A Computação Forense consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. A aplicação desses métodos nem sempre se dá de maneira simples, uma vez que encontrar uma evidência digital em um computador pode ser uma tarefa muito árdua. Atualmente, com os discos rígidos atingindo a capacidade de TeraBytes de armazenamento, milhões de arquivos podem ser armazenados. Logo, é necessário a utilização de métodos e técnicas de Computação Forense para encontrar a prova desejada que irá solucionar um crime, por exemplo.
http://pt.wikipedia.org/wiki/Computa%C3%A7%C3%A3o_forense
http://pt.wikipedia.org/wiki/Forense_computacional
SANS SIFT Workstation 2,0
Faculty Fellow Rob Lee criou o SANS Investigativo Forensic Toolkit Workstation (SIFT) apresentou na Computação Forense Investigações e Resposta a Incidentes de curso (FOR 508) a fim de mostrar que as investigações avançadas e hackers investigando pode ser feito usando ferramentas disponíveis livremente open-source. O SANS SIFT Workstation é um aparelho de VMware, que é pré-configurado com todas as ferramentas necessárias para realizar um exame detalhado forense digital. É compatível com Expert Witness Format (E01), Advanced Forensic Format (AFF), e matérias-primas formatos (dd) provas. A nova versão foi totalmente reconstruída sobre uma base Ubuntu com muitas ferramentas e recursos que podem corresponder a qualquer pacote de ferramentas forenses modernas.
http://computer-forensics.sans.org/community/downloads
C.A.IN.E. Computer Aided Investigative Environment
Caine (Computer Aided Investigativo Environment) é um italiano GNU / Linux live criado como um projeto da Digital Forensics
Atualmente, o gerente do projeto é Nanni Bassetti. CAINE oferece um completo ambiente forense, que é organizado para integrar ferramentas de software existentes como módulos de software e para fornecer uma interface gráfica amigável.
Os objetivos principais do projeto que visa garantir CAINE são os seguintes:
* um ambiente inter-operável que suporta o investigador digital durante as quatro fases da investigação digital
* uma interface gráfica amigável
* compilação de uma semi-automática do relatório final
http://www.caine-live.net/
DEFT Linux
DEFT 6 baseia-se Lubuntu com Kernel 2.6.35 (Linux lateral) e Extra DEFT 3.0 (Windows lado) com os melhores freeware Computação Forense, que é um novo conceito de computador do sistema judicial ao vivo, ewflib pronto, que usam o WINE para executar Windows Computer Forensics ferramentas em Linux.
http://www.deftlinux.net/
SMART Linux
SMART é uma distribuição Linux live CD do Linux, personalizado e concebido para dados forense, a Discovery Eletrônica e Resposta a Incidentes. Cada aspecto da SMART Linux foi otimizado e configurado para a produção de um ambiente limpo, não-invasivo, de ambiente do sistema operacional forense.
http://www.asrdata2.com/
Forensic Hard Copy.
FHC é uma distribuição Linux desenvolvida apenas para a aquisição de evidências digitais em dispositivos de armazenamento. É comumente usado da Polícia Italiana Cyber a fim de acelerar e manter a integridade dos dados.
http://www.fhclive.org/
REMnux Linux Distribution for Reverse-Engineering Malware
REMnux é uma distribuição Linux leve para auxiliar analistas de malware em engenharia reversa de software malicioso. A distribuição é baseada no Ubuntu e é mantido por Lenny Zeltser.
REMnux é projetado para executar os serviços que são úteis para emular dentro de um ambiente de laboratório isolado na realização de análise de malware comportamentais. Como parte deste processo, o analista normalmente infecta um outro sistema de laboratório com a amostra de malware e direciona as ligações potencialmente maliciosos para o sistema REMnux que está escutando nas portas apropriadas.
http://remote-execution.blogspot.com/2010/08/remnux-distribuicao-linux-para-reverse.html
FDTK-UbuntuBr – Forense Digital ToolKit
O FDTK-UbuntuBr, é um projeto livre que objetiva produzir e manter uma distribuição para coleta e análise de dados em Pericias de Forense Computacional.
O projeto FDTK-UbuntuBr é uma distribuição Linux criada a partir da já consagrada distribuição Ubuntu, e reúne mais de 100 ferramentas capazes de atender a todas as etapas de um investigação em Forense Computacional, oferecendo a possibilidade de ser utilizada como LiveCD e também ser instalada em um equipamento transformando-o em uma estação Forense. Essa distribuição está em constante desenvolvimento e caracteriza-se não apenas pela quantidade de ferramentas, mas também por uma interface amigável, estruturada conforme as etapas do processo de perícia e, ainda pela preocupação por ser distribuída no idioma português.
