Aquí hay una lista de las mejores herramientas forenses digitales gratuitas para Windows. En este artículo, encontrará una variedad de herramientas de forense digital. Con la ayuda de estas herramientas forenses, los inspectores forenses pueden encontrar lo que sucedió en una computadora.
Si bien algunas herramientas forenses le permiten capturar la memoria RAM del sistema, algunas pueden capturar el historial del navegador. Este software capturará todo el historial de los navegadores, incluidos los marcadores, los archivos en caché, las cookies, las descargas, el historial de formularios, los inicios de sesión guardados, las búsquedas, etc. Además de esto, también obtendrá capturas de pantalla de las páginas web que visite.
También encontrará algún software que tiene el poder de capturar los hash (MD5, SHA1, SHA256, etc.) de múltiples archivos. También incluí un software en esta lista que viene con la función de huellas dactilares del sistema operativo.
Un software en este resumen enumera todas las actividades del usuario. Por ejemplo, instalación de software, apertura de un archivo/folder, información de inicio o cierre de sesión, etc.
Algunos programas te permiten guardar los datos analizados en diferentes formatos, como TXT, HTML, CSV, etc.
Si el usuario encripta los datos de una computadora, también existe un software para detectar este tipo de actividad. Escanea los discos duros y detecta los datos cifrados (si los hay). Explore el artículo para conocer los volúmenes de cifrado admitidos.
FAW (Adquisición forense de sitios web) es una nueva revolución en el mundo del análisis forense digital. Es el primer navegador web forense, ampliamente utilizado por los expertos forenses para minimizar los delitos cibernéticos. Lee el artículo para saber más al respecto.
Mis herramientas forenses digitales favoritas:
Autopsy es mi herramienta forense digital favorita para Windows. Viene con muchas características importantes, como Análisis de artefactos web, Análisis de línea de tiempo, Casos de múltiples usuarios, Análisis de registro, etc.
También me gusta Network Miner. Puede extraer la transferencia de datosrred a través de una red utilizando esta herramienta forense digital gratuita. Es el único software de esta lista que viene con la función Huella digital del sistema operativo.
Autopsia
Autopsy es una herramienta forense de código abierto para Windows. Es uno de los software forenses más populares que utilizan los expertos forenses para investigar todos los accesos no autorizados. Además, ofrece muchas características que lo convierten en una herramienta importante en el campo de la ciencia forense digital.
Echa un vistazoen sus características:
- Autopsy le permite crear casos multiusuario. Por lo tanto, puede ver los resultados de los miembros de su equipo en tiempo real. Esta característica ayuda a los examinadores a resolver casos complejos/grandes rápidamente.
- Análisis de línea de tiempo ayuda a los examinadores a analizar todas las actividades ocurridas en todo el sistema. El software genera un gráfico de barras con respecto al tiempo que muestra con qué frecuencia ha tenido lugar una actividad en el sistema.
- Análisis de artefactos web: esta función captura la información de los usuarios de algunos de los navegadores web populares (Firefox, Chrome, Internet Explorer, etc.). Esta información incluye marcadores, historial, cookies, descargas, etc.
- Análisis de registro: un examinador forense digital puede extraer todos los datos del registro de Windows.
- Mediante Análisis de archivos de enlace, los oficiales pueden examinar accesos directos y documentos a los que accede un usuario.
- EXIF: con esta función, los expertos forenses pueden extraer la información geográficatoda la ubicación y la información de la cámara de los archivos JPEG.
- Si el usuario ha realizado algún cambio en un software, los expertos forenses pueden detectarlo comparando las firmas digitales.
- Autopsy también tiene una función para extraer los datos del usuario de un teléfono inteligente Android, como SMS, registro de llamadas, contactos, etc.
- Si está buscando un archivo en particular, puede encontrarlo utilizando la función Búsqueda por palabra clave. Para direcciones de correo electrónico, números de teléfono, direcciones IP y URL, Autopsy sigue el patrón de búsqueda de expresiones regulares de forma predeterminada.
