Herramienta automatizada de análisis forense digital

Herramienta de automatización de análisis forense destinada a ser ejecutada en sistemas operativos Ubuntu.

Pre-requisitos 📋

Para el correcto funcionamiento de la herramienta se necesitará una serie de programas y paquetes ya instalados en el equipo:

Foremost
Volatility
Sleuthkit
dd
Tshark 

Durante la instalación de tshark, llegará un punto que la barra no parpadee, ahí tendrá que presionar enter y espacio para que la instalación continue

Si no están instalados, se le instalarán cuando ejecute la herramienta y no los detecte en el sistema. En este proceso le pedirá la contraseña del usuario del equipo, por lo que no se preocupe.

Ejecución ⚙️

Para ejecutar la herramienta tendremos que posicionarnos dentro de la carpeta una vez hayamos descargado/clonado el repositorio y ejecutar:

python3 main.py

Es imprescindible que se ejecute con python3 o superior ya que si no caerá en error la ejecucción. Si no tiene instalado python en su equipo, ejecute el siguiente comando:

sudo apt-get install python3

Tras la ejecución, veremos que se han creado una serie de carpetas. Estas poseen nombres autodescriptivos para que el usuario sepa cual es la finalidad de cada una. Bajo ningún concepto deben moverse del directorio en el que se han creado, ya que si no el programa las duplicará y podría caer en error.

Funcionamiento 🔎

La herramienta realiza diferentes análisis según el tipo de evidencia que se indique. Estas son las siguientes:

1. Análisis de memoria (Windows).
2. Análisis de discos duros o dispositivos de almacenamiento (Tanto Windows como Linux).
3. Análisis de dispositivos USB.
4. Análisis de capturas de red.

Cada una de ellas posee determinadas acciones de análisis para extraer información acerca de la evidencia:

1. Análisis de memoria

Lo realizamos a través de Volatility. Tipos de análisis y comandos que se llevan a cabo por sistema operativo:

• Windows

  • Análisis de procesos y DLLs: pstree,psscan,psxview,dlllist,handles,getsids,privs,envars,verinfo
  • Análisis de procesos de memoria: memmap,vadinfo,vadtree
  • Análisis de objetos y memoria del kernel: modules,modscan,ssdt,driverscan,filescan,mutantscan,symlinkscan,thredscan,unloadedmodules
  • Análisis de redes: netscan
  • Análisis de registros: hivelist,printkey
  • Análisis del sistema de archivos: hivelist,printkey
  • Consola interactiva Volshell: volshell

• Linux

  • Proximamente

2. Análisis de discos duros o dispositivos de almacenamiento

Tipos de análisis y comandos que se llevan a cabo:

• Recuperar archivos eliminados: A través de Foremost
• Analizar disco: A través de Sleuthkit
• Listar archivos existentes y ocultos: A través de sentencias Bash

3. Dispositivos USB

Tipos de análisis y comandos que se llevan a cabo:

• Clonar USB conectado al equipo: A través de dd
• Analizar USB: A través de Sleuthkit
• Formatear USB: A través de dd

4. Capturas de red Tipos de análisis y comandos que se llevan a cabo:

• Analizar captura: A través de comandos de tshark
• Recuperación de archivos enviados por distintos protocolos: A través de comandos de tshark
• Extracción de contraseñas por protocolo HTTP: A través de comandos de tshark
• Búsqueda personalizada (Próximamente)

Construido con 🛠️

Los lenguajes de programación y herramientas que hemos usado para llevarlo a cabo son:

• Python - Lenguaje de programación.
• Bash - Lenguaje de ordenes.
• Foremost - Programa de Linux para recuperar archivos.
• Volatility - Framework de análisis de memoria.
• Sleuthkit - Software para extraer datos de unidades de disco y otros dispositivos de almacenamiento.
• dd - Programa de Linux para clonar evidencias.
• Tshark - Analizador de protocolos de red.

Autores ✒️

• Ricardo Santos Pertejo
  
• Álvaro Reina Abascal