hexadecimal
bkhive Exibir hashs de senhas do Windows 2000, NT, XP e vista
blkcalc Conversores entre números de unidade unallocated do
disco e números de unidade regulares do disco
blkcat Indica os índices da unidade de dados do sistema de arquivo
em uma imagem do disco
blkls Lista as unidades de dados do sistema de arquivo ou da saída
blkstat Detalhes do display de uma unidade de dados do sistema
de arquivo
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
blktool Ferramenta para analisar ou alterar configurações em bloco
(Hardware)
cabextract Acessar conteúdo de arquivos .cab
ccrypy Ferramenta para encriptar e decriptar arquivos e streams
chkrootkit Ferramenta para identificar a presença de rootkits no
sistema (Antivírus)
chntpw Ferramenta para sobrescrever um arquivo de senhas SAM
clamav Antivírus
comix Visualizador de imagens
cookie_cruncher Analisar coockies (Análise de Internet)
cryptcat NetCat com o algoritmo twofish habilitado
dc3dd Copia um arquivo, convertendo e formatando de acordo
com os operandos
dc3ddgui Interface gráfica para O DC3DD, para criar imagens
forense
dcfldd Versão aprimorado pelo DOD-Departament of Defense do
dd (Aquisição CLI)
dcraw Acessar imagens cruas de câmeras digitais (Análise de
Fíguras e Fotos)
dd Ferramenta para geração de imagem dos dados (Aquisição
CLI)
Dds2tar Ferramenta de acesso rápido à fitas
dd_rescue Ferramenta para recuperar dados de hds com setores
defeituosos (bad blocks) (Aquisição CLI)
Dhash Deft Hash
discover Informações sobre Hardware (Hardware)
Disk_sreset Restaura temporariamente o tamanho de um disco
ATA
Disk_stat Mostra os detalhes de um disco
disktype Detecta formato do disco
Dsniff Sniffer de senhas
dumpster-dive.pl Acessar os arquivos da lixeira do Windows
(Arquivo Windows)
e2undel Ferramenta para recuperar arquivos em partições ext2
(Recuperação)
ewftools Conjunto de ferramentas para trabalhar com o formato
EWF (EnCase)
exif Ler informações EXIF de arquivos jpeg (Análise de figuras e
fotos)
exifautotran Transforma imagens cruas de câmera digital
exifgrep Seleciona e formata a saída do exifprobe
exifprobe Examina o conteúdo e a estrutura dos arquivos de
imagens JPEG e TIFF. (Análise de figuras e fotos)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
exiftags Adquirir informações sobre a câmera e as imagens por ela
produzidas. (Análise de figuras e fotos)
exiv2 Manipular metadados de imagens
Fatback Ferramenta para recuperar dados de sistemas de arquivos
FAT (Recuperação)
fccu-docprop Ferramenta para visualizar as propriedades de
arquivos OLE (Arquivos Windows)
fccu-evtreader Script perl para visualizar arquivos de eventos da
MS (EVT) (Arquivos Windows)
fcrackzip Ferramenta para quebrar as senhas de arquivos
compactados em ZIP (Senhas)
ffind Encontra o nome do arquivo ou do diretório usando um dado
inode
file Determina o tipo do arquivo
fls Lista arquivos e nomes de diretório em uma imagem do disco
Foremost Ferramenta para recuperação de imagens a partir dos
cabeçalhos (Carving)
fsstat Detalhes gerais do display de um sistema de arquivo
F-Spot Gerenciador de Fotos
galleta Analisar coockies do Windows (Análise de Internet)
gconf-editor Edite diretamente o banco de dados de configurações
GDecrypt Interface gráfica para montar e mapear particções
encriptadas
ghex2 Visualizar arquivos em formato HEX
glark Ferramenta semelhante ao grep para localizar dados ( Busca
por Textos)
gnome-search-tool Ferramenta gráfica de localização de arquivos
Gnome-screenshot Salvar imagens da sua área de trabalho ou de
janelas individuais
Guymager Interface Gráfica para captura de imagens, formato dd,
ewf e aff, com cálculo de hash embutido
GrokEVT-findlogs, Tentativas de encontrar fragmentos de
arquivos de registro em arquivos binários crus, tais como descargas
de memória e imagens do disco