Además de las funciones mencionadas anteriormente, Autopsy ofrece algunas funciones más útiles.
Con todo, Autopsy es un software completo en el campo de la ciencia forense digital que está disponible de forma gratuita.
Página de inicio Página de descarga
Wireshark
Wireshark es una de las herramientas de análisis y captura de red más utilizadas para Windows. Por lo tanto, se puede utilizar en una investigación forense. Puede ver todas las actividades que se realizan en una red.
Una vez que inicie Wireshark,comienza a capturar la información de la red en forma de paquetes. Estos paquetes muestran la siguiente información: hora, dirección IP de origen, dirección IP de destino, protocolo (TCP, ARP, etc.), longitud e información. La parte de información proporciona más información sobre la red capturada por Wireshark, como datos de aplicación, alerta de cifrado, consulta estándar, etc.
Esta herramienta forense digital gratuita también proporciona una función de búsqueda. Puede usar esta función para buscar un paquete en particular dentro de la lista de paquetes capturados por el software. Además, también puedes aplicar filtros a tus búsquedas. Hay tres tipos de filtros disponibles en el software: valor hexadecimal, cadena y expresión regular. Además de esto, también puede realizar búsquedas que distinguen entre mayúsculas y minúsculas.
Tiene una función de captura en vivo, por lo que lo mantiene actualizado con los paquetes de red. También puede habilitar la función para desplazarse automáticamente hacia abajo durante la captura en vivo para ver más tardest actualizaciones. Además de esto, también te permite analizar los datos capturados sin conexión.
Además de las funciones enumeradas anteriormente, también le permite leer/escribir múltiples formatos de archivos capturados, como tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer ( comprimido y sin comprimir), Sniffer Pro y NetXray, Network Instruments Observer, NetScreen snoop, etc.
Página de inicio Página de descarga
NetworkMiner
NetworkMiner es otro software forense digital gratuito. En realidad, es una herramienta forense de análisis de red, que está diseñada para capturar Dirección IP, Dirección MAC, Nombre de host, Paquetes enviados, Paquetes recibidos, Bytes enviados, Bytes recibidos, Número de puertos TCP abiertos, Sistema operativo, etc. Lo bueno del software es que captura todos los datos sin poner ningún tráfico en la red.
También incluye una función para extraer archivos, correos electrónicos, certificados, etc. transferidos a través de una red. Toda esta información se puede analizar en archivos PCAP, de modo que el análisis forenseLos expertos de c podrían analizar los informes generados fuera de línea. La velocidad de análisis de PCAP en la versión gratuita del software es de 2,31 MB/s. Puede usar esta función para extraer y guardar los archivos que el usuario transmitió a través de la red. Los siguientes son los formatos admitidos para extraer los archivos de Internet: FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 y IMAP.
Además de las funciones mencionadas anteriormente, la versión gratuita de este software tiene una función muy importante, llamada Huella digital del sistema operativo. OS Fingerprinting es una técnica utilizada por expertos forenses para detectar los sistemas operativos utilizados por una persona/anfitrión.
Esta herramienta forense digital gratuita también captura las capturas de pantalla y las guarda como miniaturas. Dicha información se puede ver en la pestaña Imágenes del software.
NetworkMiner también es capaz de capturar la información importante del usuario, como su nombre de usuario y contraseñas. Pero esta característica está limitada a algunos protocolos compatibles. Tal información se muestra enla pestaña Credencial del software. Puede copiar el nombre de usuario y la contraseña y pegarlos en cualquier lugar de su PC. El software copió bien el nombre de usuario pero no pudo copiar la contraseña del usuario durante la prueba. Además, también tiene una función para calcular los hashes MD5, SHA1 y SHA256 de los archivos capturados.
Página de inicio Página de descarga
FAW (Adquisición forense de sitios web)
FAW (Adquisición forense de sitios web) es un primer navegador web forense en el campo del análisis forense digital. Proporciona una función de adquisición de páginas web para la investigación forense. La interfaz de esta herramienta forense gratuita es similar a un navegador web, que consta de una barra de direcciones, un botón de avance, un botón de retroceso, un botón Ir a una dirección, un botón de recarga y un botón de detener la búsqueda. Puede buscar cualquier página web escribiendo su dirección en la barra de direcciones.
