Sayfalar

[DEFT] Distribución linux para análisis forense


DEFT es una reputada distribución que recopila herramientas de análisis forense y que alcanza ya su versión 8.

No se enfoca únicamente al típico análisis forense de discos duros, si no que tendremos la posibilidad también de realizar forenses de red e incluso de dispositivos móviles. Deft v8 está basada en Ubuntu 12.10, y posee un kernel versión 3.5.0-30. Como cualquier tipo de livecd actual, se nos ofrece la opción de instalar la distribución en nuestro disco duro.

Dentro del menú principal de la distribución, nos encontramos las siguientes categorías de herramientas incluidas:
Menú de herramientas de DEFT 8
  • Analysis - Herramientas de análisis de ficheros de diferentes tipos
  • Antimalware - Búsqueda de rootkits, virus, malware, así como PDFs con código malicioso.
  • Data recovery - Software para recuperación de ficheros
  • Hashing - Scripts que permiten la realización de cálculo de hashes de determinados procesos (SHA1, SHA256, MD5...)
  • Imaging - Aplicaciones que podemos utilizar para realizar los clonados y adquisición de imágenes de discos duros u otras fuentes.
  • Mobile Forensics - Análisis de Blackberry, Android, iPhone, así como información sobre las típicas bases de datos de dispositivos móviles en SQLite utilizadas por las aplicaciones.
  • Network Forensics - Herramientas para procesamiento de información almacenada en capturas de red
  • OSINT - Aplicaciones que facilitan la obtención de información asociada a usuarios y su actividad.
  • Password recovery - Recuperación de contraseñas de BIOS, ficheros comprimidos, ofimáticos, fuerza bruta, etc.
  • Reporting tools - Por último, dentro de esta sección encontraremos herramientas que nos facilitarán las tareas de generación de informes y obtención de evidencias que nos servirán para documentar el análisis forense. Captura de pantalla, recopilación de notas, registro de actividad del escritorio, etc.

Dentro de estas secciones, encontraréis muchísimas herramientas que evitarán tener que recopilarlas por cuenta propia. El listado completo de paquetes lo tenéis en este enlace. De esta versión última 8, todavía no existe un manual, pero podéis echar un vistazo al manual para la versión 7, si bien su uso es bastante simple y cada herramienta lleva su man asociado.

Por último, destacar la inclusión dentro de esta versión 8 de DART 2, una suite para gestión y respuesta ante incidentes desde sistemas operativos Windows, que incluye un lanzador de aplicaciones a herramientas para este sistema operativo.

Ejecutando DART en sistema operativo Windows

Podréis descargar la distribución en diferentes formatos (imagen ISO, máquina virtual y versión para pendrives USB, entre otros) teniendo disponibles varios mirrors. Sin duda, una livecd que no debe faltar también en nuestro arsenal de cds/usbs para llevar siempre encima.