Atualmente ela está na versão 3.0, e contamos com sua contribuição de toda a comunidade Linux para que ela fique ainda melhor.
http://fdtk.com.br/www/download/
FCCU - Federal Computer Crime Unit
FCCU GNU/Linux Forensic Bootable CD é um CD bootável baseado no Knoppix, que contém uma grande quantidade de ferramentas adequadas para investigação forense computacional, incluindo bash scripts.
FCCU GNU / Linux Forensic objetivo principal Boot CD é a criação de imagens de dispositivos antes da análise, e é usada pelo Belgica Federal Computer Crime Unit.
http://www.lnx4n6.be/index.php?sec=Downloads&page=bootcd
Helix - Digital Forense
Helix3 Pro é a única ferramenta necessária para cada kit de ferramentas de informática forense! Obter a única ferramenta com um LiveCD de arranque para as suas necessidades de investigação.
A multi-plataforma Live Side para três ambientes; Mac OS X, Windows e Linux com uma interface simples de usar
Faça imagens forenses de todos os dispositivos internos
Faça uma imagem forense de memória física (32 e 64 bits)
Determinar se o nível de criptografia de disco está ativada
Um ambiente de boot forense para inicializar qualquer sistema x86
Faça imagens forenses de todos os dispositivos
Procura arquivos para tipos de arquivo específico (ou seja, arquivos gráficos, arquivos de documentos, etc)
Vários aplicativos de código aberto forense para auxiliar na análise dos dados, incluindo a análise de telefone celular.
http://www.e-fense.com/helix3pro.php
Atualizado em 28/05/11.
-----------------------------xxx-----------------------------
Extra:
Lista de ferramentas separadas por etapas
1 – Coleta de Dados
Formulário --> Formulário de Cadeia de Custódia
gnome-screenshot -> Salvar imagens da àrea de trabalho ou de janelas individuais
aimage --> Geração de imagem dos dados das mídias utilizando o padrão aff
air --> Interface gráfica para dd/dcfldd, para criar facilmente imagens forense
---------------xx------------------
dc3ddgui --> Interface gráfica para O DC3DD, para criar imagens forense
dcfldd --> Versão aprimorada pelo DOD-Departament of Defense do dd
dd --> Ferramenta para geração de imagem dos dados
ddrescue --> Recuperar dados de hds com setores defeituosos (bad blocks)
mondoarquive --> Copiar dados de fitas, cd's, nsf ou hd's
mondorestore --> Restaurar dados de fitas, cd's, nsf ou hd's
rdd --> Versão mais robusta do dd
rddi --> Prompt interativo do rdd
sdd --> Versão da ferramenta dd para Fitas (DAT, DLT...)
memdump --> Dumper de memória para sistemas UNIX-like
md5sum --> Gerar hash md5
sha1sum --> Gera hash sha 160bits
discover --> Informações sobre Hardware
hardinfo --> Informações e Testes do Sistema
lshw-gráfico --> Lista os dispositivos de hardware em formato HTML
sysinfo --> Mostra informações do computador e do sistema
wipe --> Remover totalmente os dados das Mídias
2 – Exame dos Dados
cabextract --> Acessar conteúdo de arquivos .cab
orange --> Ferramenta para manipular arquivos .cab
p7zip --> Acessar arquivos zip
unace --> Ferramenta para descompactar extensões .ace
unrar-free --> Ferramenta para descompactar arquivos rar
unshield --> Ferramenta para descompactar arquivos CAB da MS
xarchiver --> Criar, modificar e visualizar arquivos compactados
zoo --> Acessar arquivos compactados .zoo
dcraw --> Acessar imagens cruas de câmeras digitais
exif --> Ler informações EXIF de arquivos jpeg
exifprobe --> Exame do conteúdo e da estrutura dos arquivos de imagens JPEG e TIFF
exiftran --> Transformar imagens raw de câmeras digitais
exiftags --> Adquirir informações sobre a câmera e as imagens por ela produzidas
exiv2 --> Manipular metadados de imagens
jhead --> Visualizar e manipular os dados de cabeçalhos de imagens jpeg
jpeginfo --> Ferramenta para coletar informações sobre imagens jpeg
antiword --> Ferramenta para ler arquivos do MS-Word
dumpster --> Acessar os arquivos da lixeira do Windows
fccu-docprob --> Ferramenta para visualizar as propriedades de arquivos OLE
mdb-hexdump --> Ferramenta para manipulação de arquivos MDB
