Informtica Forense

CONTENIDO
Introduccin
Qu es la Informtica Forense?
Importancia de la Informtica Forense
Objetivos de la Informtica Forense
Usos de la Informtica Forense
Ciencia Forense
Network Forensics
NFTA (Network Forensic Analysis Tool)
Evidencia Digital
Clasificacin de la evidencia digital
Criterios de admisibilidad
Manipulacin de la evidencia digital
Gestin de la evidencia digital
Herramientas

Introduccin

La informtica forense est adquiriendo una gran importancia dentro del

rea de la informacin electrnica, esto debido al aumento del valor de
la informacin y/o al uso que se le da a sta, al desarrollo de nuevos
espacios donde es usada (por Ej. El Internet), y al extenso uso de
computadores por parte de las compaas de negocios tradicionales (por
Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la
informacin queda almacenada en forma digital. Sin embargo, existe un
gran problema, debido a que los computadores guardan la informacin de
informacin forma tal que no puede ser recolectada o usada como prueba
utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales. Es de aqu que surge el estudio de la computacin forense
como una ciencia relativamente nueva.
Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de
la fsica, de la electricidad y el magnetismo. Es gracias a fenmenos
electromagnticos que la informacin se puede almacenar, leer e incluso
recuperar cuando se crea eliminada.
La informtica forense, aplicando procedimientos estrictos y rigurosos
puede ayudar a resolver grandes crmenes apoyndose en el mtodo
cientfico, aplicado a la recoleccin, anlisis y validacin de todo tipo
de pruebas digitales.

Qu es la Informtica Forense?

Segn el FBI, la informtica (o computacin) forense es la ciencia de

adquirir, preservar, obtener y presentar datos que han sido procesados
electrnicamente y guardados en un medio computacional.
La informtica forense hace entonces su aparicin como una disciplina
auxiliar de la justicia moderna, para enfrentar los desafos y tcnicas
de los intrusos informticos, as como garante de la verdad alrededor de
la evidencia digital que se pudiese aportar en un proceso.
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el
cumplimiento de la ley empezaron a desarrollar programas para examinar
evidencia computacional.

Dentro de lo forense encontramos varias definiciones:

Computacin forense (computer forensics) que entendemos por disciplina de
las ciencias forenses, que considerando las tareas propias asociadas con
la evidencia, procura descubrir e interpretar la informacin en los

medios informticos para establecer los hechos y formular las hiptesis

relacionadas con el caso; o como la disciplina cientfica y especializada
que entendiendo los elementos propios de las tecnologas de los equipos
de computacin ofrece un anlisis de la informacin residente en dichos
equipos.

Forensia en redes (network forensics)

Es un escenario an ms complejo, pues es necesario comprender la manera
como los protocolos, configuraciones e infraestructuras de comunicaciones
se conjugan para dar como resultado un momento especfico en el tiempo y
un comportamiento particular.
Esta conjuncin de palabras establece un profesional que entendiendo las
operaciones de las redes de computadores, es capaz, siguiendo los
protocolos y formacin criminalstica, de establecer los rastros, los
movimientos y acciones que un intruso ha desarrollado para concluir su
accin. A diferencia de la definicin de computacin forense, este
contexto exige capacidad de correlacin de evento, muchas veces disyuntos
y aleatorios, que en equipos particulares, es poco frecuente.

Forensia digital (digital forensics)

Forma de aplicar los conceptos, estrategias y procedimientos de la
criminalstica tradicional a los medios informticos especializados, con
el fin de apoyar a la administracin de justicia en su lucha contra los
posibles delincuentes o como una disciplina especializada que procura el
esclarecimiento de los hechos (quin?, cmo?, dnde?, cundo?,
porqu?) de eventos que podran catalogarse como incidentes, fraudes o
usos indebidos bien sea en el contexto de la justicia especializada o
como apoyo a las acciones internas de las organizaciones en el contexto
de la administracin de la inseguridad informtica.

Importancia de la Informtica Forense

"High-tech crime is one of the most important priorities of the
Department of Justice". Con esta frase podemos ver cmo poco a poco los
crmenes informticos, su prevencin, y procesamiento se vuelven cada vez
ms importantes. Esto es respaldado por estudios sobre el nmero de
incidentes reportados por las empresas debido a crmenes relacionados con
la informtica.
Sin embargo, la importancia real de la informtica forense proviene de
sus objetivos.

