Análisis forense: software de montaje y tratamiento de imágenes

Hola,

Os traigo hoy una recopilación de herramientas Windows destinadas al montaje de imágenes forenses que quizás sea de vuestra utilidad. La idea detrás de la utilización de este tipo de programas es poder montar cómodamente, sin recurrir a la línea de mandatos, las imágenes forenses que hayamos generado, para ser posteriormente analizadas.

En el mundo UNIX normalmente emplearemos mount y cuando se trate de sistemas de ficheros menos convencionales o con componentes propietarios, utilizaremos algún driver de carga que nos permita trabajar con dicho sistema. No obstante me hago cargo de que muchos investigadores se sienten cómodos en Windows, y que a pesar de tener excelentes conocimientos en lo que a investigación se refiere, son menos hábiles con el montaje a mano de sistemas de ficheros. Para este tipo de perfiles he seleccionado algunas herramientas. Si conoces alguna más, no olvides comentarlo.

En el listado encontraréis también alguna que otra herramienta para el montaje de medios ópticos. Las he incluido porque en ciertas circunstancias las evidencias pueden llegarnos en un formato de imagen de este tipo, con lo que no está de más enumerarlas. Vamos allá.

FTK Imager

  • Coste: Es un producto gratuito
  • Permite montar: Prácticamente todo tipo de formatos de imagen forenses habituales, como Encase, SnapBack, Safeback, Expert Witness, Linux DD, ICS, Ghost, SMART, AccessData Logical Image y Advanced Forensics Format (AFF), con un soporte muy extenso para sistemas de ficheros de unidades ópticas, discos duros cifrados y sistemas de fichero de disco
  • Ventajas: Sin coste, es una suite forense completa que permite realizar diversas operaciones de análisis, incluyendo la captura en vivo de la memoria del sistema en ejecución.
  • Desventajas: Ninguna digna de reseña
  • Valoración: 8/10
  • URL: http://accessdata.com/support/adownloads#FTKImager

ProDiscover Basic

  • Coste: Existe una versión de pago (1495 USD en adelante) y una versión básica gratuita
  • Permite montar: No es una herramienta de montaje de imágenes
  • Ventajas: Aunque no permite el montaje directo de imágenes, permite abrir los ficheros forenses habituales para trabajar con ellos. Adicionalmente, tiene incorporadas herramientas para la conversión de imágenes que permite, entre otras, lanzar imágenes DD en VMware. Es una suite forense completa que posibilita operaciones de análisis
  • Desventajas: No permite el montaje de imágenes en unidades lógicas
  • Valoración: 7/10
  • URL: http://www.techpathways.com/DesktopDefault.aspx?tabindex=8&tabid=14

P2 eXplorer Pro

  • Coste: Existe una versión de pago (199 USD) y una versión gratuita
  • Permite montar: Paraben’s Forensic Replicator, Paraben’s Forensic storage containers, Encase 4-5-6, Safeback, RAW, DD, FTK Encase, FTK DD y FTK SMART
  • Ventajas: Es tremendamente versátil en cuanto a imágenes que pueden ser montadas, soportando prácticamente todos los formatos usuales. La versión de pago tiene un coste asumible
  • Desventajas: La versión gratuita no soporta integración con VMware
  • Valoración: 7/10
  • URL: http://www.paraben.com/p2-explorer-pro.html

Mount Image Pro

  • Coste: 300 USD, versión de prueba disponible
  • Permite montar: EnCase .E01, .L01, AccessData FTK .E01, .AD1, Unix/Linux DD, RAW, Forensic File Format .AFF, SMART, ISO, VMWare, ProDiscover, Microsoft VHD, Apple DMG
  • Ventajas: Es un producto forense profesional, sencillo de utilizar, y soporta una enorme variedad de formatos de imagen, incluido VMware, y permite generar una unidad lógica en sólo lectura para acceder cómodamente a los contenidos de la imagen
  • Desventajas: Coste
  • Valoración: 7/10
  • URL: http://www.mountimage.com

Daemon tools

  • Coste: Existen distintas versiones de pago y una gratuita
  • Permite montar: Prácticamente todo tipo de formatos de imagen de medios ópticos (ISO, NRG, B5T, B6T, BWT, CCD, CDI, CUE, ISZ)
  • Ventajas: Sencilla de utilizar, soporta una enorme variedad de formatos de imagen para medios ópticos. Los costes de las licencias no gratuitas son pequeños y asumibles
  • Desventajas: La funcionalidad de la versión de pago supera a la gratuita en dos aspectos fundamentales: ni permite montar medios en el sistema de archivos, ni se permite la conversion de imágenes
  • Valoración: 7/10
  • URL: http://www.daemon-tools.cc/eng/downloads

Gizmo Drive

  • Coste: Gratuita
  • Permite montar: ISO, VHD, IMG, BIN, CUE, CCD, NRG, MDS, MDF, GDRIVE
  • Ventajas: Es gratuita y forma parte de una suite con otros productos interesantes
  • Desventajas: No es una herramienta forense, con lo que no soporta RAW ni DD, así como otros formatos forenses habituales. Otros productos tienen más compatibilidad y soportan más formatos, incluso en su area de especialidad
  • Valoración: 5/10
  • URL: http://arainia.com/software/gizmo/overview.php?nID=4

Espero que este listado os sea de utilidad. Sentíos libres de ampliarlo usando los comentarios :)

Un saludo,