readpst --> Ferramenta para ler arquivos do MS-Outlook
reglookup --> Utilitário para leitura e resgate de dados do registro do Windows
regp --> Acessar o conteúdo de arquivos .dat
tnef --> Acessar anexos de email's MS
bcrypt --> Encriptar e decriptar arquivos usando o algoritmo blowfish
ccrypt --> Encriptar e decriptar arquivos e streams
outguess --> Detectar dados ocultos em imagens JPG
stegcompare --> Comparar imagens jpeg e detectar a existência de steganografia
stegdimage --> Detectar a existência de steganografia em imagens jpeg
stegdetect --> Detectar a existência de steganografia em imagens jpeg
xsteg --> Ferramenta gr fica para detectar steganografia em imagens jpeg
ghex2 --> Visualizar arquivos em formato HEX
hexcat --> Visualizar arquivos em formato HEX
ghexdump --> Visualizar arquivos em formato HEX
affcat --> Verificar conteúdo de arquivos .aff sem montar
afcompare --> Comparar dois arquivos .aff
afconvert --> Converte aff -> raw, raw -> aff, aff -> aff recompactando-o
afinfo --> Visualizar estatísticas sobre um ou mais arquivos aff
afstats --> Visualizar estatísticas sobre um ou mais arquivos aff
afxml --> Exportar metadados de arquivos aff para um arquivo xml
dcat --> Localizar dados dentro de arquivos dd, aff, ewf
glark --> Ferramenta semelhante ao grep para localizar dados
gnome-search-tool --> Ferramenta gráfica de localização de arquivos
slocate --> Localiza arquivos e indexa os disco
mac-robber --> Coletar dados de arquivos para criar a linha de tempo (timeline)
mactime --> Cria uma linha do tempo ASCII das atividades dos arquivos
ntfscat --> Concatenar arquivos e visualizá-los sem montar a partição NTFS
ntfsclone --> Clonar um sistema de arquivos NTFS ou somente parte dele
ntfscluster --> Localizar arquivo dentro de cluster ou de v rios clusters NTFS
ntfsinfo --> Obter informações sobre partições NTFS
ntfslabel --> Verificar ou alterar a descrição de partições NTFS
ntfsls --> Lista o conteúdo de diretórios em partições NTFS sem montá-los
fcrackzip --> Ferramenta para quebrar as senhas de arquivos compactados em ZIP
john the ripper --> Ferramenta para localizar senhas de usuários
medussa --> Crack de senhas
ophcrack --> Crack de senhas do Windows
e2undel --> Ferramenta para recuperar arquivos em partições ext2
fatback --> Ferramenta para recuperar dados de sistemas de arquivos FAT
foremost --> Ferramenta para recuperação de imagens a partir dos cabeçalhos
gzrecover --> Ferramenta para extrair dados de arquivos gzip corrompidos
magicrescue --> Recuperação de imagens RAW, baseando-se nos cabeçalhos
ntfsundelete --> Recuperar arquivos deletados em partições NTFS
recover --> Ferramenta para recuperar todos inodes deletados de um disco
recoverjpg --> Ferramenta para recuperar imagens jpg
scrounge-ntfs --> Ferramenta para recuperar dados de partições NTFS
chkrookit --> Ferramenta para identificar a presença de rootkits no sistema
rkhunter --> Ferramenta para identificar a presença de rootkits no sistema
fspot --> Organizador de imagens fotos
gthumb --> Visualizar e organizar imagens
imageindex --> Gera galeria de imagens em html
3- Análise das Evidências
coockie_cruncher --> Analisar coockies
eindeutig --> Analisar arquivos .dbx
fccu-evtreader --> Script perl para visualizar arquivos de eventos da MS (EVT)
galleta --> Analisar coockies do Windows
GrocEVT --> Coleção de scripts construídos para ler arquivos de eventos do Windows
mork --> Script perl para visualizar arquivos history.dat do firefox
pasco --> Analisar cache do IExplorer
rifiuti --> Analisar arquivos INF2 da MS
xtraceroute --> Tracerouter gráfico
4 – ToolKits
autopsy --> Browser para realizar Perícias Forenses
Tem uma brasileira, a Forense Digital ToolKit (FDTK), que é baseada no Ubuntu. Vale a pena conferir: http://fdtk.com.br/
ResponderExcluirAbraço!
Álisson,
ResponderExcluirObrigado pela informação.
Tópico atualizado!
Abraços []'
Excelente lista amigo! Vou conferir a VM do SANS tem cara de ser bem interessante.
ResponderExcluir