Para quienes no conocen las bondades de VirusTotal les cuento que es un servicio desarrollado por Hispasec Sistemas de análisis de archivos sospechosos  en línea, el cual los analiza en busca de virus, gusanos y malware en general. El servicio es gratuito y utiliza más de 30 motores Antivirus, entre los cuales se destacan:

• Avira (mi preferido)
• ESET NOD32
• Kaspersky
• Panda, entre otros.

Para más información sobre VirusTotal visita la página oficial sobre sus servicios.

Volviendo al objetivo de este post que es la utilidad VirusTotal Uploader, personalmente no lo conocía y me enteré de la existencia de éste por medio de otra página que anunciaba la versión número 2 de esta utilidad (evidencia de lo poco que leemos en detalle algunas páginas/servicios y solo usamos el botón más grande XD).

El modo de uso es bastante simple, sólo basta entonces que descarguemos el instalador del Uploader y procedamos a su instalación.

Ahora tendremos una nueva opción disponible en nuestro menú contextual:

Proceso de carga:

Finalmente y de manera automática nos abrirá el reporte de resultados del análisis:

Además de esto podemos utilizar desde los enlaces directos creados en la instalación, la opción de Upload de los procesos en ejecución del sistema. Esto con la finalidad de analizar procesos sospechosos en una máquina de laboratorio o producción.

Como vemos la utilidad es bastante sencilla de utilizar y muy efectiva para agilizar los procesos de Análisis de Malware.

También puede interesarte...

• Los Antivirus Gratuitos Reaccionan Mas Rápido
• Memorias del DISI 2009
• CAINE – Distribución Live CD para Análisis Forense
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee
• Antivirus para Mac OS X Gratis
• Licencia Gratis del Panda Internet Security
• Tercer Encuentro Internacional de Seguridad Informática – Día II

CAINE se diferencia de las demás distribuciones de su tipo (Forensic Boot CD, Helix, Deft, etc..) por su facilidad de uso y que proporcionar una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y  generación de informes.

Giancarlo me ha enviado un mail para notificarme de la nueva versión de esta excelente distribución y aprovecho para agradecerle por dejarme aportar mi granito de arena en el CAINE, realizando la traducción de los reportes en español.

CAINE también cuenta con un subproyecto llamado NBCAINE y mantenido por Nanni Bassetti, que permite utilizar esta excelente distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense  o poder guardar los cambios realizados en el sistema.

Para instalar NBCAINE en tu memoria usb basta con escribir desde una consola en GNU Linux lo siguiente

dd if=nbcaine.dd of=/dev/sdX

Donde nbcaine.dd es el nombre del archivo que descarguemos y la X es el numero de tu memoria usb.

En la nueva version 1.5 de CAINE podemos encontrar cambios en el kernel utilizado (se actualizo a la versión 2.6-24.25) se agregaron los siguientes programas:

• lnk_parse
• lnk.sh
• mork
• steghide
• UserAssist
• dos2unix
• chntpw
• tkdiff
• xdeview

Y se actualizaron o arreglaron estas aplicaciones

• md5deep
• foremost
• lanzadores
• manual
• README.txt
• Photorec y Testdisk and XSteg en el menú de Forense

Por el lado de Windows (CAINE También funciona en Micrsoft Windows) se actualizaron las siguientes aplicaciones:

• Wintaylor
• HexEdit
• Regmon
• FTKImager
• Photorec
• Testdisk
• Nigilant32
• UsbWriteProtect

Descargar la ultima versión de CAINE

Mas Información:
Pagina Oficial de CAINE
CAINE, LiveCD GNU/Linux para Informática Forense
Nueva Versión del CAINE, LiveCD para Informática Forense

También puede interesarte...

• Nueva Versión del CAINE, LiveCD para Informática Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4
• Computación forense, análisis de “cadáveres” virtuales

Indice

1. Introducción
2. Obteniendo datos volátiles
3. Obteniendo datos no volátiles
4. Clonando el disco
5. Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

• Datos volátiles.
• Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

“Cualquier contacto, deja un trazo”
Locard’s Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

También puede interesarte...

• Análisis forense de memoria RAM en entornos Windows
• Webcast de Microsoft sobre Seguridad Informática
• Vulnerabilidad 0-day en todas las versiones de Windows
• Herramienta Anti Forense para Windows
• CAINE – Distribución Live CD para Análisis Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Como quemar un archivo DMG en Windows y GNU Linux

Pero… ¿Que es y de que está formado Microsoft Cofee?