Objetivos de la Informtica Forense

La informtica forense tiene 3 objetivos, a saber:

1. La compensacin de los daos causados por los criminales o intrusos.

2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.

Estos objetivos son logrados de varias formas, entre ellas, la principal

es la recoleccin de evidencia.

Usos de la Informtica Forense

Existen varios usos de la informtica forense, muchos de estos usos
provienen de la vida diaria, y no tienen que estar directamente
relacionados con la informtica forense:
1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para
procesar una variedad de crmenes, incluyendo homicidios, fraude
financiero, trfico y venta de drogas, evasin de impuestos o pornografa
infantil.
2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso,
divorcio, pueden ser ayudados por la informtica forense.
3. Investigacin de Seguros: La evidencia encontrada en computadores,
puede ayudar a las compaas de seguros a disminuir los costos de los
reclamos por accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada informacin en casos que
tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin
confidencial o propietaria, o an de espionaje industrial.
5. Mantenimiento de la ley: La informtica forense puede ser usada en la
bsqueda inicial de rdenes judiciales, as como en la bsqueda de
informacin una vez se tiene la orden judicial para
hacer la bsqueda exhaustiva.

Ciencia Forense
La ciencia forense nos proporciona los principios y tcnicas que
facilitan la investigacin del delito criminal, en otras palabras:
cualquier principio o tcnica que puede ser aplicada para identificar,

recuperar, reconstruir o analizar la evidencia durante una investigacin

criminal forma parte de la ciencia forense.
Los principios cientficos que hay detrs del procesamiento de una
evidencia son reconocidos y usados en procedimientos como:
Recoger y examinar huellas dactilares y ADN.
Recuperar documentos de un dispositivo daado.
Hacer una copia exacta de una evidencia digital.
Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto
para asegurar que este no se ha modificado.
Firmar digitalmente un documento para poder afirmar que es autntico y
preservar la cadena de evidencias.
Un forense aporta su entrenamiento para ayudar a los investigadores a
reconstruir el crimen y encontrar pistas. Aplicando un mtodo cientfico
analiza las evidencias disponibles, crea hiptesis sobre lo ocurrido para
crear la evidencia y realiza pruebas, controles para confirmar o
contradecir
esas hiptesis. Esto puede llevar a una gran cantidad de posibilidades
sobre lo que pudo ocurrir, esto es debido a que un forense no puede
conocer el pasado, no puede saber qu ocurri ya que slo dispone de una
informacin limitada. Por esto, slo puede presentar posibilidades
basadas en la informacin limitada que posee.

Un principio fundamental en la ciencia forense, que usaremos

continuamente para relacionar un criminal con el crimen que ha cometido,
es el Principio de Intercambio o transferencia de Locard, (Edmond Locard,
francs fundador del instituto de criminalstica de la universidad de
Lion, podemos ver el esquema en la figura 1.

Figura 1: Principio de transferencia de Locard.

Este principio fundamental viene a decir que cualquiera o cualquier
objeto que entra en la escena del crimen deja un rastro en la escena o en
la vctima y vice-versa (se lleva consigo), en otras palabras: cada
contacto deja un rastro. En el mundo real significa que si piso la
escena del crimen con toda seguridad dejar algo mo ah, pelo, sudor,
huellas, etc. Pero tambin me llevar algo conmigo cuando abandone la
escena del crimen, ya sea barro, olor, una fibra, etc. Con algunas de
estas evidencias, los forenses podrn demostrar que hay una posibilidad
muy alta de que el criminal estuviera en la escena del crimen.

En este ejemplo hemos hablado de evidencias fsicas, en la ciencia

forense tradicional hay varios tipos de evidencias fsicas:

Evidencia transitoria: como su nombre indica es temporal por

naturaleza, por ejemplo un olor, la temperatura, o unas letras sobre la
arena o nieve (un objeto blando o cambiante).
Evidencia curso o patrn: producidas por contacto, por ejemplo la
trayectoria de una bala, un patrn de rotura de un cristal, patrones de
posicionamiento de muebles, etc.
Evidencia condicional: causadas por una accin o un evento en la escena
del crimen, por ejemplo la localizacin de una evidencia en relacin con
el cuerpo, una ventana abierta o cerrada, una radio encendida o apagada,
direccin del humo, etc.
Evidencia transferida: generalmente producidas por contacto entre
personas, entre objetos o entre personas y objetos. Aqu descubrimos el
concepto de relacin.
En la prctica las evidencias transferidas se dividen en dos tipos,
conocidas como:
Transferencia por rastro: aqu entra la sangre, semen, pelo, etc.
Transferencia por huella: huellas de zapato, dactilares, etc.

