viernes, 16 de octubre de 2015

¿Distribución Forense en Windows?

Hoy en el trabajo THE BOSS (ayer jugué un poco al MGS3 así que me lo tendréis que perdonar) ha pedido una distribución en la que fuera fácil hacer forenses de cualquier tipo. Supongo que si al pobre que le ha tocado ocuparse de la tarea hubiera decidido  buscar un poco en internet abría encontrado distribuciones como CAINE que ya esta preparadas para este uso. Pero no,al pobre se le ha ocurrido coger un Windows 7 y crear una imagen para botearla mas tarde desde un USB.


Bueno, después de enseñarle la "distro" a THE BOSS ha hecho hincapié en que habían aproximadamente unas 100 herramientas metidas allí. No se como las habrá ordenar pero si fuera yo construiría la distro/imagen siguiendo los siguientes pasos: 
  • En el blog de conexión inversa de Pedro Sanchez podemos encontrar una lista de 80 herramientas para Windows entre las que se encuentran también algunas para hacer forenses a diferentes dispositivos Android.  Ademas Pedro, muy sabiamente se ha encargado de ordenarlas según el RFC 3227 el cual indica el orden de extracción/recolección de evidencias y su almacenamiento. 
RFC son las siglas de Resquest For Coments y se trata de documentos que recogen propuestas de expertos sobre la materia con el fin de establecer una serie de pautas. 

Por cierto, el RFC 3227 lo podeis encontrar en las siguientes direcciones: 
Ok, con esto ya tendría las herramientas necesarias y podría crear directorios para ellas y para que nos sea mas fácil acceder a ellas.  Pero, eso seria demasiado fácil.
  • Si tuviera mas tiempo le haría un menú en Python que arranque los programas que THE BOSS necesite. 
Pero bueno, todo dependería del tiempo que tuviera yo. Si quereis la lista de herramientas os dejo el enlace al blog de ConexiónInversa aquí abajo: 
Esta sería mi manera de hacer una distro forense si tuviera que usar Windows y el tiempo justo. Aunque yo soy mas de la opinión de que cuanto mas pequeña sea la distro y menos machaque la RAM mejor. ¿Que opináis?

Sed Buenos ;)

No hay comentarios:

Publicar un comentario