grokevt-parselog É uma coleção de scripts construídos para ler
arquivos de eventos do Windows
gthumb Visualizar e organizar imagens
GtkHash Calcula mensagens digests e cheksums
gzrecover Ferramenta para extrair dados de arquivos gzip
corrompidos ( Compressão de Arquivos)
Hardinfo Informações e Testes do Sistema
hexdump Visualizar arquivos em formato HEX
hfind Consulta um valor de Hash em uma base de dados de Hash
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
icat Satisfaz a Saída de uma arquivo baseada em seu número do
inode
ifind Encontra a meta-estrutura de dados que afetou uma unidade
de dados de ou nome de arquivo
ils Lista informações inode
imageindex Gera galeria de imagens em html
Img_cat Exibe um conteúdo de um arquivo de imagem
Img_stat Exibe detalhes de um arquivo de imagens
istat Exibe detalhes da estrutura de meta dados
jcat Mostra o conteúdo de um bloco no sistema de arquivos do
journal
jfsutils Conjunto de ferramentas para trabalhar com o sistema de
arquivos JFS
jhead Ferramenta para visualizar e manipular os dados de
cabecalhos de imagens jpeg.
jls Listar o conteúdo de um sistema de arquivo do journal
John the Ripper Ferramenta para localizar senhas de usuários
(senhas)
jpeginfo Ferramenta para coletar informacoes sobre imagens jpeg
(Análise de Fig. e fotos)
linen Encase Linen
lnk-parse Analisar arquivos de atalhos do windows
lshw-GTK Lista os dispositivos de hardware
lzop Comprime e expande arquivos
lspci Lista todos dispositivos pci
lsusb Lista todos dispositivos usb
mac-robber Ferramenta que coleta dados de arquivos alocados em
um sistema de arquivos montado (Timeline)
mactime Cria uma linha do tempo ASCII das atividades dos
arquivos
MagicRescue Ferramenta para recuperação de imagens RAW,
baseando-se nos cabeçalhos (Carving)
Md5deep Gerar hash md5 (hash)
md5sum Gerar hash md5 (hash)
mdb-hexdump Ferramenta para manipulação de arquivos MDB.
medussa Crack de senhas (senhas)
Meld Visualizador de Diff
memdump Dumper de memória para sistemas UNIX-like
mmcat Mostra o conteúdo de uma partição para o stdout
mmls Apresenta o formato da partição de um volume do sistema
mmstat Exibir detalhes sobre o volume do sistema
MScompress Comprime arquivos
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
msexpand Expande arquivos comprimidos com o mscompress ou
o compress.ez
myrescue Recuperação de disco rígido
Ngrep Grep para redes
Nmap Ferramenta de exploração de rede
ntfscat Concatenar arquivos e visualizá-los sem montar a partição
NTFS
ntfsclone Clonar um sistema de arquivos NTFS ou somente parte
dele
ntfscluster Ferramenta para encontrar o arquivo está usando algum
cluster ou um conjunto de clusters em uma partição NTFS
ntfsinfo Obter informações sobre partições NTFS
ntfslabel Verificar ou alterar a descrição de partições NTFS
ntfsls Listar o conteúdo de diretórios em partições NTFS sem
precisar montá-los
ntfsundelete Recuperar arquivos deletados em partições NTFS
Ophcrack, ophcrack-cli Crack de senhas do windows
orange Ferramenta para manipular arquivos .cab (Compressão de
Arquivos)
Outguess Outguess detecta dados ocultos em imagens JPG
(esteganografia)
p7zip Acessar arquivos zip (Compressão de Arquivos)
pasco Analisar cache do IExplorer (Análise de Internet)
pdftk Ferramenta para manipular arquivos pdf
photorec Recupera arquivos perdidos de discos rígidos, câmeras
digitais e CD-Rom
ptk Possui kit de ferramentas
pyflag Toolkit com diversas ferramentas para Forense Digital
(Análise e Investigação)
rdd Versão mais robusta do dd (Aquisição GUI)
rddi Prompt interativo do rdd
readpst Ferramenta para ler arquivos do MS-Outlook (E-mail)
recover Ferramenta para recuperar todos inodes deletados do disco
(Recuperação)
recoverdm Recupera arquivos em disco com setores modificados
recoverjpeg Ferramenta para recuperar imagens jpg
RegLookup Utilitário para leitura e resgate de dados do registro do