Aunque en la realidad, estas ltimas suelen mezclarse, por ejemplo una

huella de zapato sobre un charco de sangre.
El principio de intercambio de Locard se puede resumir as:
1. El sospechoso se llevar lejos algn rastro de la escena y de la
vctima.
2. La vctima retendr restos del sospechoso y puede dejar rastros de si
mismo en el sospechoso.
3. El sospechoso dejar algn rastro en la escena.
El objetivo es establecer una relacin entre los diferentes componentes:

la
la
la
el

escena del crimen

vctima
evidencia fsica
sospechoso

Para la correcta resolucin del caso, todos estos componentes deben estar
relacionados. Esto se conoce como el concepto de relacin, que es lo que
nos faltaba para completar el principio de intercambio de Local.
Las evidencias pueden, a su vez, ser transferidas de dos formas
distintas:
1. Transferencia directa: cuando es transferida desde su origen a otra
persona u objeto de forma directa.
2. Transferencia indirecta: cuando es transferida directamente a una
localizacin y, de nuevo, es transferida a otro lugar.
Importante resaltar que cualquier cosa y todo puede ser una evidencia.
Brevemente, la ciencia forense facilita las herramientas, tcnicas y
mtodos sistemticos (pero cientficos) que pueden ser usados para
analizar una evidencia digital y usar dicha evidencia para reconstruir
qu ocurri durante la realizacin del crimen con el ltimo propsito de
relacionar al autor, a la vctima y la escena del crimen.

Network Forensics
Forensia en redes, es un escenario an ms complejo, pues es necesario
comprender la manera como los protocolos, configuraciones e
infraestructuras de comunicaciones se conjugan para dar como resultado un
momento especfico en el tiempo y un comportamiento particular. Esta
conjuncin de palabras establece un profesional que entendiendo las
operaciones de las redes de computadores, es capaz, siguiendo los
protocolos y formacin criminalstica, de establecer los rastros, los
movimientos y acciones que un intruso ha desarrollado para concluir su
accin. A diferencia de la definicin de computacin forense, este
contexto exige capacidad de correlacin de evento, muchas veces disyuntos
y aleatorios, que en equipos particulares, es poco frecuente.
Es la captura, almacenamiento y anlisis de los eventos de una red, para
descubrir el origen de un ataque o un posible incidente.

NFTA (Network Forensic Analysis Tool)

Evidencia Digital
Casey define la evidencia de digital como cualquier dato que puede
establecer que un crimen se ha ejecutado (commit) o puede proporcionar
una enlace (link) entre un crimen y su vctima o un crimen y su autor.

Cualquier informacin, que sujeta a una intervencin humana u otra

semejante, ha sido extrada de un medio informtico
A diferencia de la documentacin en papel, la evidencia computacional es
frgil y una copia de un documento almacenado en un archivo es idntica
al original. Otro aspecto nico de la evidencia computacional es el
potencial de realizar copias no autorizadas de archivos, sin dejar rastro
de que se realiz una copia. Esta situacin crea problemas concernientes
a la investigacin del robo de secretos comerciales, como listas de
clientes, material de investigacin, archivos de diseo asistidos por
computador, frmulas y software propietario.
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se
deben alterar de los originales del disco, porque esto invalidara la
evidencia; por esto los investigadores deben revisar con frecuencia que
sus copias sean exactas a las del disco del sospechoso, para esto se
utilizan varias tecnologas, como por ejemplo checksums o hash MD5.

Cuando ha sucedido un incidente, generalmente, las personas involucradas

en el crimen intentan manipular y alterar la evidencia digital, tratando
de borrar cualquier rastro que pueda dar muestras del dao. Sin embargo,
este problema es mitigado con algunas caractersticas que posee la
evidencia digital.

