Capturar aimage, air, btktool, dc3dd, dc3dd GUI, dd, ddrescue, Imagens de dd_rescue, linen, rdd_copy, rddi, sdd, Guymager, dcfldd, Dados cstream, dds2tar, disktype Captura tela Gnome-Screenshot Dump de memdump memória Geração de DHash, GtkHash, md5deep, md5sum, sha1deep, Hash sha1sum, sha256deep, sha256sum, ssdeep Identificação Discover, Hardinfo, lshw, lshw-GTK, Sysinfo, scsitools, de HW lspci, lsusb, blktool, disktype, file Limpar midias Wipe, shred AFFTools Afcat, afcompare, afconvert, afinfo, afstats, afxml ewfacquire, ewfacquirestream, ewfexport, ewfinfo, EWFTools ewfverify, mount_ewf.py Antivírus clamav Arquivos Cabextract, orange, p7zip, unace, unrar, unshield, Compactados Xarchiver, zoo, lzop, arj, MScompress, msexpand, star Arquivos de Dcraw, exif, exifautotran, exifprobe, exiftags, exiv2, Imagem jhead, jpeginfo, vinetto, exifgrep, dcraw Antiword, fccu-docprop, mdb-hexdump, readpst, Arquivos MS RegLookup, regp, tnef, Rifiuti, Grokevt, dumpsterdive.pl Bcrypt, ccrypt, Gdecrypt, Outguess, TrueCrypt, cryptcat, Cripto-Stegano sshfs Editor Hexa Bless, ghex2, hexdump blkcalc, blkcat, blkls, blkstat, disk_sreset, disk_stat, Ferramentas ffind, fls, fsstat, hfind, icat, ifind, ils, img_cat, img_stat, Sleuthkit istat, jcat, jls, mactime, mmcat, mmls, mmstat, sigfind, sorter Linha do mac-robber, mactime Tempo Localizar dados glark, gnome-search-tool, Sgrep ntfscat, ntfsclone, ntfscluster, ntfsinfo, ntfslabel, ntfsls, NTFStools ntfssundelete Quebra de fcrackzip, john the Ripper, medussa, ophcrack, ophcrackSenha cli, chntpw, samdump, bkhive, fcrackzip E2undel, Fatback, Foremost, gzrecover, MagicRescue, Restaurar ntfsundelete, recover, recoverjpeg, scrounge-ntfs, dados ntfstools, photorec, scalpel, testdisk, myrescue, recoverdm , jfsutils RootKits Arquivos Pdf Visualizar Imagens Análise de Evidências Rede ToolKits chkrootkit, Rkhunter pdftk commix, F-Spot, gthumb, imageindex cookie_cruncher, fccu-evtreader, galleta, grokevtfindlogs, grokevt-parselog, lnk-parse, pasco, rifiuti Ngrep, Dsniff, Arping, Nmap, TCPdump, Arpspoof, wireshark autopsy, ptk, pyflag, Sleuthkit Especificação das ferramentas, em ordem alfabética: • • • • • • • • • • • • • • • • • • • • afcat Verifica conteúdo dos arquivos .aff sem montar afcompare Compara dois arquivos .aff afconvert Converte .aff para raw e raw para .aff , recompacta aff para aff. afinfo Visualiza estatísticas de arquivos .aff afstats Visualizar estatísticas sobre um ou mais arquivos aff afxml Exporta metadados de arquivos aff para um arquivo xml aimage Geração de imagem dos dados das mídias utilizando o padrão aff (Aquisição GUI) air Interface gráfica para dd/dcfldd, para criar facilmente imagens forense (Aquisição GUI) antiword Ferramenta para ler arquivos do MS-Word (Arquivo Windows) arj Comprime e expande arquivo Arping Envia requisições arp para um host visinho. Arpspoof Intercepta pacotes numa rede com suites Autopsy Browser para realizar Perícias Forenses (Análise e Investigações) bcrypt Ferramenta para encriptar e decriptar arquivos usando o algoritmo blowfish Bless Editor hexadecimal bkhive Exibir hashs de senhas do Windows 2000, NT, XP e vista blkcalc Conversores entre números de unidade unallocated do disco e números de unidade regulares do disco blkcat Indica os índices da unidade de dados do sistema de arquivo em uma imagem do disco blkls Lista as unidades de dados do sistema de arquivo ou da saída blkstat Detalhes do display de uma unidade de dados do sistema de arquivo • • • • • • • • • • • • • • • • • • • • • • • • • • • • • blktool Ferramenta para analisar ou alterar configurações em bloco (Hardware) cabextract Acessar conteúdo de arquivos .cab ccrypy Ferramenta para encriptar e decriptar arquivos e streams chkrootkit Ferramenta para identificar a presença de rootkits no sistema (Antivírus) chntpw Ferramenta para sobrescrever um arquivo de senhas SAM clamav Antivírus comix Visualizador de imagens cookie_cruncher Analisar coockies (Análise de Internet) cryptcat NetCat com o algoritmo twofish habilitado dc3dd Copia um arquivo, convertendo e formatando de acordo com os operandos dc3ddgui Interface gráfica para O DC3DD, para criar imagens forense dcfldd Versão aprimorado pelo DOD-Departament of Defense do dd (Aquisição CLI) dcraw Acessar imagens cruas de câmeras digitais (Análise