Puede navegar por cualquier sitio web con este navegador web forense para una adquisición parcial o total de páginas web. Al adquirir una página web, también captura todo ele imágenes en esa página web y las guarda en una ubicación predeterminada. Además, también tiene una función para registrar todas las actividades en curso en la pantalla durante el proceso de adquisición.
También tiene una función avanzada para adquirir las páginas web que contienen videos en tiempo real, es decir, videos que se ejecutan en Javascript, Flash, etc.
Además de esto, también adquiere el código HTML completo de las páginas web que se inician en el software. Durante la adquisición de la página web, genera archivos separados en formato TXT, que contienen marcos y encabezados de la página web.
Esta herramienta forense digital gratuita también ofrece Adquisición de redes sociales. Con FAW, puede acceder a cualquier red social para adquirirlo. Además de esto, también calcula los hashes MD5 y SHA1 automáticamente.
Puede guardar todos los datos analizados en el servidor remoto de FAW. También captura todo el tráfico de todas las redes activas de una página web, por lo que ayuda a los investigadores a analizarel tráfico de la red.
FAW también tiene opciones de configuración avanzadas. Muestra la misma página web de manera diferente a diferentes agentes de usuario. Para ello se utiliza un prefijo HTTP “User-agent” o “User-Agent”.
Lo bueno de esta herramienta forense gratuita es que genera un informe resumen para cada adquisición, que contiene un registro detallado de todas las operaciones realizadas por un experto forense y archivos creados por él junto con el tiempo.
Con todo, FAW (Adquisición Forense de Sitios Web) es una gran herramienta en el campo del análisis forense digital, que viene con muchas funciones avanzadas para adquirir diferentes sitios web.
Página de inicio Página de descarga
LastActivityView
LastActivityView es otra herramienta forense digital gratuita para Windows. Permite a los expertos forenses ver todas las actividades del usuario en una computadora. Por ejemplo, los cambios realizados por el usuario en una computadora, los archivos vistos por él, etc. En Opciones avanzadas, puede ver la actividad de los usuarios durante los últimos «X» días, horas, minutos y segundos.
Túobtendrá información detallada sobre todas las acciones realizadas por el usuario, que incluyen la hora y la fecha de la acción, la descripción, el nombre del archivo, la ruta completa del archivo, etc. La parte de descripción del software muestra el resumen de todas las acciones realizadas por el usuario durante un archivo o carpeta en particular, por ejemplo, abrir un archivo o carpeta, archivo seleccionado en el cuadro de diálogo abrir/guardar, ejecutar un archivo EXE, ejecutar una instalación de software, información de apagado o reinicio del sistema, error de pantalla azul, información de bloqueo del sistema, información de suspensión del sistema , información de inicio y cierre de sesión del usuario, y más. Además de esto, si el usuario vio algún archivo en el Explorador de Windows, también muestra esta información. Haga doble clic en cualquiera de los elementos mostrados para ver la misma información en formato tabular.
Tiene una opción de búsqueda, que puede usar para buscar un archivo en particular en la base de datos. Puede modificar las búsquedas como Coincidencia de mayúsculas y minúsculas y Coincidencia de palabra completa solamente. Puede guardar todos los elementos o los seleccionados en Formatos TXT, CSV, HTML, y XML.
Esta herramienta forense digital gratuita lee todos los archivos de forma predeterminada. Puede cambiar esta configuración en el menú Opciones.
Para eliminar la complejidad al ver los elementos, puede habilitar la función Marcar par/impar, que resalta las filas pares e impares con colores blanco y gris respectivamente.
También genera informes HTML para todos los elementos o elementos seleccionados y abre este informe en su navegador web predeterminado. Esta característica del software suena bien, pero no funcionó durante la prueba.