La evidencia de Digital puede ser duplicada de forma exacta y se puede

sacar una copia para ser examinada como si fuera la original.
Esto se hace comnmente para no manejar los originales y evitar el riesgo
de daarlos.
Actualmente, con las herramientas existentes, es muy fcil comparar la
evidencia digital con su original, y determinar si la evidencia digital
ha sido alterada.
La evidencia de Digital es muy difcil de eliminar. An cuando un
registro es borrado del disco duro del computador, y ste ha sido
formateado, es posible recuperarlo.
Cuando los individuos involucrados en un crimen tratan de destruir la
evidencia, existen copias que permanecen en otros sitios.

Clasificacin de la evidencia digital

La evidencia digital que contiene texto en 3 categoras:
Registros generados por computador: Estos registros son aquellos, que
como dice su nombre, son generados como efecto de la programacin de un
computador. Los registros generados por computador son inalterables por
una persona. Estos registros son llamados registros de eventos de

seguridad (logs) y sirven como prueba tras demostrar el correcto y

adecuado funcionamiento del sistema o computador que gener el registro.

Registros no generados sino simplemente almacenados por o en

computadores: Estos registros son aquellos generados por una persona, y
que son almacenados en el computador, por ejemplo, un documento realizado
con un procesador de palabras. En estos registros es importante lograr
demostrar la identidad del generador, y probar hechos o afirmaciones
contenidas en la evidencia misma. Para lo anterior se debe demostrar
sucesos que muestren que las afirmaciones humanas contenidas en la
evidencia son reales.

Registros hbridos que incluyen tanto registros generados por computador

como almacenados en los mismos: Los registros hbridos son aquellos que
combinan afirmaciones humanas y logs. Para que estos registros sirvan
como prueba deben cumplir los dos requisitos anteriores.

Criterios de admisibilidad
En legislaciones modernas existen cuatro criterios que se deben tener en
cuenta para analizar al momento de decidir sobre la admisibilidad de la
evidencia: la autenticidad, la confiabilidad, la completitud o
suficiencia, y el apego y respeto por las leyes y reglas del poder
judicial.

Autenticidad: Una evidencia digital ser autentica siempre y cuando se

cumplan dos elementos:
El primero, demostrar que dicha evidencia ha sido generada y registrada
en el lugar de los hechos
La segunda, la evidencia digital debe mostrar que los medios originales
no han sido modificados, es decir, que la los registros corresponden
efectivamente a la realidad y que son un fiel reflejo de la misma.
A diferencia de los medios no digitales, en los digitales se presenta
gran volatilidad y alta capacidad de manipulacin. Por esta razn es
importante aclarar que es indispensable verificar la autenticidad de las
pruebas presentadas en medios digitales contrario a los no digitales, en
las que aplica que la autenticidad de las pruebas aportadas no ser
refutada, de acuerdo por lo dispuesto por el artculo 11 de la ley 446 de
1998:
Autenticidad de documentos. En todos los procesos, los documentos
privados presentados por las partes para ser incorporados a un expediente
judicial con fines probatorios, se reputarn autnticos, sin necesidad de
presentacin personal ni autenticacin. Todo ello sin perjuicio de lo
dispuesto en relacin con los documentos emanados de terceros [Ley446].

Para asegurar el cumplimiento de la autenticidad se requiere que una

arquitectura exhiba mecanismos que certifiquen la integridad de los
archivos y el control de cambios de los mismos.
Confiabilidad: Se dice que los registros de eventos de seguridad son
confiables si provienen de fuentes que son crebles y
verificable[AdmEvi03]. Para probar esto, se debe contar con una
arquitectura de computacin en correcto funcionamiento, la cual demuestre
que los logs que genera tiene una forma confiable de ser identificados,
recolectados, almacenados y verificados.

Una prueba digital es confiable si el sistema que lo produjo no ha sido

violado y estaba en correcto funcionamiento al momento de recibir,
almacenar o generar la [Link] arquitectura de computacin del sistema
lograr tener un funcionamiento correcto siempre que tenga algn
mecanismo de sincronizacin del registro de las acciones de los usurarios
del sistema y que a posea con un registro centralizado e ntegro de los
mismos registros.

