Una Mirada a Win-UFO para análisis Forense Para todo investigador forense es importante tener dentro de su kit de herramientas una diversidad de tools que les permita trabajar en diversos escenarios. Es así que CAINE nos presentó hace algunos meses dentro de su sitio web (http://www.caine-live.net/), a una recopilación de herramientas para la extracción de datos en sistemas operativos Windows, con un software llamado WIN-UFO, esto se da como parte de su asociación con los desarrolladores de esta herramienta (http://win-ufo.org/). Al descargar este software que tiene un tamaño de unos 302 MB, procedimos a instalarlo y probarlo, así podemos exponer algunas impresiones personales. Dentro del proceso de instalación es importante resaltar que el software nos permite hacerlo en una unidad externa, sea esta una memoria USB o un disco externo, creando nuestro portable. Esto es muy favorable ya que cuando realicemos un análisis forense en un equipo Windows trabajaremos desde nuestra unidad externa y será ahí donde se guarden todos los logs y se almacenen los datos generados dentro del proceso de análisis esto evitara una contaminación considerable del sistema al analizarlos en caliente.
Imagen del sistema donde nos permite escoger la unidad de instalación
Imagen del Mensaje final de la instalación es una USB
Una vez que instalamos Win-ufo en nuestra USB, ejecutamos el programa, lo primero que hace es pedir aceptación de uso del aplicativo. Luego tendremos un cuadro de dialogo donde nos pregunta si queremos generar un reporte de la investigación.
Imagen en la cual el sistema nos pregunta si deseamos o no generar un reporte con la captura de datos del sistema.
Esta es un parte importante de este distro, si nuestra respuesta es que no, nos presentara la pantalla con todas las herramientas que podremos ejecutarlas individualmente de acuerdo a nuestras necesidades de recopilación de datos, pero si nuestra respuesta es afirmativa iniciara un proceso en el cual se ejecutaran todas las herramienta disponibles extrayendo toda la información posible y presentándonos en un reporte. Esta es otra virtud de esta distribución, por ejemplo si encontramos un equipo encendido antes de apagarlo para realizar otros procesos de preservación, podemos capturar toda la información disponible con este programa y luego si apagarlo.
Imagen del cuadro que nos aparece luego que aceptemos generar un reporte, antes de iniciar la extracción de datos, aquí es importante ver que dentro de los datos a llenar, está la fecha actual y la fecha en la que se sospecha o se tiene confirmada en la que ocurrió el incidente, en base a esta fecha el sistema tomara énfasis en la recolección de datos.
Imagen de la recolección de datos para la generación del Reporte. Si no optamos por la generación del reporte podremos ver todas las aplicaciones disponibles que tiene este programa.
_
_
Podremos mirar diferentes pestañas cada una con herramientas que podremos utilizarlas en nuestro análisis, software para revelar Password almacenados, para recuperar datos, apara análisis de malware, para análisis de IPhone, para visualizar Logs del sistema y de aplicaciones, entre otras. En definitiva estamos frente a una aplicación de mucha utilidad, a ser tomada en cuenta para agregarla a nuestro arsenal de herramientas, ofrece bondades que otras distribuciones forenses para Windows de este mismo segmento no las tienen. Descarguemos e iniciemos nuestro propio test y me comentan sus apreciaciones.