Hace unos meses, nuestro compaero Yago hablaba de la distribucin CAINE basada en linux,

y hoy os hablamos de Deft, otra reputada distribucin que recopila herramientas de anlisis
forense y que alcanza ya su versin 8.
No se enfoca nicamente al tpico anlisis forense de discos duros, si no que tendremos la
posibilidad tambin de realizar forenses de red e incluso de dispositivos mviles. Deft v8 est
basada en Ubuntu 12.10, y posee un kernel versin 3.5.0-30. Como cualquier tipo
de livecd actual, se nos ofrece la opcin de instalar la distribucin en nuestro disco duro.
Dentro del men principal de la distribucin, nos encontramos las siguientes categoras de
herramientas incluidas:

Men de herramientas de DEFT 8

Analysis - Herramientas de anlisis de ficheros de diferentes tipos

Antimalware - Bsqueda de rootkits, virus, malware, as como PDFs con cdigo

malicioso.
Data recovery - Software para recuperacin de ficheros
Hashing - Scripts que permiten la realizacin de clculo de hashes de determinados

procesos (SHA1, SHA256, MD5...)

Imaging - Aplicaciones que podemos utilizar para realizar los clonados y adquisicin de

imgenes de discos duros u otras fuentes.

Mobile Forensics - Anlisis de Blackberry, Android, iPhone, as como informacin
sobre las tpicas bases de datos de dispositivos mviles en SQLite utilizadas por las
aplicaciones.

Network Forensics - Herramientas para procesamiento de informacin almacenada en

capturas de red
OSINT - Aplicaciones que facilitan la obtencin de informacin asociada a usuarios y su

actividad.
Password recovery - Recuperacin de contraseas de BIOS, ficheros comprimidos,

ofimticos, fuerza bruta, etc.

Reporting tools - Por ltimo, dentro de esta seccin encontraremos herramientas que
nos facilitarn las tareas de generacin de informes y obtencin de evidencias que nos
servirn para documentar el anlisis forense. Captura de pantalla, recopilacin de notas,
registro de actividad del escritorio, etc.

Dentro de estas secciones, encontraris muchsimas herramientas que evitarn tener que
recopilarlas por cuenta propia. El listado completo de paquetes lo tenis en este enlace. De
esta versin ltima 8, todava no existe un manual, pero podis echar un vistazo al manual
para la versin 7, si bien su uso es bastante simple y cada herramienta lleva su man asociado.
Por ltimo, destacar la inclusin dentro de esta versin 8 de DART 2, una suite para gestin y
respuesta ante incidentes desde sistemas operativos Windows, que incluye un lanzador de
aplicaciones a herramientas para este sistema operativo.

Ejecutando DART en sistema operativo Windows

Podris descargar la distribucin en diferentes formatos (imagen ISO, mquina virtual y versin
para pendrives USB,
entre
otros)
teniendo
disponibles varios mirrors. Sin
duda,
una livecd que no debe faltar tambin en nuestro arsenal de cds/usbs para llevar siempre
encima.
[+] DEFT Linux

DEFT (Digital Evidence &

Forensic Toolkit)
Enviado por DragoN en Oct 28, 2012 | 14 Opiniones

DEFT (Digital Evidence & Forensic Toolkit) es una distribucin Live CD

(booteable desde el CD) basada en Lubuntu (Ubuntu con entorno LXDE), muy
fcil de usar, con un grandsimo listado de herramientas forenses y con una
excelente deteccin del hardware.

DEFT es una de las distribuciones de anlisis forense que ms han avanzado

en estos ltimos aos (puedes verlo t mismo desde la entrada que creamos
cuando solo estaba en su versin 3), no solo han aadido una gran cantidad de
herramientas forenses a su lista, sino que se han sabido adaptarse a su
entorno y emular las caractersticas de otras distribuciones similares CAINE de
donde se han inspirados para sacar el DEFT Extra.
DEFT (Digital Evidence & Forensic Toolkit) est dividida en dos, su entorno y
herramientas booteables que recogen lo mejor del software libre para el
anlisis forense y DEFT Extra un conjunto de herramientas gratuitas para
anlisis forense en entornos Windows.