Windows (Análise de Registry)
regp Acessar o conteúdo de arquivos .dat
rifiuti Analisar arquivos INF2 da MS (Arquivo Windows)
Rkhunter Ferramenta para identificar a presenca de rootkits no
sistema (Antivírus)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
samdump Exibir hashs de senhas do Windows 2000, NT, XP e
vista
scalpel Recupera arquivos usando um banco de dados de formatos
de cabeçalhos e rodapés
scsitools Conjunto de ferramentas para gerenciar dispositivos
SCSI
scrounge-ntfs Ferramenta para recuperar dados de partições NTFS
sdd Versão da ferramenta dd para Fitas (DAT, DLT...) (Aquisição
CLI)
sgrep Realiza busca em um arquivo seguindo um padrão
estruturado
sha1deep Gera hash sha 160bits (hash)
sha1sum Gera hash sha 160bits (hash)
sha256deep Gera hash sha 256bits (hash)
sha256sum Gera hash sha 256bits (hash)
shred Sobrescreve um arquivo para esconder seu conteúdo, e
opcionalmente pode apaga-lo
sigfind Encontra assinatura em um arquivo binário
sorter Classifica arquivos em uma imagem em categorias com
base no tipo de arquivo
ssdeep Permite comparar o hash calculado contra uma base de
hashes
sshfs Sistema de arquivos baseado no
ssh star Arquivador de fitas com funcionalidades melhoradas
sysinfo Mostra informações do computador e do sistema
TCPdump Exibe o tráfego na rede
testdisk Escaneia e repara partições de disco
tnef Acessar anexos de email's MS (Arquivo Windows)
TrueCrypt É um aplicativo que cria volumes criptografados que
podem ser montados como unidades virtuais
unace Ferramenta para descompactar extenções .ace (Compressão
de Arquivos)
unrar Ferramenta para descompactar arquivos rar (Compressão de
Arquivos)
unshield Ferramenta para descompactar arquivos CAB da MS
(Compressão de Arquivos)
vinetto Extrai imagens de arquivos thumb.db
wipe Remover totalmente os dados das Mídias
wireshark Analisador de rede
Xarchiver Compactador de Arquivos
zoo Acessar arquivos compactados .zoo (Compressão de Arquivos)
Free Tools para Forense
Imagens Forense de Disco:
•
•
•
•
•
Paladin: distribuição Linux voltada para realizar imagens forense de disco
Raptor: simplifica o processo de criar uma imagem de disco. Baseada no Ubuntu
Helix3: distribuição linux voltada para forense computacional. Foi descontinuada em
2009
Tapeworm (TASC Pre-processing Exploitation & Workflow Management system):
máquina virtual de 64 bits baseada no Xubuntu que foi feita para automatizar o uso
de algumas ferramentas livres. Algumas destas ferramentas são log2timeline,
bulk_extractor, regripper, exiftool, etc
TIM (Tableau IMager): Software de Imagem forense de disco gratuito, fabricado pela
tableau (famosa empresa fabricante de bloqueadores de escrita), produz imagens
forense no formato .E01, RAW (formato DD) e .DMG
Ferramentas para Forense em redes de computadores (Network Forensic Analysis Tool
- NFAT) e Monitoramento de Redes:
•
•
•
•
•
•
•
•
•
•
•
•
NetworkMiner: ferramenta voltada para análise forense em redes de computadores
Chaosreader: busca vários tipos de arquivos em logs de redes
Netwitness Investigator: versão free da famosa ferramenta para análise forense de
rede
Xplico: Ferramenta Open Source para análise forense de redes
ngrep: Network Grep
tcpflow: captura um fluxo de informações TCP e o armazena para poder ser feito
depois uma análise dos protocolos
p0f (Passive OS Fingerprinting): ferramenta para fingerprinting passivo de OS/rede
tcpreplay: é uma suíte de ferramentas para editar o tráfego de rede capturado
anteriormente por ferramentas, como tcpdump. O objetivo é testar uma variedade de
dispositivos de rede, como switches, roteadores, firewall, IPS
SiLK (System for Internet-Level Knowledge): coleção de ferramentas voltadas para
análise de tráfego desenvolvida pela CERT NetSA cujo objetivo é facilitar a análise
da segurança em redes de computadores de grande escala.