de Fíguras e Fotos) dd Ferramenta para geração de imagem dos dados (Aquisição CLI) Dds2tar Ferramenta de acesso rápido à fitas dd_rescue Ferramenta para recuperar dados de hds com setores defeituosos (bad blocks) (Aquisição CLI) Dhash Deft Hash discover Informações sobre Hardware (Hardware) Disk_sreset Restaura temporariamente o tamanho de um disco ATA Disk_stat Mostra os detalhes de um disco disktype Detecta formato do disco Dsniff Sniffer de senhas dumpster-dive.pl Acessar os arquivos da lixeira do Windows (Arquivo Windows) e2undel Ferramenta para recuperar arquivos em partições ext2 (Recuperação) ewftools Conjunto de ferramentas para trabalhar com o formato EWF (EnCase) exif Ler informações EXIF de arquivos jpeg (Análise de figuras e fotos) exifautotran Transforma imagens cruas de câmera digital exifgrep Seleciona e formata a saída do exifprobe exifprobe Examina o conteúdo e a estrutura dos arquivos de imagens JPEG e TIFF. (Análise de figuras e fotos) • • • • • • • • • • • • • • • • • • • • • • • • • • • • exiftags Adquirir informações sobre a câmera e as imagens por ela produzidas. (Análise de figuras e fotos) exiv2 Manipular metadados de imagens Fatback Ferramenta para recuperar dados de sistemas de arquivos FAT (Recuperação) fccu-docprop Ferramenta para visualizar as propriedades de arquivos OLE (Arquivos Windows) fccu-evtreader Script perl para visualizar arquivos de eventos da MS (EVT) (Arquivos Windows) fcrackzip Ferramenta para quebrar as senhas de arquivos compactados em ZIP (Senhas) ffind Encontra o nome do arquivo ou do diretório usando um dado inode file Determina o tipo do arquivo fls Lista arquivos e nomes de diretório em uma imagem do disco Foremost Ferramenta para recuperação de imagens a partir dos cabeçalhos (Carving) fsstat Detalhes gerais do display de um sistema de arquivo F-Spot Gerenciador de Fotos galleta Analisar coockies do Windows (Análise de Internet) gconf-editor Edite diretamente o banco de dados de configurações GDecrypt Interface gráfica para montar e mapear particções encriptadas ghex2 Visualizar arquivos em formato HEX glark Ferramenta semelhante ao grep para localizar dados ( Busca por Textos) gnome-search-tool Ferramenta gráfica de localização de arquivos Gnome-screenshot Salvar imagens da sua área de trabalho ou de janelas individuais Guymager Interface Gráfica para captura de imagens, formato dd, ewf e aff, com cálculo de hash embutido GrokEVT-findlogs, Tentativas de encontrar fragmentos de arquivos de registro em arquivos binários crus, tais como descargas de memória e imagens do disco grokevt-parselog É uma coleção de scripts construídos para ler arquivos de eventos do Windows gthumb Visualizar e organizar imagens GtkHash Calcula mensagens digests e cheksums gzrecover Ferramenta para extrair dados de arquivos gzip corrompidos ( Compressão de Arquivos) Hardinfo Informações e Testes do Sistema hexdump Visualizar arquivos em formato HEX hfind Consulta um valor de Hash em uma base de dados de Hash • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • icat Satisfaz a Saída de uma arquivo baseada em seu número do inode ifind Encontra a meta-estrutura de dados que afetou uma unidade de dados de ou nome de arquivo ils Lista informações inode imageindex Gera galeria de imagens em html Img_cat Exibe um conteúdo de um arquivo de imagem Img_stat Exibe detalhes de um arquivo de imagens istat Exibe detalhes da estrutura de meta dados jcat Mostra o conteúdo de um bloco no sistema de arquivos do journal jfsutils Conjunto de ferramentas para trabalhar com o sistema de arquivos JFS jhead Ferramenta para visualizar e manipular os dados de cabecalhos de imagens jpeg. jls Listar o conteúdo de um sistema de arquivo do journal John the Ripper Ferramenta para localizar senhas de usuários (senhas) jpeginfo Ferramenta para coletar informacoes sobre imagens jpeg (Análise de Fig. e fotos) linen Encase Linen lnk-parse Analisar arquivos de atalhos do windows lshw-GTK Lista os dispositivos de hardware lzop Comprime e expande arquivos lspci Lista todos dispositivos pci lsusb Lista todos dispositivos usb mac-robber Ferramenta que coleta dados de arquivos alocados em um sistema de arquivos montado (Timeline) mactime Cria uma linha do tempo ASCII das atividades dos arquivos MagicRescue Ferramenta para recuperação