Es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.

Una vez descargada la herramienta, vamos a crear la unidad USB.

Creando Unidad USB

Ejecutamos Cofee.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Cofee

Ya tenemos nuestra unidad USB comprobemos…

Como veis aquí tenemos nuestra unidad USB Cofee.
Ahora vamos a utilizar Cofee

Utilizando Cofee

En nuestra unidad USB tendremos un archivo llamado runner.exe.
Lo ejecutamos…

Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.

En cada una de esas carpetas hay información obtenida de nuestro equipo.

Información extraída

Después de los test que se han realizado, podemos entrar en cada una de las carpetas y ver la información extraída por el Cofee:

En este archivo por ejemplo podemos ver que ha extraído de nuestro equipo la informacion nuestros servicios en ejecución.

Microsoft Cofee ha creado diferentes archivos con informacion detallada de la maquina donde sea ejecutado, con la finalidad de facilitar el análisis de esta informacion mas adelante.

Aunque Microsoft Cofee no ofrece muchas novedades comparados con otras herramientas (por ejemplo el live cd para análisis forence CAINE) y solo funciona en entornos Microsoft Windows, no deja de ser una buena herramienta para tener dentro de nuestro arsenal.

¿Has utilizado Microsoft Cofee?, que opinas de el… cuéntalo en los comentarios.

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Nueva Versión del CAINE, LiveCD para Informática Forense
• Herramienta Anti Forense para Windows
• Recogiendo Evidencias para Análisis Forense en Windows
• Nueva versión de Cain & Abel
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4

Ingresa al Curso Gratuito e Análisis Forense Informático

• Metodología Básica de Análisis Forense – Parte 1 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 4 de 4

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee

PREPARACIÓN DEL INFORME

Es la fase final y la mas delicada e importante la cual sera el documento que sustentara una prueba en un proceso legal, básicamente tener en cuenta estos dos pasos:

Organización de la Información:

1. Retomemos toda la documentación generada en las fases de la metodología e igual cualquier información anexa como notas, antecedentes o informe policial.
2. Identifiquemos lo mas importante y pertinente de la investigación
3. Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas para presentar en el informe.

Escribir el Informe Final:

Debe ser claro, conciso y escrito en un lenguaje entendible para gente común (no tan técnico).

Debe contener como mínimo:

Propósito del Informe. Explicar claramente el objetivo del informe, el público objetivo, y por qué se preparó el informe.
Autor del informe. Todos los autores y co-autores del informe, incluyendo sus posiciones, las responsabilidades durante la investigación, y datos de contacto.
Resumen de Incidentes. Introducir el incidente y explicar su impacto. El resumen deberá estar escrito de manera que una persona no técnica, como un juez o jurado sería capaz de entender lo que ocurrió y cómo ocurrió.
Pruebas. Proporcionar una descripción de las pruebas de que fue adquirido durante la investigación. Cuando el estado de la evidencia que describen la forma en que fue adquirida, cuándo y quién lo adquirió.
Detalles ·. Proporcionar una descripción detallada de lo que la evidencia se analizó y los métodos de análisis que se utilizaron. Explicar los resultados del análisis. Lista de los procedimientos que se siguieron durante la investigación y de las técnicas de análisis que se utilizaron. Incluir una prueba de sus resultados, tales como los informes de servicios públicos y las entradas de registro. Justificar cada conclusión que se extrae del análisis. Sello documentos de apoyo, el número de cada página, y se refieren a ellos por el nombre de la etiqueta cuando se examinan en el análisis. Por ejemplo, “registro de Firewall de servidor, documento de apoyo D.” Además, proporcionan información sobre aquellos individuos que realizaron o participaron en la investigación. Si procede, proporcione una lista de testigos.

Conclusión. Resumir los resultados de la investigación. La conclusión debe ser específico de los resultados de la investigación. Citar pruebas concretas para demostrar la conclusión, pero no dan excesivos detalles acerca de cómo se obtuvieron las pruebas (tal información debe estar en la sección “Detalles”). Incluir una justificación para su conclusión, junto con las pruebas y la documentación. La conclusión debe ser lo más clara y sin ambigüedades como sea posible. En muchos casos, se declaró cerca del comienzo del informe, porque representa la información procesable.

