TimeStomp: Lee y escribe registros de tiempo de archivos en NTFS. La aplicación se distribuye de manera gratuita y hace parte del Metasploit Anti-Forensic Investigation Arsenal.
Es importante aclarar que los registros de tiempo sirven para almacenar información de modificación, acceso, creación y modificación de entradas (MACE) de un archivo en un sistema NTFS.
M: Fecha y hora de último cambio sobre el atributo datos de la MFT.
A: Última vez que el archivo se vio envuelto en una actividad.
C: Fecha y hora en que fue creado.
E: Tiempo en que fue modificado por última vez cualquier atributo del archivo dentro de la FT como su nombre, metadatos, datos, etc.
Hace parte de las herramientas de destrucción y falsificación de información. Con estas se consigue evitar que el analista obtenga una línea de tiempo verídica de sucesos en sistema, dificultando correlación de eventos y desacreditando la evidencia. Perturba la etapa de análisis de datos dentro del proceso digital forense.
Enlaces Importantes:
Wipe: Herramienta para proteger privacidad o en este caso borrar registros sobre actividad personal. Entre sus prestaciones permite:
Borrar historial del navegador, memoria cache, archivos index.dat, registro, cookies, historial, archivos temporales, entre otros. También borra resto de rastros de actividad personal que se realizó cuando se utiliza el ordenador sin importar el navegador utilizado.
Con el fin de evitar la recuperación de datos borrados, se utiliza el método DoD 5220.22-M, Gutmann de 35 pasos, GOST ruso entre otros. También se puede personalizar el proceso de limpieza y elegir elementos a eliminar y aquellos que no. Se puede observar información detallada de zonas donde se encuentran los datos ubicados en el ordenador.
Enlaces Importantes:
Shred: Herramienta aplicada en Sistemas Unix, la cual sobrescribe los archivos varias veces según la preferencia del usuario (por defecto 25 veces) con patrones de texto, convirtiendo el contenido del archivo original en otro distinto y con información no legible. El comando en consola es simple y basta con invocar a shred e indicarle cual es el archivo o archivos que se quieren afectar o destruir, con esto es suficiente para dejarlos inutilizados. En primera instancia, el archivo no se elimina sino que se transforma. Para eliminarlo se utiliza el parámetro -u.
Enlaces Importantes:
Evidence Eliminator: Aplicación para limpieza profunda del computador, permitiendo eliminar el archivo swap de Windows, logs de aplicación, archivos temporales, respaldos de registros, papelera de reciclaje, datos en el portapapeles, historia de ejecución del menú inicio, datos ordenados, historia de clics, historia de archivos encontrados, historia de Windows Media Player y sus listas grabadas en las librerías, entre otros.
Con respecto a la navegación en Internet, permite borrar URLs, archivos de indización, cache, historia, contraseñas, cookies, componentes de Internet, memoria de carpeta de descarga, contactos de mensajería.
También puede ser ejecutado en el modo sigiloso para operación de incógnito con el fin de omitir la generación de rastros para que nadie sepa de las interacciones del usuario ante cualquier tipo de acción.
Enlaces Importantes:
Aplicaciones Estegranográficas: Algunos programas de tipo gratuito como FileInyector, Steganography Master, Hakros Concealer permiten esconder información en una imagen del ordenador. Es de tener en cuenta que el proceso aplica técnicas de encriptación, por lo cual también es necesario que el usuario muchas veces asigne una clave de seguridad. Cuando se quiera recuperar el archivo se tendrá que realizar mediante el mismo programa. Es muy útil como medio de ocultación y como opción de intercambio seguro en caso de que se pretenda que otras personas puedan descubrir el mensaje.
Enlaces importantes:
0 comentarios:
Publicar un comentario