Hola,
He estado jugando un poco con Digital Forensics Framework, un conjunto de herramientas de código libre destinadas al análisis forense que me ha dejado un buen sabor de boca.
Además de las tradicionales ventajas del código abierto en el mundo del análisis forense, y es que en un juzgado suele ser útil eso de que el código es auditable y los resultados de la herramienta plenamente trazables al estar los fuentes disponibles, este conjunto de herramientas tiene para mí un conjunto de aspectos positivos y alguna que otra desventaja que me gustaría comentar.
Que nadie se espere un reemplazo de FTK o EnCase, porque no lo va a encontrar aquí. Si asumimos desde un principio las limitaciones de DFF comparado a los frameworks profesionales y cuáles son los escenarios donde DFF nos puede servir, es relativamente sencillo encontrar un nicho para estas utilidades. Hay ciertas incompatibilidades pero son solventables. También en mi caso he observado algún que otro cuelgue del motor de Python provocado por EFF, pero son testimoniales. Tampoco he observado un rendimiento I/O excepcional, pero es muy decente.
Ventajas muchas: es plenamente interoperable, al estar escrito en Python. Ojo con la versión que seleccionéis, ya que la compatibilidad es variable en función a la plataforma escogida. 2.6 en Linux para los paquetes Debian, 2.7 en Windows. Aquellos usuarios que no quieran complicarse la vida pueden optar por la versión Windows, que se ofrece en un instalador que integra Python y PyQt que preparará de forma transparente lo necesario para usar DFF. Los amigos de Linux sólo deben tener en cuenta que si optan por los paquetes Debian se requiere Python 2.6 para funcionar. Todas las variantes, incluido el código fuente sin empaquetar, están disponibles en http://www.digital-forensic.org/digital-forensics-framework/download/.
Para la prueba he optado por la comodidad del paquete Windows con Python y PyQt, montados en una máquina virtual. Aunque se puede operar mediante consola, la interfaz es amigable y sencilla, resultando bastante intuitiva. He montado una unidad viva conectada al equipo, aunque es posible cargar imágenes igualmente.
La primera opción que he ejecutado es un carving del medio. El proceso no es excesivamente rápido (16 minutos para 256 MB para todas las firmas disponibles), pero permite representar gráficamente después los formatos identificados y navegar por los contenidos cómodamente, lo que evita tener que ir directorio a directorio, como sucede con los scalpel, foremost y compañía. Lo importante es que el proceso es sencillo de ejecutar, pero debe manejarse con cuidado: de todos es sabido la cantidad de falsos positivos que estos procesos generan, sobre todo si buscamos las cadenas haxadecimales relacionadas con PGP.
A continuación, empleando el módulo de sistema de fichero y particionado, he accedido a los contenidos del medio, lo que me ha permitido cómodamente recuperar los ficheros borrados y obtener información útil del sistema de ficheros. Con un click de ratón podemos exportar lo que hayamos encontrado.
Muy de agradecer es la presencia de un editor hexadecimal con clara indicación del offset del sistema de ficheros que estamos analizando, lo que facilita el análisis a bajo nivel si así fuera necesario:
Además de las funcionalidades comentadas, DFF posee otras muchas, como la generación de scripts o expresiones de búsqueda. Mi prueba ha terminado aquí, pero os invito a que descarguéis y utilicéis la herramienta. Aunque no es un reemplazo para una solución profesional, puede ser particularmente útil en diversos escenarios, como por ejemplo el tratamiento de volúmenes pequeños o de tamaño moderado conectados al equipo, la operación en equipos que no son las estaciones forenses usuales y donde puede haber impedimentos para la ejecución del software profesional (licencias, dongles, etc), o la posibilidad de realizar análisis gráficos rápidos de tareas cotidianas, como el carving, la recuperación de elementos borrados y el examen hexadecimal.
Es probable que al ser un desarrollo comunitario las funcionalidades se vayan incrementando con el paso del tiempo y que la estabilidad mejore igualmente. Para mí, tras esta pequeña prueba, DFF se convierte en una herramienta perfectamente útil para ser instalada en el equipo portátil de análisis y que utilizaré con gusto cuando las aplicaciones profesionales no estén disponibles, o cuando quiera obtener un resultado rápido para cualquiera de las funcionalidades comentadas.
Un saludo,
2 comentarios sobre “Análisis forense con Digital Forensics Framework (DFF)”
Comentarios cerrados.