Los documentos justificativos. Incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como diagramas de red, los documentos que describen los procedimientos de investigación de equipos usados, y un panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionar información suficiente para que el lector del informe para comprender el incidente tan completamente como sea posible. Como se mencionó anteriormente, la etiqueta de cada documento de apoyo con las letras y el número de cada página del documento. Proporcionar una lista completa de los documentos justificativos.

Si es probable que el informe será presentado a un público variado, considerar la creación de un glosario de términos utilizados en el informe. Un glosario es especialmente valiosa si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez o jurado debe revisar los documentos.

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee

ANALISIS DE DATOS:

Seguiremos los tres pasos de la anterior figura:

Análisis de Datos de la Red:

Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red.

Análisis de los Datos del Host:

Generalmente se logra con la información obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving o Recuperación de Datos, y definir criterios adecuados de búsqueda, debido a que lo mas probable es que encontremos una gran cantidad de información que nos puede complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de búsqueda Posteriormente definiremos a que archivos  le realizaremos la búsqueda

Análisis de los Medios de Almacenamiento:

Igual que el punto anterior debemos definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos puede desviar la atención o sencillamente complicar el proceso de análisis de la información Tengamos en cuenta las siguientes buenas practicas:

1. No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
2. Determinar si los archivos no tienen algún tipo de cifrado (varias claves del registro no lo pueden determinar).
3. Preferiblemente descomprimir los archivos con sistemas de compresión
4. Crear una estructura de Directorios y Archivos recuperados.
5. Identificar y recuperar los archivos objetivo (determinados por algunos criterios, ejemplo aquellos que han sido afectados por el incidente). Y se puede comparar su hash (archivos del sistema operativo y aplicaciones) con los hash de archivos que nos facilita la http://www.nsrl.nist.gov/,

O sitios como:

http://www.fileformat.info/resolución/web/filespecs/index.htm

http://www.wotsit.org/

http://www.processlibrary.com/

1. Analizar archivos de Booteo y configuración del sistema, el registro del sistema
2. Información de Login / Logout del sistema, nombres de usuario e información del AD (Directorio Activo)
3. Software instalado, actualizaciones y parches.
4. Buscar archivos con NTFS ADS (Alterna Data Stream)

10.  Estudio de las Metadata (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,etc).

11.  La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundo original.

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee

Adquisición:

En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el gráfico anterior para adquirir la evidencia sin alterarla o dañarla, se autentica que la informacion de la evidencia sea igual a la original.

Se debe definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.

Iniciar una Bitácora, que nos permita documentar de manera precisa identificar y autenticar los datos que se recogen, tipo:

• ¿Quién realiza la acción y por qué lo hicieron.
• ¿Qué estaban tratando de lograr?
  ¿Cómo se realiza la acción, incluidas las herramientas que utilizaban y los procedimientos que siguieron.
  Cuando se realizó la acción (fecha y hora) y los resultados.

De igual forma, se toman otras fuentes de informacion de los sistemas vivos, los datos volatiles como:

• Cache del Sistema
• Archivos temporales
• Registros de sucesos.
• Registros de internos y externos que los dispositivos de red, tales como firewalls, routers, servidores proxy,etc.
• Logs del sistema, Aplicaciones.
• Tablas de enrutamiento (arp, cache de Netbios, lista de procesos, informacion de la memoria y el kernel)
• Registros remotos e información de monitoreo relevante

Realizar copia imagen de los dispositivos (bit a bit), con una herramienta apropiada (ver anexo de herramientas), Y firmar su contenido con un hash de MD5 o SHA1, generando asi el segundo original, apartir de este se generaran las copias para el Analisis de datos, cada copia debe ser comprobada con firmas digitales nuevemente de MD5 o SHA1. Documente la evidencia con el documento del embalaje (y cadena de custodia) que puedan garantizar que se incluye información acerca de sus configuraciones. Por ejemplo, anote el fabricante y modelo, configuración de los puentes, y el tamaño del dispositivo. Además, tenga en cuenta el tipo de interfaz y de la condición de la unidad.

Importante considerar las buenas practicas para conservar la informacion y la evidencia.

• Asegurar de manera fisica un lugar para almacenar los datos, evitando su manipulacion. No olvide documentarlo.
• Proteger los equipos de almacenamiento de los campos magnéticos (estatica).
• Realice minimo el segundo original y una copia del segundo original para el analisis y almacene el segundo original en un sitio seguro
• Asegurar que la evidencia está protegido digital y físicamente (por ejemplo, en una caja fuerte, asignar una contraseña a los medios de almacenamiento).
  Nuevamente, no olvide actualizar el documento de Cadena de custodia (incluye información como el nombre de la persona que examina la evidencia, la fecha exacta y el tiempo que echa un vistazo a las pruebas, y la fecha exacta y hora en que lo devuelva).
• Se pretende que esta informacion sea:
• Autentica
• Correcta
• Completa
• Convincente

Para que en caso de un proceso sea legal, admisible.