de imagens RAW, baseando-se nos cabeçalhos (Carving) Md5deep Gerar hash md5 (hash) md5sum Gerar hash md5 (hash) mdb-hexdump Ferramenta para manipulação de arquivos MDB. medussa Crack de senhas (senhas) Meld Visualizador de Diff memdump Dumper de memória para sistemas UNIX-like mmcat Mostra o conteúdo de uma partição para o stdout mmls Apresenta o formato da partição de um volume do sistema mmstat Exibir detalhes sobre o volume do sistema MScompress Comprime arquivos • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • msexpand Expande arquivos comprimidos com o mscompress ou o compress.ez myrescue Recuperação de disco rígido Ngrep Grep para redes Nmap Ferramenta de exploração de rede ntfscat Concatenar arquivos e visualizá-los sem montar a partição NTFS ntfsclone Clonar um sistema de arquivos NTFS ou somente parte dele ntfscluster Ferramenta para encontrar o arquivo está usando algum cluster ou um conjunto de clusters em uma partição NTFS ntfsinfo Obter informações sobre partições NTFS ntfslabel Verificar ou alterar a descrição de partições NTFS ntfsls Listar o conteúdo de diretórios em partições NTFS sem precisar montá-los ntfsundelete Recuperar arquivos deletados em partições NTFS Ophcrack, ophcrack-cli Crack de senhas do windows orange Ferramenta para manipular arquivos .cab (Compressão de Arquivos) Outguess Outguess detecta dados ocultos em imagens JPG (esteganografia) p7zip Acessar arquivos zip (Compressão de Arquivos) pasco Analisar cache do IExplorer (Análise de Internet) pdftk Ferramenta para manipular arquivos pdf photorec Recupera arquivos perdidos de discos rígidos, câmeras digitais e CD-Rom ptk Possui kit de ferramentas pyflag Toolkit com diversas ferramentas para Forense Digital (Análise e Investigação) rdd Versão mais robusta do dd (Aquisição GUI) rddi Prompt interativo do rdd readpst Ferramenta para ler arquivos do MS-Outlook (E-mail) recover Ferramenta para recuperar todos inodes deletados do disco (Recuperação) recoverdm Recupera arquivos em disco com setores modificados recoverjpeg Ferramenta para recuperar imagens jpg RegLookup Utilitário para leitura e resgate de dados do registro do Windows (Análise de Registry) regp Acessar o conteúdo de arquivos .dat rifiuti Analisar arquivos INF2 da MS (Arquivo Windows) Rkhunter Ferramenta para identificar a presenca de rootkits no sistema (Antivírus) • • • • • • • • • • • • • • • • • • • • • • • • • • • • • samdump Exibir hashs de senhas do Windows 2000, NT, XP e vista scalpel Recupera arquivos usando um banco de dados de formatos de cabeçalhos e rodapés scsitools Conjunto de ferramentas para gerenciar dispositivos SCSI scrounge-ntfs Ferramenta para recuperar dados de partições NTFS sdd Versão da ferramenta dd para Fitas (DAT, DLT...) (Aquisição CLI) sgrep Realiza busca em um arquivo seguindo um padrão estruturado sha1deep Gera hash sha 160bits (hash) sha1sum Gera hash sha 160bits (hash) sha256deep Gera hash sha 256bits (hash) sha256sum Gera hash sha 256bits (hash) shred Sobrescreve um arquivo para esconder seu conteúdo, e opcionalmente pode apaga-lo sigfind Encontra assinatura em um arquivo binário sorter Classifica arquivos em uma imagem em categorias com base no tipo de arquivo ssdeep Permite comparar o hash calculado contra uma base de hashes sshfs Sistema de arquivos baseado no ssh star Arquivador de fitas com funcionalidades melhoradas sysinfo Mostra informações do computador e do sistema TCPdump Exibe o tráfego na rede testdisk Escaneia e repara partições de disco tnef Acessar anexos de email's MS (Arquivo Windows) TrueCrypt É um aplicativo que cria volumes criptografados que podem ser montados como unidades virtuais unace Ferramenta para descompactar extenções .ace (Compressão de Arquivos) unrar Ferramenta para descompactar arquivos rar (Compressão de Arquivos) unshield Ferramenta para descompactar arquivos CAB da MS (Compressão de Arquivos) vinetto Extrai imagens de arquivos thumb.db wipe Remover totalmente os dados das Mídias wireshark Analisador de rede Xarchiver Compactador de Arquivos zoo Acessar arquivos compactados .zoo (Compressão de Arquivos) Free Tools para Forense Imagens Forense de Disco: • • • • • Paladin: distribuição Linux voltada para realizar imagens forense de disco Raptor: simplifica o processo de criar uma imagem de disco. Baseada