OSSIM: Solução Open Source para SIEM
OSSEC: HIDS Open Source que funciona também como uma ferramenta para SIEM
Security Onion: Distribuição Linux específica para se trabalhar com vários IDS
(Intrusion Detection System) e NSM (Network Security Monitoring). Baseada no
Ubuntu, contém SNORT, Suricata, Bro, Sguil, Squert, Snorby, Xplico,
NetworkMiner, etc
Hardware para Forense Computacional:
•
•
•
•
•
•
Digital Intelligence
ForensicPC
ForensicComputers
Silicon Forensics
Data Duplication
Mac Forensics Lab
Frameworks de análises forense:
•
•
•
•
•
•
OSForensics: ferramenta de análise forense, feita primeiramente para rodar um
sistema "vivo" (Live Forensics), porém, o perito pode montar a imagem como um
volume e rodar a ferramenta contra a imagem montada. Lista das principais tarefas.
DFF: ferramenta em python que trabalha com módulos. Para aprender a trabalhar
com esta ferramenta é só seguir o blog e wiki
DEFT: distribuição linux voltada para forense computacional
Caine: distribuição linux, italiana, voltada para forense computacional.
SIFT (Sans Investigative Forensic Toolkit): distribuição linux voltada para forense
computacional, feita pelo SANS.
VulnHub: Fornece material (várias VMs legalmente frágeis, vulneráveis e
exploráveis) permitindo que qualquer pessoa possa ganhar prática "hands on" em
segurança digital
Análise Forense de Memória / Dumps de Memória
•
•
•
•
•
Volatility: framework em python que funciona através de plugins
Mandiant Redline: nova ferramenta da empresa Mandiant que analisa um dump de
memória, trabalhando inclusive com IOC
FTK Imager: ferramenta da empresa AccessData que dentre várias outras coisas,
realiza o dump de memória
Win32dd: faz parte de uma toolkit chamada Moonsols Windows Memory Toolkit. A
versão Community Edition é free.
HBGary Free Tools: conjunto de várias ferramentas grátis da empresa HBGary.
Carving:
•
•
•
•
•
Foremost: ferramenta para recuperar arquivos baseando-se em headers, footers e
estrutura de dados internas.
Scalpel: excelente ferramenta para recuperar arquivos com base nos headers e footers.
Funciona independentemente do sistema de arquivos.
Photorec: excelente ferramenta para recuperar fotos.
Testdisk: ferramenta que foi inicialmente criada para recuperar partições com
problemas.
Bulk_Extractor: ferramenta desenvolvida pelo Simson Garfinkel. Foi feita para
recuperar dados em massa.
Montando Imagens:
•
•
FTK Imager: Ferramenta gratuita da empresa AccessData. Serve tanto para montar
um arquivo de imagem como um volume adicional, como para realizar uma análise
básica na imagem montada
ImDisk: Faz o mesmo que a ferramenta FTK Imager. Também é gratuita
Download