Puede abrir directamente el directorio principal de cualquiera de los elementos seleccionados. Para ello, haga clic en Archivo > Abrir carpeta en el Explorador o simplemente presione la tecla F2.
Página de inicio Descargar página
Sistema de búsqueda forense de imágenes
Sistema de búsqueda forense de imágenes es una herramienta forense digital muy útil, que se puede utilizar para buscar imágenes específicas. Es un software forense de código abierto, que los expertos forenses pueden usar para buscar la imagen objetivo de una víctima o culpable en el directorio de la computadora o en un conjunto de imágenes.
Cuenta con tres tipos de opciones de búsqueda de imágenes:
- Buscar una imagen de destino dentro de otra imagen: con esta función, puede buscar la imagen de destino oculta en un conjunto de imágenes, como Panorama, Collage, etc. Esta función no funcionó para mí; no estoy seguro si me perdí algo durante la prueba.
- Buscar imágenes similares dentro de un directorio seleccionado: esta función permite a los expertos forenses buscar la imagen de destino dentro de un directorio seleccionado. A continuación, el software comparará todoslas imágenes similares a la imagen de destino y muestra el resultado.
- Buscar imagen de origen dentro de cada imagen en el directorio seleccionado: si habilita esta función, el software buscará la imagen de origen entre todas las imágenes almacenadas en el directorio seleccionado.
Modo humano es una función interesante de este software, que permite que el software también observe las áreas de la piel y los colores en las imágenes mientras compara los rostros humanos.
Puede realizar más de una búsqueda de imágenes a la vez. Todas tus búsquedas se realizarán en diferentes pestañas.
Página de inicio Página de descarga
Navegador HCapturador de historia
Browser History Capturer es una herramienta forense digital gratuita. Es un software portátil y está diseñado para capturar un historial de navegación web desde una computadora. Los siguientes son los navegadores web compatibles con este software: Mozilla Firefox (versión 3 o superior), Google Chrome (todas las versiones), Internet Explorer (versión 10 o superior) y Microsoft Edge (todas versiones).
Simplemente inicie el software y haga clic en el botón Capturar y comenzará a capturar el historial de los navegadores web mencionados anteriormente, sin importar si los navegadores web se están ejecutando en segundo plano o no. Guarda todos los datos capturados en una ubicación predeterminada en su PC, que el usuario puede cambiar. Los datos capturados incluyen marcadores, archivos en caché, cookies, descargas, historial de formularios, inicios de sesión guardados, búsquedas, historial de sitios web, etc. También captura capturas de pantalla de las páginas web visitadas por el usuario. Encontrará todas las capturas de pantalla en la carpeta de miniaturas.
Página de inicio Página de descarga
Captura de memoria RAM magnética
Magnet RAM Capture es otra herramienta forense digital gratuita. Es un software portátil y está diseñado para ayudar a los investigadores a analizar los datos que se encuentran solo en la memoria del sistema. La información capturada incluye programas actualmente en ejecución, información de conexión de red, nombres de usuario y contraseñas, archivos y claves descifrados, etc.
Los datos capturados se guardan en formato Raw. Asegúrese de tener suficiente espacio en el disco, ya que los datos requieren mucho espacio para almacenarse. El archivo almacenado enmi computadora después de la captura de RAM era de 5 GB.
Esta herramienta forense digital gratuita también tiene una opción para dividir el archivo forense entre 500 MB, 1 GB, 2 GB y 4 GB.
Con todo, Magnet RAM Capture es una poderosa herramienta forense digital, cuyo objetivo es capturar toda la evidencia que no está almacenada en el disco duro local.
Página de inicio Página de descarga
Capturador de RAM en vivo de Belkasoft
Belkasoft Live RAM Capturer es una herramienta forense digital potente y gratuita. Tiene el poder de capturar todos los datos en la memoria RAM de la computadora, sin importar quééter los datos están protegidos o no. Dado que puede capturar todos los datos protegidos y desprotegidos en la memoria volátil de la computadora, es una de las mejores herramientas forenses gratuitas para expertos forenses para la captura de memoria.
