Recuperación
Autopsy
Permite examinar dispositivos de almacenamiento como discos duros, USB y tarjetas de memoria. Está diseñada para ayudar a los investigadores a recuperar, analizar y documentar evidencia digital de manera eficiente. Su interfaz gráfica simplifica el acceso a diversas funciones como recuperación de datos eliminados, análisis de archivos, y detección de actividades sospechosas en sistemas de archivos.
Funciones principales
Recuperación de Datos Eliminados: Permite recuperar archivos que han sido eliminados pero aún existen en sectores del disco.
Análisis del Sistema de Archivos: Examina sistemas FAT, NTFS, EXT, entre otros, para identificar estructuras y actividades sospechosas.
Búsqueda de Palabras Clave: Ayuda a localizar rápidamente evidencia relevante basada en términos específicos.
Análisis de Línea de Tiempo: Genera una cronología de actividades realizadas en el dispositivo analizado.
Extra
Se pueden añadir extensiones para maximizar su potencial.
Tiene una opción para generar informes detallados en diferentes formatos como PDF, HTML y CSV.
Volatility
Permite a los investigadores extraer y analizar datos de imágenes de memoria volátil (RAM). Está diseñada para identificar patrones de comportamiento malicioso, procesos activos, conexiones de red, contraseñas en texto claro y otra información relevante que reside temporalmente en la memoria de un sistema.
Funciones principales
Extracción de Procesos Activos: Identifica qué procesos estaban en ejecución en el momento en que se capturó la memoria.
Análisis de Conexiones de Red: Permite determinar conexiones de red activas y sospechosas.
Recuperación de Información Sensible: Puede extraer contraseñas, claves de cifrado y otros datos sensibles.
Identificación de Inyecciones de Código: Detecta procesos infectados o manipulados por malware.
Extra
Contiene plugins, algunos de los más interesantes son: pslist (procesos activos), netscan (conexiones de red), malfind (detección de malware).
Puede generar informes detallados y con validez legal.
Last updated