En DEFT podemos encontrar las siguientes herramientas para realizar Anlisis

Forense, ahora organizadas por categoras para mejorar su usabilidad:
OSINT

OSINT Chrome browser: Google Chrome personalizado con varios

plugins y recursos para llevar a cabo actividades relacionadas con la Open
Source Intelligence
Network Information Gathering

Host

Nslookup

Dig

Nmap

Zenmap

Netcat

Snmpcheck

Nbtscan

Cadaver

Traceroute

Hping3

Xprobe

Scapy

Netdiscover
Wireless Information Gathering

Kismet
Web Application Information Gathering

Whatweb

Cmsident

Dirbuster

Burpsuite

Customized Chrome Browser (at least 1gb ram required)

Social Information Gathering

Creepy

Snmpcheck

PieSpy

Irssi
Identity Protection Tools

TOR-Browser

Anonymouse (http://anonymouse.org/anonwww.html)
OSINT Global Framework

Maltego

Proactive Resources

Y en el DEFT extra, contamos con el siguiente

listado de herramientas para anlisis de entornos
Windows:

WinAudit

MiTeC Windows Registry Recovery

Zeroview

FTK Imager

Nigilant32

Windows Forensic Toolchest

MoonSols Win32dd

MoonSols Win64dd

Windows File Analyzer

UltraSearch

Pre-Search

XnView

X-AgentRansackk 2010 (build 762)

Index.dat Analyzer

AccessEnum

Autoruns

DiskView

Filemon

Process eXPlorer

RAM Map

Regmon

Rootkit Revealer

VMMap

WinObj

AlternateStreamView

ChromeCacheView

CurrPorts x86 e x64

CurrProcess

FoldersReport

IE Cache View

IE Cookie View

IE History View

Inside Clipboard

Live Contacts View

Mozilla Cache View

Mozilla History View

MUI Cache View

MyEventView

MyLastSearch

Mozilla Cookie View

Opened File View

Opera Cache View

Outlook Attack View x86 e x64

Process Activity View x86 e x64

Recent File View

Regscanner x86, x64 e win98

ServiWin

SkypeLogView

SmartSniff x86 e x64

StartupRun

USBdeview x86 e x64

User Assist View

User Profile View

Video Cache View

WhatInStartup

WinPerfectView

Password Tool

ChromePass

Dialupass

IE PassView

LSA Secrets Dump x86 e x64

LSA Secrets View x86 e x64

Mail PassView

MessenPas

Network PassRecovery x86 e x64

Opera PassView

PasswordFOX

PC AnyPass

Protected Pass View

PST Password

Remote Desktop PassView

VNC PassView

Win9x Passview

WirelessKeyView x86 e x64

AViScreen Portable

Hoverdesk

File Restore Plus

WinVNC

TreeSizeFree

PCTime

LTFViewer

Sophos Anti-Rootkit

Terminal with tools command line

Spartakus

Testdisk

Photorec
Al ser un proyecto pensado inicialmente para ensear anlisis forense en la
Universidad di Bologna, DEFT esta muy bien documentado, el nico problema
de esta documentacin es que est totalmente en italiano, pero con muchas
grficas y fcilmente entendible (IT manuale completo IT manuale senza
le appendici)
Como novedad en DEFT 7.1, han aadido una excelente herramienta que nos
permite sacar una completa lnea de tiempo, parseando los logs del sistema y
ordenndolos para una fcil comprensin, esta herramienta se llama
log2timeline y promete ahorrarnos mucho tiempo en la creacin de nuestra
lnea de tiempo, ademas de las herramientas UsnJrnl-parser y lslnk;
Mientras libewf, bulk_extractor, guymager, iPhone Backup Analyzer y Xplico
fueron actualizadas.
En la nueva version DEFT 7.2, han aadido una maquina virtual descargable
configurada con DEFT 7.2 y soporte para VMWare 5 y USB 3.0, se actualiz el
kernel a la versin 3.0.0-26, ahora es posible usar Autopsy 3 beta 5 con wine
(requiere minimo 1gb de ram), incluye soporte para Vmfs y se actualizaron
Log2tmeline y Guymager.