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee

Identificación:

• En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación interna.
• Obtener por escrito la autorización para iniciar la Forense (Investigación de equipos). Acuerdos de confidencialidad.
• Documentarse de todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. La cual determinara el curso de acción a seguir en la Investigación.
• Organizar y definir el Team de Investigación, estableciendo Limites, funciones y responsabilidades.
• Realice una Investigación preliminar (documentela) que le permita describir la situación actual, hechos, las partes afectadas, posibles sospechosos, gravedad y criticidad de la situación, infraestructura afectada, para lograr una compresión total de la situación actual del incidente y definir un curso de acción acorde a la situación.
• Identificar el Impacto y la sensibilidad de la informacion ( de clientes, financieros, comerciales, de Investigación y Desarrollo, etc)
• Analizar el Impacto de los negocios atraves de la investigación del Incidente. Como, tiempos de inactividad, costos de equipos afectados o dañados, perdida en ingresos, costos de recuperación, perdida de informacion confidencial, perdida de credibilidad e imagen, etc.
• Identificar la topologia de red y tipologia de red, equipos afectados ( servidores, aplliance, UMT, estaciones, Sistemas Operativos, Router, Switches, IDS’s, etc)
• Identificar los dispositivos de almacenamiento o elementos informáticos (Discos Duros, Pen drive, memorias, tarjetas flash, Tapes, Zip Disk, Opticos, Disquettes, Cds, Dvd, etc) que se consideren comprometidos y sean determinados como evidencia, su marca, modelo, caracteristicas, seriales, etc.
• Para nuestro caso, obviaremos los procedimientos a ejecutar sobre sistemas Vivos, por la continuidad en producción de los equipos en producción y su uso en las nuevas instalaciones, se han perdido los datos volátiles.
• Identifique los posibles implicados o funcionarios que tengan relación con la investigación y efectué entrevistas, con usuarios o administradores responsables de los sistemas, documente todo y trate de lograr un conocimiento total de la situación.
• Realiza una recuperación de los logs de los equipos de comunicación y dispositivos de red, involucrados en la topologia de la red.

El producto final de esta fase, debe entregar un documento detallado con la informacion que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final.

Iniciamos la cadena de Custodia, llenando el formato correspondiente, iniciando una bitácora de los procesos que se llevan a cabo y el embalaje de la Evidencia. Determinar

Quien?, Que?, Donde?, Por que? mantener una copia con la evidencia, Como?, Cuando?

• Quien es el primero en tener la evidencia?
• Donde, cuando y quien es el primero que tiene la evidencia
• Donde, cuando y quien examino la evidencia
• Quien va a tener custodia de la evidencia y por cuanto tiempo la tendrá
• Quien y como se embalo y almaceno la evidencia
• Cuando se realiza el cambio de custodia y como se realiza la transferencia

Continuar en la segunda parte del articulo Metodología Básica de Análisis Forense…

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee

Estos son los cambios de la nueva versión:

• Se incorpora el WinTaylor, un frontend de analisis forense para entornos windows
• Paginas HTML compatibles con internet explorer para correr herramientas forenses en Windows
• Actualizado el Ntfs-3g a la versión 2009.1.1 (resolviendo un bug del ntfs-3g)
• Nueva opción del menú de inicio: Modo Texto
• Actualizados los paquetes de Ubuntu 8.04 (CAINE esta basado en ubuntu)
• Nueva versión del Firefox 3.0.6
• Nueva herramienta para realizar hashing de archivos (Gtkhash)
• Nuevas opciones en los reportes: se agrego el nombre del investigador y del reporte
• Reportes en múltiples lenguajes: italiano, ingles, alemán, francés y portugués ¿para cuando en español?
• Cuando se inicia Firefox se abre un listado con las herramientas y un breve manual de utilización.

Descargar CAINE 0.5 LiveCD para Informática Forense

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Nueva versión de Cain & Abel
• Manual de TrueCrypt
• SystemRescueCD, Recupera tus datos después de un fallo en el sistema
• Como realizar un borrado seguro usando BleachBit
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4