Adem?s de las tradicionales ventajas del c?digo abierto en el mundo del an?lisis forense, y es que en un juzgado suele ser ?til eso de que el c?digo es auditable y los resultados de la herramienta plenamente trazables al estar los fuentes disponibles, este conjunto de herramientas tiene para m? un conjunto de aspectos positivos y alguna que otra desventaja que me gustar??a comentar.<\/p>\n
Que nadie se espere un reemplazo de FTK o EnCase, porque no lo va a encontrar aqu??. Si asumimos desde un principio las limitaciones de DFF comparado a los frameworks<\/em> profesionales y cu?les son los escenarios donde DFF nos puede servir, es relativamente sencillo encontrar un nicho para estas utilidades. Hay ciertas incompatibilidades pero son solventables. Tambi?n en mi caso he observado alg?n que otro cuelgue del motor de Python provocado por EFF, pero son testimoniales. Tampoco he observado un rendimiento I\/O excepcional, pero es muy decente.<\/p>\n Ventajas muchas: es plenamente interoperable, al estar escrito en Python. Ojo con la versi?n que seleccion?is, ya que la compatibilidad es variable en funci?n a la plataforma escogida. 2.6 en Linux para los paquetes Debian, 2.7 en Windows. Aquellos usuarios que no quieran complicarse la vida pueden optar por la versi?n Windows, que se ofrece en un instalador que integra Python y PyQt que preparar? de forma transparente lo necesario para usar DFF. Los amigos de Linux s?lo deben tener en cuenta que si optan por los paquetes Debian se requiere Python 2.6 para funcionar. Todas las variantes, incluido el c?digo fuente sin empaquetar, est?n disponibles en http:\/\/www.digital-forensic.org\/digital-forensics-framework\/download\/<\/a>.<\/p>\n Para la prueba he optado por la comodidad del paquete Windows con Python y PyQt, montados en una m?quina virtual. Aunque se puede operar mediante consola, la interfaz es amigable y sencilla, resultando bastante intuitiva. He montado una unidad viva conectada al equipo, aunque es posible cargar im?genes igualmente.<\/p>\n La primera opci?n que he ejecutado es un carving<\/em> del medio. El proceso no es excesivamente r?pido (16 minutos para 256 MB para todas las firmas disponibles), pero permite representar gr?ficamente despu?s los formatos identificados y navegar por los contenidos c?modamente, lo que evita tener que ir directorio a directorio, como sucede con los scalpel<\/em>, foremost<\/em> y compa???a. Lo importante es que el proceso es sencillo de ejecutar, pero debe manejarse con cuidado: de todos es sabido la cantidad de falsos positivos que estos procesos generan, sobre todo si buscamos las cadenas haxadecimales relacionadas con PGP.<\/p>\n A continuaci?n, empleando el m?dulo de sistema de fichero y particionado, he accedido a los contenidos del medio, lo que me ha permitido c?modamente recuperar los ficheros borrados y obtener informaci?n ?til del sistema de ficheros. Con un click de rat?n podemos exportar lo que hayamos encontrado.<\/p>\n Muy de agradecer es la presencia de un editor hexadecimal con clara indicaci?n del offset<\/em> del sistema de ficheros que estamos analizando, lo que facilita el an?lisis a bajo nivel si as? fuera necesario:<\/p>\n Adem?s de las funcionalidades comentadas, DFF posee otras muchas, como la generaci?n de scripts<\/em> o expresiones de b?squeda. Mi prueba ha terminado aqu?, pero os invito a que descargu?is y utilic?is la herramienta<\/a>. Aunque no es un reemplazo para una soluci?n profesional, puede ser particularmente ?til en diversos escenarios, como por ejemplo el tratamiento de vol?menes peque?os o de tama?o moderado conectados al equipo, la operaci?n en equipos que no son las estaciones forenses usuales y donde puede haber impedimentos para la ejecuci?n del software<\/em> profesional (licencias, dongles<\/em>, etc), o la posibilidad de realizar an?lisis gr?ficos r?pidos de tareas cotidianas, como el carving<\/em>, la recuperaci?n de elementos borrados y el examen hexadecimal. <\/p>\n Es probable que al ser un desarrollo comunitario las funcionalidades se vayan incrementando con el paso del tiempo y que la estabilidad mejore igualmente. Para m?, tras esta peque?a prueba, DFF se convierte en una herramienta perfectamente ?til para ser instalada en el equipo port?til de an?lisis y que utilizar? con gusto cuando las aplicaciones profesionales no est?n disponibles, o cuando quiera obtener un resultado r?pido para cualquiera de las funcionalidades comentadas.<\/p>\n Un saludo,<\/p>\n","protected":false},"excerpt":{"rendered":" Hola, He estado jugando un poco con Digital Forensics Framework, un conjunto de herramientas de c?digo libre destinadas al an?lisis forense que me ha dejado un buen sabor de boca. Adem?s de las tradicionales ventajas del c?digo abierto en el mundo del an?lisis forense, y es que en un juzgado Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15],"tags":[235,921,920,985],"class_list":["post-6906","post","type-post","status-publish","format-standard","hentry","category-forensics","tag-analisis-forense","tag-dff","tag-digital-forensic-framework","tag-forensics"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/6906","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=6906"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/6906\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=6906"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=6906"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=6906"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Digital](\"http:\/\/www.sahw.com\/images\/forensics\/DFF\/DFF1.png\")
<\/p>\n![\"Digital](\"http:\/\/www.sahw.com\/images\/forensics\/DFF\/DFF2.png\")
<\/p>\n![\"Digital](\"http:\/\/www.sahw.com\/images\/forensics\/DFF\/DFF3.png\")
<\/p>\n![\"Digital](\"http:\/\/www.sahw.com\/images\/forensics\/DFF\/DFF4.png\")
<\/p>\n![\"Digital](\"http:\/\/www.sahw.com\/images\/forensics\/DFF\/DFF5.png\")
<\/p>\n