5.4 ANÁLISIS DE FICHEROS
Herramientas de codigo abierto
5.4.1 File
El comando_file_determina el tipo de un fichero dado, dependiendo de su contenido y no de su extensión o nombre de fichero. Para hacer esto, utiliza un fichero de configuración “mágico” que identifica los tipos de fichero.
5.4.2 Ldd
El comando_ldd_muestra las librerías compartidas que se indiquen o las que dependan de un programa.
5.4.3 Ltrace
El comando_ltrace_es un programa que simplemente ejecuta un comando especificado si existe. Intercepta y anota las llamadas a librerías dinámicas que son llamadas por el proceso ejecutado y las señales que recibe el proceso. Además puede interceptar y mostrar las llamadas al sistema ejecutadas por el programa. Es un comando muy similar astrace
5.4.4 Strace
En el caso más simple,_strace_ejecuta el comando especificado si existe. Intercepta y anota las llamadas al sistema realizadas por el proceso ejecutado y las señales que recibe el proceso. En la salida de error estándar se muestra el nombre de cada llamada al sistema, sus argumentos yel valor de retorno.
Un ejemplo de la ejecución de strace podría ser el siguiente si lo ejecutamos sobre el comando “cat /dev/null”:
open("/dev/null", O_RDONLY) = 3
5.4.5 Strings
Strings mostrará las cadenas de caracteres imprimiblesen ficheros. Permite elegir diferentes conjuntos de caracteres (ASCII, UNICODE). Es una forma rápida de hojear ficheros, particiones, etc., con el propósito de buscar palabras, nombres de fichero, palabras clave (contraseñas), etc. Es un comando principalmente útil para determinar el contenido de los ficheros que no son de texto.
5.4.6 Galleta
La herramienta de línea de comandos Galleta [42]Analiza gramaticalmente los ficheros cookie.
Actualmente hay una carencia de métodos y herramientas de código abierto que los analistas forenses puedan usar para examinar datos encontrados en ficheros Microsoft. Muchas investigaciones de delitos relacionados con computadoras requieren la reconstrucción de ficheros Cookies del navegador Internet Explorer.
Esta herramienta analiza los ficheros Cookie. De ahí su nombre: Galleta, palabra española que en inglés se dice “cookie”. Galleta analizará gramaticalmente la información dentro de un fichero Cookiey muestra los resultados delimitados por campos, de forma que pueden exportarse fácilmente a una hoja de cálculo.
Galleta funciona en múltiples plataformas incluyendo Windows (a través de Cygwin), Macintosh, Linux y plataformas BSD.
Uso:
galleta [opciones] Illegal HTML tag removed : opciones:
-t Campo delimitador (Por defecto, el tabulador)
5.4.7 Pasco
[43] Analiza gramaticalmente ficheros ‘index.dat’.
Esta herramienta de línea de comandos permite la reconstrucción de la actividad de Internet de un individuo. Pasco proviene de la palabra en latín que significa “browse” en ingles y “hojear” o “echar un vistazo” en español. Analiza gramaticalmente la información contenida en “index.dat” que es el fichero de actividad del navegador Internet Explorer, y muestra los resultados al igual que el anterior, delimitado por campos para que pueda importarse su contenido desde una hoja de cálculo.
Al igual que Galleta, Pasco funciona en múltiples plataformas incluyendo Windows (a través de Cygwin), Macintosh, Linux y plataformas BSD.
Uso:pasco [opciones]
Opciones:
-d Recupera registros de actividad borrados
-t Delimitador de Campos (pordefecto, el Tabulador)
Ejemplo de uso:
./pasco index.dat > index.txt
Si abrimos index.txt en el programa MS Excel como un fichero delimitado por Tabuladores, podemos ordenar la información de varias maneras. El resultado podría ser el siguiente:
5.4.8 Rifiuti
[44] Examina el fichero INFO2 en la papelera de reciclaje
“Rifiuti” es la palabra italiana que significa “basura”. Este programa analizará la información de los ficheros INFO2 en la papelera de reciclaje y la mostrará en un formato con campos delimitados para importarlo a una hoja de cálculo. Al igual que los anteriores, Rifiuti funciona en Windows (a través de Cygwin), Macintosh, Linux, y plataformas BSD.
Uso:rifiuti [opciones]
Opciones:
-t Campo delimitador (por defecto, el tabulador)
5.4.9 Yim2text
[45] Esta pequeño script escrito en Python extrae la información 'encriptada' de los ficheros log del Yahoo Instant Messenger. Esta información se encripta usando un simple “Xor” sobre los datos.