DAWF (DragonJAR Automatic Windows Forensic) es el nombre que se le ha dado a una herramienta que integra diferentes utilidades que permiten automatizar la extracción de evidencia forense en Windows, (de la que hablamos hace un tiempo) pensada inicialmente para resolver una necesidad concreta que teníamos en un proceso forense y que ha resultado muy útil en otros procesos similares, por tal razón la hacemos pública.

DAWF-1

Definimos DAWF como una herramienta integradora de utilidades DE BOTÓN GORDO, pensada para los siguientes entornos:

  • Entorno Windows Vivo (Encendido, con procesos corriendo y en el cual debemos ejecutar lo mínimo necesario para extraer la memoria RAM y la información del sistema)
  • Entorno Windows Revivido (Cuando tomamos una copia bit a bit, siguiendo toda la metodología del caso y ya con nuestro segundo original en manos, montamos esa imagen en una máquina virtual para “revivir” el equipo en un entorno controlado sin temor a modificar la evidencia)

Si lo ejecutas en un Entorno Vivo sin seleccionar la opción (“Dumpear solo la RAM y SisInfo”) estarías ejecutando una gran cantidad de procesos en esta máquina y posiblemente alternado la evidencia, pero debes determinar en cada caso puntual si puedes hacerlo o tienes autorización para ello.

DAWF-2

Por ejemplo en casos en los que NO se busca llevar a un tribunal lo sucedido y solo es necesario identificar por ejemplo la fuente de infección de un malware o los equipos involucrados en una fuga de información posiblemente no tengas problema con ejecutar la herramienta “en vivo”, pero cada caso debe ser evaluado.

Las funcionalidades del DAWF son las siguientes:

  • Herramienta de BOTÓN GORDO: Está pensada para que sin importar si lo ejecuta una secretaria sin idea de computación, o el jefe de sistemas de una organización, ambos lleguen al mismo resultado, la herramienta exige ejecución como administrador y si por descuido o error no presionan el BOTÓN GORDO, el DAWF inicia sus labores automáticamente.
  • Documenta Cada Acción Realizada: La herramienta documenta cada paso que da, con fecha y hora precisa, genera también las firmas de los archivos creados en 6 formatos distintos de hash para evitar cualquier tipo de colisión, lo que será muy útil a la hora de generar nuestro informe forense.
  • Funciona en Entornos Muertos y Vivos: Tiene una opción para solo sacar la memoria RAM y la información del sistema cuando tenemos un entorno vivo y la opción principal de extraer toda la información para ejecutar en entornos “muertos” que han sido “revividos”.
  • Portabilidad: La herramienta está pensada para ser ejecutada desde un medio de almacenamiento externo debidamente sanitizado y solo generar archivos nuevos en este medio, evitando tocar el equipo analizado y adaptándose a cualquier ruta donde se encuentre el ejecutable.
  • Compatible con Windows XP-10: La herramienta es compatible con todas las versiones de Windows desde XP hasta Windows 10 y las aplicaciones integradas fueron cuidadosamente seleccionadas para que esto fuera posible (con un periodo de pruebas publico bastante positivo).
  • Parametrizable y Personalizable: La herramienta puede ser ejecutada directamente en sus 2 modos, siempre y cuando se ejecute como administrador con las siguientes opciones “DAWF.exe /vivo” para extraer la RAM y la información del sistema y “DAWF.exe /muerto” para ejecutar la funcionalidad principal de extracción de información automatizada; Adicional a esto se incluyen diferentes perfiles específicos para extraer información concreta, como información de navegación, ejecución y manipulación de archivos o redes sociales y permite generar nuestros propios perfiles personalizando aún más la herramienta (Leer archivo “DAWF\Herramientas\1. Cambiar o Crear Perfiles.txt” ).
  • Visual y Fácil de Entender: Todo analista forense que lleve un tiempo haciendo su trabajo posiblemente tenga un script en BAT que haga algo parecido a lo que se está presentando, pero algo que siempre da impotencia con este tipo de scripts es que no sabes cuánto va a tardar o en qué paso estamos en un momento determinado, con DAWF no pasa esto ya que supervisa constantemente cada proceso en ejecución y nos indica cual se está corriendo actualmente además de mostrar en una barra de progreso cuánto nos falta para terminar el proceso.

DAWF-3

Esto es todo lo que ofrece el DAWF, como pueden ver es un software muy simple pero que cumple con su labor, el mayor aporte que hace DAWF no es tanto el programa como tal, sino la selección de herramientas que incluyen y que fueron puestas a prueba en casos reales.

 

Sin más demoras les comparto el enlace de descarga para el DAWF (DragonJAR Automatic Windows Forensic) v1.0

Algunas Herramientas de Nirsoft (www.nirsoft.net) incluidas en el proyecto son catalogadas por algunos antivirus como “Hacktool” u otras  denominaciones, esto se debe principalmente a la naturaleza misma de sus funcionalidades, y la generación de falsos positivos por parte de las casas antivirus como ha sido explicado por el desarrollador Nir Sofer en su sitio oficial hace ya varios años, igual eres libre de incluir o eliminar las herramientas que mejor se ajusten a las necesidades específicas de tu proyecto.

Hash de DAWF.zip

MD5: 560b8a87d7b8cd042bf7c0dec4ff490d
SHA1: a2b3442857162e4aa808e7a2bb3f56ff629ef140
SHA-256: 684467c45a6beebbffdb07e3ec67c0e366226cb83d75703507b549321c0f7f47

Hash de DAWF.exe

MD5: ba607db6315a68dd67c68705706ccb65
SHA1: e31fa1f8bd5a22ccd2fc5228252755a06ad69f6a
SHA-256: 70c9f828083f5b0929cd3bb449355750ac9719ba1030f040c6b49c824a0532c4

Esperamos realmente que esta herramienta sea de utilidad para tus procesos forenses, si quieres alguna nueva funcionalidad o reportar algún problema no dudes en dejar tu comentario en este post o escribirnos.

El software se proporciona “tal cual” sin ninguna garantía, ya sea expresa o implícita, incluyendo, pero sin limitarse a, las garantías implícitas de comerciabilidad y adecuación para un propósito particular. El autor no será responsable de ningún daño especial, incidental, consecuente o indirecto, debido a la pérdida de datos o cualquier otra razón.

Congreso Hacker Colombia