Análisis forense con Digital Forensics Framework (DFF)
He estado jugando un poco con Digital Forensics Framework, un conjunto de herramientas de código libre destinadas al análisis forense que me ha dejado un buen sabor de boca.
Además de las tradicionales ventajas del código abierto en el mundo del análisis forense, y es que en un juzgado suele ser útil eso de que el código es auditable y los resultados de la herramienta plenamente trazables al estar los fuentes disponibles, este conjunto de herramientas tiene para mí un conjunto de aspectos positivos y alguna que otra desventaja que me gustaría comentar.
Que nadie se espere un reemplazo de FTK o EnCase, porque no lo va a encontrar aquí. Si asumimos desde un principio las limitaciones de DFF comparado a los frameworks profesionales y cuáles son los escenarios donde DFF nos puede servir, es relativamente sencillo encontrar un nicho para estas utilidades. Hay ciertas incompatibilidades pero son solventables. También en mi caso he observado algún que otro cuelgue del motor de Python provocado por EFF, pero son testimoniales. Tampoco he observado un rendimiento I/O excepcional, pero es muy decente.
Ventajas muchas: es plenamente interoperable, al estar escrito en Python. Ojo con la versión que seleccionéis, ya que la compatibilidad es variable en función a la plataforma escogida. 2.6 en Linux para los paquetes Debian, 2.7 en Windows. Aquellos usuarios que no quieran complicarse la vida pueden optar por la versión Windows, que se ofrece en un instalador que integra Python y PyQt que preparará de forma transparente lo necesario para usar DFF. Los amigos de Linux sólo deben tener en cuenta que si optan por los paquetes Debian se requiere Python 2.6 para funcionar. Todas las variantes, incluido el código fuente sin empaquetar, están disponibles en http://www.digital-forensic.org/digital-forensics-framework/download/.
Contenido completo en Blog de Sergio Hernando
Además de las tradicionales ventajas del código abierto en el mundo del análisis forense, y es que en un juzgado suele ser útil eso de que el código es auditable y los resultados de la herramienta plenamente trazables al estar los fuentes disponibles, este conjunto de herramientas tiene para mí un conjunto de aspectos positivos y alguna que otra desventaja que me gustaría comentar.
Que nadie se espere un reemplazo de FTK o EnCase, porque no lo va a encontrar aquí. Si asumimos desde un principio las limitaciones de DFF comparado a los frameworks profesionales y cuáles son los escenarios donde DFF nos puede servir, es relativamente sencillo encontrar un nicho para estas utilidades. Hay ciertas incompatibilidades pero son solventables. También en mi caso he observado algún que otro cuelgue del motor de Python provocado por EFF, pero son testimoniales. Tampoco he observado un rendimiento I/O excepcional, pero es muy decente.
Ventajas muchas: es plenamente interoperable, al estar escrito en Python. Ojo con la versión que seleccionéis, ya que la compatibilidad es variable en función a la plataforma escogida. 2.6 en Linux para los paquetes Debian, 2.7 en Windows. Aquellos usuarios que no quieran complicarse la vida pueden optar por la versión Windows, que se ofrece en un instalador que integra Python y PyQt que preparará de forma transparente lo necesario para usar DFF. Los amigos de Linux sólo deben tener en cuenta que si optan por los paquetes Debian se requiere Python 2.6 para funcionar. Todas las variantes, incluido el código fuente sin empaquetar, están disponibles en http://www.digital-forensic.org/digital-forensics-framework/download/.
Contenido completo en Blog de Sergio Hernando
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!