Instalacin De DEFT Linux 8

Submitted by ReYDeS on Thu, 11/28/2013 - 12:41
DEFT es una distribucin basada en GNU/Linux y DART (Digital Advanced Response
Toolkit), es una suite dedicada a actividades de forense digital e inteligencia. La primera
versin de DEFT Linux se present en el 2005 gracias a un curso de Forense de
Computadoras en la Facultad de Leyes de la Universidad de Bologna. Esta distribucin es
actualmente utilizada por varias universidades Italianas y organizaciones privadas.
Tambin es una de las principales soluciones empleadas por agencias de las fuerzas del
orden durante sus investigaciones forenses en computadoras.
Descargar el archivo ISO desde la cualquiera de los "mirrors" o sitios rplica que se
incluyen enn la pgina oficial de DEFT Linux: http://www.deftlinux.net/download/
En la siguiente imagen se detalla el proceso de verificacin del hash MD5 generado del
archivo descargado, para luego compararlo con el hash MD5 publicado en el archivo
md5.txt. Esto permite comprobar que el archivo de extensin ISO ha sido descargando
correctamente y que el archivo mantiene su iintegridad.

Al iniciar la instalacin se requiere definir el lenguaje con el cual se desea realizar todo el
procedimiento. En este caso se seleccion el idioma ingls. Para luego seleccionar la
opcin "Install DEFT Linux 8".

Tambin es factible actualizar el instalador en caso se requiera, tal y como se detalla en la

siguiente imagen. Dado que este procedimiento no ser realizado, unicamente se procede
a hacer clic en el botn "Continue".

El instalador de DEFT expone informacin relevante para proceder con la instalacin,

como el espacio mnimo necesario, adems de segerir tener una conexin a internet para
el sistema. Se puede seleccionr dos opciones adicionales, como son: Descargar
actualizaciones mientras se procede con la instalacin e instalar software de terceros.
Luego de lo cual se debe hacer clic en el botn "Continue".

Puede ser seleccionado el tipo de instalacin que se desea realizar. En caso el instalador
no detecte ningn sistema operativo, se seleccionar por defecto la opcin de Borrar todo
el disco para instalar DEFT en el. Tambin se puede seleccionar las opcin para cifrar la
nueva instalacin por medidas de seguridad y utilizar LVM (Logical Volume Manager) con
la nueva instalacin. Adems es factible realizar alguna otra accin adicional, como crear o
redimensionar particiones de manera manual.

Es el turno de definir la zona horaria para el Sistema.

El instalador detecter lo mejor que le sea factible la disposicin del teclado. An as se

pueden modificar esta configuracin antes de proceder, adems de poder tener la
posibilidad de evaluar correctamente esta configuracin escribendo algunas palabras o
smbolos en el campo "type here to test your keyboard".

Mientras la copia de archivos avanza en segundo plano, es momento de definir un su

Nombre, un Nombre para la computadora y una contrasea, con su respectiva
verificacinn. Adicionalmente se tiene la opcin de definir si se solicitar siempre una
contrasea para ingresar al sistema y si se requiere cifrar la carpeta del usuario.

El proceso correspondiente a la copia de los archivos est por finalizar, para luego iniciar el
proceso de instalacin.

Al finalizar el proceso de instalacin; cuya duracin depende de las caractersticas en

hardware que tenga la computadora en la cual se realiza este procedimiento; se
presentar un mensaje que indica la necesidad de reiniciar la computdora para poder
utilizar el sistema. Clic en el botn "Restar now".

Al reiniciar el Sistema se presentar una ventana donde se solicitar los datos de usuario y
contrasea que hayan sido definidos durante el proceso de instalacin.

Al ingresar al Sistema se tendr un completo entorno Forense basado en GNU/Linux.

El proyecto proporciona un muy completo manual; en formato PDF en el idioma ingls e

italiano; el cual puede ser descargado gratuitamente desde la siguiente
pgina: http://www.deftlinux.net/deft-manual/
Este manual incluye temas como el manejo de los medios de almacenamiento, calculo de
hashs, captura de medios de almacenamiento, creacin de cronologas o lneas de tiempo,
bsqueda de archivos y directorios, carving de archivos, entre otros temas.
DEFT Linux: http://www.deftlinux.net