no Ubuntu Helix3: distribuição linux voltada para forense computacional. Foi descontinuada em 2009 Tapeworm (TASC Pre-processing Exploitation & Workflow Management system): máquina virtual de 64 bits baseada no Xubuntu que foi feita para automatizar o uso de algumas ferramentas livres. Algumas destas ferramentas são log2timeline, bulk_extractor, regripper, exiftool, etc TIM (Tableau IMager): Software de Imagem forense de disco gratuito, fabricado pela tableau (famosa empresa fabricante de bloqueadores de escrita), produz imagens forense no formato .E01, RAW (formato DD) e .DMG Ferramentas para Forense em redes de computadores (Network Forensic Analysis Tool - NFAT) e Monitoramento de Redes: • • • • • • • • • • • • NetworkMiner: ferramenta voltada para análise forense em redes de computadores Chaosreader: busca vários tipos de arquivos em logs de redes Netwitness Investigator: versão free da famosa ferramenta para análise forense de rede Xplico: Ferramenta Open Source para análise forense de redes ngrep: Network Grep tcpflow: captura um fluxo de informações TCP e o armazena para poder ser feito depois uma análise dos protocolos p0f (Passive OS Fingerprinting): ferramenta para fingerprinting passivo de OS/rede tcpreplay: é uma suíte de ferramentas para editar o tráfego de rede capturado anteriormente por ferramentas, como tcpdump. O objetivo é testar uma variedade de dispositivos de rede, como switches, roteadores, firewall, IPS SiLK (System for Internet-Level Knowledge): coleção de ferramentas voltadas para análise de tráfego desenvolvida pela CERT NetSA cujo objetivo é facilitar a análise da segurança em redes de computadores de grande escala. OSSIM: Solução Open Source para SIEM OSSEC: HIDS Open Source que funciona também como uma ferramenta para SIEM Security Onion: Distribuição Linux específica para se trabalhar com vários IDS (Intrusion Detection System) e NSM (Network Security Monitoring). Baseada no Ubuntu, contém SNORT, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, etc Hardware para Forense Computacional: • • • • • • Digital Intelligence ForensicPC ForensicComputers Silicon Forensics Data Duplication Mac Forensics Lab Frameworks de análises forense: • • • • • • OSForensics: ferramenta de análise forense, feita primeiramente para rodar um sistema "vivo" (Live Forensics), porém, o perito pode montar a imagem como um volume e rodar a ferramenta contra a imagem montada. Lista das principais tarefas. DFF: ferramenta em python que trabalha com módulos. Para aprender a trabalhar com esta ferramenta é só seguir o blog e wiki DEFT: distribuição linux voltada para forense computacional Caine: distribuição linux, italiana, voltada para forense computacional. SIFT (Sans Investigative Forensic Toolkit): distribuição linux voltada para forense computacional, feita pelo SANS. VulnHub: Fornece material (várias VMs legalmente frágeis, vulneráveis e exploráveis) permitindo que qualquer pessoa possa ganhar prática "hands on" em segurança digital Análise Forense de Memória / Dumps de Memória • • • • • Volatility: framework em python que funciona através de plugins Mandiant Redline: nova ferramenta da empresa Mandiant que analisa um dump de memória, trabalhando inclusive com IOC FTK Imager: ferramenta da empresa AccessData que dentre várias outras coisas, realiza o dump de memória Win32dd: faz parte de uma toolkit chamada Moonsols Windows Memory Toolkit. A versão Community Edition é free. HBGary Free Tools: conjunto de várias ferramentas grátis da empresa HBGary. Carving: • • • • • Foremost: ferramenta para recuperar arquivos baseando-se em headers, footers e estrutura de dados internas. Scalpel: excelente ferramenta para recuperar arquivos com base nos headers e footers. Funciona independentemente do sistema de arquivos. Photorec: excelente ferramenta para recuperar fotos. Testdisk: ferramenta que foi inicialmente criada para recuperar partições com problemas. Bulk_Extractor: ferramenta desenvolvida pelo Simson Garfinkel. Foi feita para recuperar dados em massa. Montando Imagens: • • FTK Imager: Ferramenta gratuita da empresa AccessData. Serve tanto para montar um arquivo de imagem como um volume adicional, como para realizar uma análise básica na imagem montada ImDisk: Faz o mesmo que a ferramenta FTK Imager. Também é gratuita