DEFT (Digital Evidence & Forensic Toolkit)

DragonJAR 336x280 DEFT (Digital Evidence & Forensic Toolkit)

DEFT (Digital Evidence & Forensic Toolkit) es una distribución Live CD (booteable desde el CD) basada en Lubuntu  (Ubuntu con entorno LXDE), muy fácil de usar, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware.

DEFT 1 DEFT (Digital Evidence & Forensic Toolkit)

DEFT es una de las distribuciones de análisis forense que más han avanzado en estos últimos años (puedes verlo tú mismo desde la entrada que creamos cuando solo estaba en su versión 3), no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DEFT Extra.

DEFT (Digital Evidence & Forensic Toolkit) está dividida en dos, su entorno y herramientas booteables que recogen lo mejor del software libre para el análisis forense y DEFT Extra un conjunto de herramientas gratuitas para análisis forense en entornos Windows.

DEFT DEFT (Digital Evidence & Forensic Toolkit)

En DEFT podemos encontrar las siguientes herramientas para realizar Análisis Forense, ahora organizadas por categorías para mejorar su usabilidad:

OSINT

  • “OSINT Chrome browser”:  Google Chrome personalizado con varios plugins y recursos para llevar a cabo actividades relacionadas con la ‘Open Source Intelligence’

Network Information Gathering

  • Host
  • Nslookup
  • Dig
  • Nmap
  • Zenmap
  • Netcat
  • Snmpcheck
  • Nbtscan
  • Cadaver
  • Traceroute
  • Hping3
  • Xprobe
  • Scapy
  • Netdiscover

Wireless Information Gathering

  • Kismet

Web Application Information Gathering

  • Whatweb
  • Cmsident
  • Dirbuster
  • Burpsuite
  • Customized Chrome Browser (at least 1gb ram required)

Social Information Gathering

  • Creepy
  • Snmpcheck
  • PieSpy
  • Irssi

Identity Protection Tools

  • TOR-Browser
  • Anonymouse (http://anonymouse.org/anonwww.html)

OSINT Global Framework

  • Maltego
  • Proactive Resources

Y en el DEFT extra, contamos con el siguiente listado de herramientas para análisis de entornos Windows:

  • WinAudit
  • MiTeC Windows Registry Recovery
  • Zeroview
  • FTK Imager
  • Nigilant32
  • Windows Forensic Toolchest
  • MoonSols Win32dd
  • MoonSols Win64dd
  • Windows File Analyzer
  • UltraSearch
  • Pre-Search
  • XnView
  • X-AgentRansackk 2010 (build 762)
  • Index.dat Analyzer
  • AccessEnum
  • Autoruns
  • DiskView
  • Filemon
  • Process eXPlorer
  • RAM Map
  • Regmon
  • Rootkit Revealer
  • VMMap
  • WinObj
  • AlternateStreamView
  • ChromeCacheView
  • CurrPorts x86 e x64
  • CurrProcess
  • FoldersReport
  • IE Cache View
  • IE Cookie View
  • IE History View
  • Inside Clipboard
  • Live Contacts View
  • Mozilla Cache View
  • Mozilla History View
  • MUI Cache View
  • MyEventView
  • MyLastSearch
  • Mozilla Cookie View
  • Opened File View
  • Opera Cache View
  • Outlook Attack View x86 e x64
  • Process Activity View x86 e x64
  • Recent File View
  • Regscanner x86, x64 e win98
  • ServiWin
  • SkypeLogView
  • SmartSniff x86 e x64
  • StartupRun
  • USBdeview x86 e x64
  • User Assist View
  • User Profile View
  • Video Cache View
  • WhatInStartup
  • WinPerfectView
  • Password Tool
  • ChromePass
  • Dialupass
  • IE PassView
  • LSA Secrets Dump x86 e x64
  • LSA Secrets View x86 e x64
  • Mail PassView
  • MessenPas
  • Network PassRecovery x86 e x64
  • Opera PassView
  • PasswordFOX
  • PC AnyPass
  • Protected Pass View
  • PST Password
  • Remote Desktop PassView
  • VNC PassView
  • Win9x Passview
  • WirelessKeyView x86 e x64
  • AViScreen Portable
  • Hoverdesk
  • File Restore Plus
  • WinVNC
  • TreeSizeFree
  • PCTime
  • LTFViewer
  • Sophos Anti-Rootkit
  • Terminal with tools command line
  • Spartakus
  • Testdisk
  • Photorec