Suficiencia o completitud de las pruebas: Para que una prueba est

considerada dentro del criterio de la suficiencia debe estar completa.
Para asegurar esto es necesario contar con mecanismos que proporcionen
integridad, sincronizacin y centralizacin [AdmEvi03] para lograr tener
una vista completa de la situacin. Para lograr lo anterior es necesario
hacer una verdadera correlacin de eventos, la cual puede ser manual o
sistematizada.

Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio
se refiere a que la evidencia digital debe cumplir con los cdigos de
procedimientos y disposiciones legales del ordenamiento del pas. Es
decir, debe respetar y cumplir las normas legales vigentes en el sistema
jurdico.

Manipulacin de la evidencia digital

Es importante tener presente los siguientes requisitos que se deben
cumplir en cuanto a la manipulacin de la evidencia digital.
Hacer uso de medios forenses estriles (para copias de informacin)
Mantener y controlar la integridad del medio original. Esto significa,
que a la hora de recolectar la evidencia digital, las acciones realizadas
no deben cambiar nunca esta evidencia.
Cuando sea necesario que una persona tenga acceso a evidencia digital
forense, esa persona debe ser un profesional forense.

 Las copias de los datos obtenidas, deben estar correctamente marcadas,

controladas y preservadas. Y al igual que los resultados de la
investigacin, deben estar disponibles para su revisin.
Siempre que la evidencia digital este en poder de algn individuo, ste
ser responsable de todas la acciones tomadas con respecto a ella,
mientras est en su poder.

Las agencias responsables de llevar el proceso de recoleccin y

anlisis de la evidencia digital, sern quienes deben garantizar el
cumplimiento de los principios anteriores.

Gestin de la Evidencia digital

Existen gran cantidad de guas y buenas prcticas que nos muestran como
llevar a cabo la gestin de la evidencia digital.
Las guas que se utilizan tienen como objetivo identificar evidencia
digital con el fin de que pueda ser usada dentro de una investigacin.
Estas guas se basan en el mtodo cientfico para concluir o deducir algo
acerca de la informacin. Presentan una serie de etapas para recuperar la
mayor cantidad de fuentes digitales con el fin de asistir en la
reconstruccin posterior de eventos. Existen diferentes tipos de
planteamientos, estos varan dependiendo del criterio de la institucin
y/o personas que definen la gua, como se define a continuacin.
Guas Mejores Prcticas
A continuacin se enuncian siete guas existentes a nivel mundial de
mejores prcticas en computacin forense.
RFC 3227
El RFC 3227: Gua Para Recolectar y Archivar Evidencia (Guidelines for
Evidence Collection and Archiving) [GuEvCo02], escrito en febrero de 2002
por Dominique Brezinski y Tom Killalea, ingenieros del Network Working
Group. Es un documento que provee una gua de alto nivel para recolectar
y archivar datos relacionados con intrusiones. Muestra las mejores
prcticas para determinar la volatilidad de los datos, decidir que
recolectar, desarrollar la recoleccin y determinar como almacenar y
documentar los datos. Tambin explica algunos conceptos relacionados a la
parte legal. Su estructura es:
a) Principios durante la recoleccin de evidencia: orden de volatilidad
de los datos, cosas para evitar, consideraciones de privacidad y legales.
b) El proceso de recoleccin: transparencia y pasos de recoleccin.
c) El proceso de archivo: la cadena de custodia y donde y como archivar.

Gua de la IOCE
La IOCE [IOCE06], publico Gua para las mejores prcticas en el examen
forense de tecnologa digital
(Guidelines for the best practices in the forensic examination of digital
technology) [IOCE02]. El documento provee una serie de estndares,
principios de calidad y aproximaciones para la deteccin prevencin,
recuperacin, examinacin y uso de la evidencia digital para fines
forenses.
Cubre los sistemas, procedimientos, personal, equipo y requerimientos de
comodidad que se necesitan para todo el proceso forense de evidencia
digital, desde examinar la escena del crimen hasta la presentacin en la
corte. Su estructura es:

