4. Creada por expertos de SANS Institute
Comparable a suites comerciales
Usada en la capacitación sobre DFIR
Contiene herramientas open source que son
actualizadas constantemente
Diseñado para operar como máquina virtual
SIFT
9. Conjunto de herramientas (framework) para crear
líneas de tiempo de artefectos bajo investigación.
Su propósito es presentar un solo frente para analizar
bitácoras encontradas en sistemas sospechosos para
analizar en formato consistente los eventos ocurridos.
Funciona en Linux y Windows (se requiere ActiveState
Perl)
Versión línea de comandos y gráfica (glog2timeline)
log2timeline
10. Conjunto de herramientas para analizar archivos y
sistemas de archivos en imágenes y medios físicos
Soporta sistemas DOS (MBR), BSD, Mac, Sun y GPT
Puede ser ejecutado por un sistema corriendo durante
un proceso de Incident Response
Front-end gráfico llamado Autopsy, permite organizar
casos
The Sleuth Kit
12. Análisis forense de memoria, especializado para
Respuesta a Incidentes
Se ejecuta fuera de línea, en archivos de volcado de
memoria
Se utilizan herramientas como DumpIt o FTK imager
para tomar imagen de la memoria en ejecución
Se debe profundizar en conocimiento de estructuras
internas de Windows
Volatility
13. Espacio en disco para guardar imágenes
Según el formato SANS, en el directorio /cases
En la imagen oficial, se proporciona como un disco
extra
Usaremos imágenes de tarjetas SD para nuestros
ejercicios
¿Qué le falta a la imagen nuestra?