Al ser un proyecto pensado inicialmente para enseñar análisis forense en la Universidad di Bologna, DEFT esta muy bien documentado, el único problema de esta documentación es que está totalmente en italiano, pero con muchas gráficas y fácilmente entendible (IT – manuale completoIT – manuale senza le appendici)

Como novedad en DEFT 7.1, han añadido una excelente herramienta que nos permite sacar una completa línea de tiempo, parseando los logs del sistema y ordenándolos para una fácil comprensión, esta herramienta se llama log2timeline y promete ahorrarnos mucho tiempo en la creación de nuestra línea de tiempo, ademas de las herramientas UsnJrnl-parser y lslnk; Mientras libewf, bulk_extractor, guymager, iPhone Backup Analyzer y Xplico fueron actualizadas.

En la nueva version DEFT 7.2, han añadido una maquina virtual descargable configurada con DEFT 7.2 y soporte para VMWare 5 y USB 3.0,  se actualizó el kernel a la versión 3.0.0-26, ahora es posible usar Autopsy 3 beta 5 con wine (requiere minimo 1gb de ram), incluye soporte para Vmfs y se actualizaron Log2tmeline y Guymager.

Mas Información:
Pagina oficial de DEFT (Digital Evidence & Forensic Toolkit)



Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Y0sh1

    muy buena la información, gracias

  • Rick

    hola buenas tardes me gustaría saber, que comando se usa para entrar en modo grafico a esta distribución ya que le doy startx y me arroja un error, gracias

  • ang64

    tengo el mismo problema que rick el live no inicia modo grafico al teclear startx,

  • ang64

    a otra cosa alguien save como poner el manual de deft a español

  • Raposa

    coloca deft-gui

    boa sorte

  • Raposa

    eu gostaria de integrar o Deft ao yumi para incorporar com outros sistemas que eu tenho,porem não da por que nao esta na lista, teria como fazer isso com comando?

  • Edgar

    Necesito un manual, un tutorial o oalgo por el estilo para poder utilizarlo, me interesa este LiveCD y me agradaria utilizarlo lo mejor posible. De antemano gracias por el aporte y la informacion

  • Edgar

    ademas, los links no me permiten descargar nada, ni el LiveCD ni los manuales en italiano ni nada de nada

  • juan esteban

    To start the GUI DEFT Linux simply type the deft-gui

  • Pingback: Live CD DEFT (Digital Evidence & Forensic Toolkit) 6.1.1 | .:[ Historias de un Cazique ]:.()

  • carlos

    el link esta roto podrian volver a subirlo porfavor

    • http://www.dragonjar.org DragoN

      Aacabo de ensayar y esta bueno carlos.

  • vlascon

    Que tal anda DEFT comparado con BackTrack? seria mucho pedir una tabla comparativa?

    Saludos y Felicitaciones por todo lo que aportan!

  • Jorge Reyes González

    Saludos:

    estoy buscando un curso de CPTE (CERTIFY PENETRATION TESTING ENGINEER), estoy seguro que alguien que tenga la experiencia en este foro podrá dar un buen curso, te solicito por favor DragoN y a todo el foro me pueda apoyar con este curso, se que podremos negociar y que sea beneficio para ambos, muchas gracias espero su valiosa respuesta.

  • Pingback: DEFT (Digital Evidence & Forensic Toolkit) - Geek Creativo()

  • Xiín

    Lo voy a probar, los links están funcionando, y también el manual está en inglés así que no hay problema.

  • Pingback: Automatizando la extracción de evidencia forense en Windows()