a) Garanta de calidad (enunciados generales de roles, requisitos y

pruebas de aptitud del personal, documentacin, herramientas y validacin
de las mismas y espacio de trabajo).
b) Determinacin de los requisitos de examen del caso.
c) Principios generales que se aplican a la recuperacin de la evidencia
digital (recomendaciones generales, documentacin y responsabilidad).
d) Prcticas aplicables al examen de la evidencia de digital.
e) Localizacin y recuperacin de la evidencia de digital en la escena:
precauciones, bsqueda en la escena, recoleccin de la evidencia y
empaquetado, etiquetando y documentacin.
f) Priorizacin de la evidencia.
g) Examinar la evidencia: protocolos de anlisis y expedientes de caso.
h) Evaluacin e interpretacin de la evidencia
i) Presentacin de resultados (informe escrito).
j) Revisin del archivo del caso: Revisin tcnica y revisin
administrativa.
k) Presentacin oral de la evidencia.
l) Procedimientos de seguridad y quejas.

Investigacin en la Escena del Crimen Electrnico (Gua DoJ 1)

El Departamento de Justicia de los Estados Unidos de Amrica (DoJ EEUU),
publico Investigacin En La Escena Del Crimen Electrnico (Electronic
Crime Scene Investigation: A Guide for First Responders) . Esta gua se
enfoca ms que todo en identificacin y recoleccin de evidencia. Su
estructura es:
a) Dispositivos electrnicos (tipos de dispositivos se pueden encontrar y
cul puede ser la posible evidencia).
b) Herramientas para investigar y equipo.
c) Asegurar y evaluar la escena.
d) Documentar la escena.
e) Recoleccin de evidencia.
f) Empaque, transporte y almacenamiento de la evidencia.
g) Examen forense y clasificacin de delitos.
h) Anexos (glosario, listas de recursos legales, listas de recursos
tcnicos y
listas de recursos de entrenamiento).

Examen Forense de Evidencia Digital (Gua DoJ 2)

Otra gua del DoJ EEUU, es Examen Forense de Evidencia Digital
(Forensic Examination of Digital Evidence: A Guide for Law Enforcement).
Esta gua esta pensada para ser usada en el momento de examinar la
evidencia digital. Su estructura es:

a) Desarrollar polticas y procedimientos con el fin de darle un buen

trato a
la evidencia.
b) Determinar el curso de la evidencia a partir del alcance del caso.
c) Adquirir la evidencia.
d) Examinar la evidencia.
e) Documentacin y reportes.
f) Anexos (casos de estudio, glosario, formatos, listas de recursos
tcnicos y listas de recursos de entrenamiento).

Herramientas

Debajo est una lista de las herramientas que se pueden utilizar durante
la investigacin.
Analisis de archivos:
SurfRecon LE
truss
ltrace
xtrace
Analisis de Discos:
PC-3000
LINReS
SMART (by ASR Data)
Macintosh Forensic Software (BlackBag Technologies, Inc.)
MacForensicsLab
EMail Detective - Forensic Software Tool
EnCase (by Guidance Software) - Most Recommended
P2 Enterprise Edition (by Paraben)
LiveWire Investigator 2008
Pathways
Extraccion de Metadata:
antiword
catdoc
PuriFile
jhead
laola
vinetto
word2x
wvWare
xpdf
Metadata Assistant
Hachoir-metadata (Hachoir project)
Herramientas para crear imagenes de la Memoria:
Firewire ([Link]
Tribble PCI Card
CoPilot
Windows Memory Forensic Toolkit (WMFT)
Idetect (Linux)
dd (Linux)
Herramientas para PDA:
Paraben PDA Seizure
Paraben PDA Seizure Toolbox
PDD
Herramientas para celulares:
BitPIM

DataPilot Secure View

GSM .XRY
Fernico ZRT
ForensicMobile
MOBILedit
Oxygen PM II
Paraben's Device Seizure
TULP2G
Herramientas para SIM Card:
ForensicSIM
SIMCon
Herramientas para Preservacion:
Paraben StrongHold Bag
Paraben StrongHold Tent
Editores Hex:
biew
hexdump
WinHex
Hex Workshop
Live CDs:
Helix
SNARL
DEFT Linux
Knoppix STD
Recovery Is Possible - RIP from [Link]
Stagos FSE
Y otras herramientas esenciales:
VMware Player
VMware Server
Webtracer
The Onion Router (TOR)
Live View
Parallels VM
Microsoft Virtual PC