Para capturar la evidencia forense en la RAM, simplemente inicie el software> seleccione la ruta de salida para almacenar los datos capturados> haga clic en el botón Capturar. Tan simple como eso.
NOTA: El archivo capturado requiere mucho espacio en el disco.
Página de inicio Página de descarga
HashMyFiles
HashMyFiles es una herramienta forense digital simple pero efectiva para Windows. es desarrollared para calcular hashes MD5, SHA1, CRC32, SHA256, SHA512, y SHA384 de múltiples archivos en su computadora. Simplemente abra los archivos y calculará los hashes automáticamente. Puede copiar fácilmente los hashes MD5, SHA1, CRC32 y SHA256 haciendo clic con el botón derecho o usando las teclas de función definidas para ellos. Junto con los hashes, también muestra otra información de todos los archivos abiertos, como Ruta del archivo, Extensión del archivo, Atributo del archivo, Hora de modificación, Tamaño del archivo, etc. Además, también tiene una opción para ser lanzado directamente desde el menú contextual de Windows.
Puede guardar los datos como archivo de texto, archivo de texto delimitado por tabuladores, archivo de texto tabular, archivo HTML, archivo XML y archivo CSV.
La función Abrir en el sitio web de VirusTotal de este software le permite escanear cualquier archivo directamente en el portal de VirusTotal. Un solo clic abrirá el archivo seleccionado en el portal de VirusTotal para escanearlo.
Página de inicio Página de descarga
Analizador de cifrado de contraseñas
Passware Encryption Analyzer es otra herramienta forense digital gratuita para Windows. Escanea todo el sistema o discos duros seleccionados y detecta los datos protegidos y encriptados.
Viene con una velocidad de escaneo rápida. Escaneé un disco que contenía 50 GB de datos y tardé unos 10 minutos en escanearlo. Mientras escanea el sistema, también muestra la velocidad de escaneo en dos formatos diferentes. La velocidad de escaneo que mostró durante el escaneo de datos de 50 GB fue de más de 5000 archivos/minuto y aproximadamente 400 MB/minuto. Tenga en cuenta que la velocidad de escaneo no permanece constante.
Después de la compleción de un escaneo, muestra todos los elementos protegidos encontrados junto con los métodos de protección y los tipos de encriptación. Si el software detecta algún archivo cifrado, también muestra las opciones de recuperación de contraseña y la complejidad de descifrado para eso.
NOTA: La versión gratuita de este software solo le permite analizar los archivos para investigación forense. No puede guardar el resultado en esta versión gratuita.
Página de inicio Página de descarga
Línea Roja
RedLine es otra poderosa herramienta forense digital en esta lista. Ofrece dos funciones: Recopilar datos y Ananalizar datos. Los oficiales forenses pueden usar la función Analizar datos para analizar archivos y memoria en una computadora. Las técnicas de análisis de archivos y memoria ayudan a los examinadores forenses a encontrar la evidencia forense en una computadora.
Recopilar datos recopila toda la información de la computadora, como procesos en ejecución y controladores de la memoria, metadatos del sistema de archivos, datos de registro, registros de eventos, información de red, servicios, tareas, etc.
NOTA: asegúrese de tener un archivo de volcado de memoria en su computadora antes de intentar analizar datos. Si no tiene un archivo de volcado de memoria, primero debe realizar el proceso de recopilación de datos.
Página de inicio Página de descarga
Detector de disco cifrado
Encrypt Disk Detector es otra herramienta forense digital gratuita para Windows. Es una aplicación basada en el símbolo del sistema que escanea todos los discos en su computadora y detecta los datos cifrados (si los hay). Esto ayudará a los investigadores forenses a verificar qué le sucedió realmente al sistema. Para que pudieran tomar una acción apropiada.
Encrypt Disk Detector escanea los discos duros de la computadora en busca de los siguientes volúmenes: TrueCrypt, BitLocker, SafeBoot, Semantic Encrypted Volumes, etc.