Establecer una buena política permite garantizar a los usuarios acceso específico hacia el sistema y sus contenidos, los cuales sean absolutamente necesarios. Luego se necesita identificar todos los archivos sobre el sistema, los cuales podrían posiblemente ser accedidos o modificados por usuarios legítimos o atacantes maliciosos, para perjuicio de la confidencialidad, integridad, o seguridad del sistema y su contenido.

OpenVAS (Open Vulnerability Assessment System) o Sistema Abierto para la Evaluación de Vulnerabilidades, es un framework excelente el cual puede ser utilizado para evaluar vulnerabilidades en los objetivos. Es una rama del proyecto Nessus, pero a diferencia de Nessus, OpenVAS ofrece actualizaciones completamente gratuitas. OpenVAS se incluye por defecto en Kali Linux, siendo su instalación y configuración relativamente sencilla.

Es factible implementar el mejor software y utilizar los mejores dispositivos de seguridad en una red o sistema, pero a menos se considere restringir el acceso físico todo esto será inútil. Probablemente la principal regla en seguridad de la información es siempre prevenir el acceso físico hacia una máquina. En la mayoría de casos, un acceso físico hacia una máquina permite al atacante la posibilidad de intentar comprometerla.

Mork.pl es una herramienta escrita en perl, la cual permite leer el archivo de historial de URLs de Mozilla “history.dat”, permitiendo imprimir una lista de URLs y sus tiempos de último acceso.

El archivo de nombre “history.dat” almacena el historial de navegación (un registro de las páginas visitadas) en Firefox 2 y anteriores. Iniciando con Firefox 3 el archivo “history.dat” ya no es utilizado.

lnk.sh es un script escrito en bash, el cual permite buscar todos los archivos recientes de extensión LNK dentro de una imagen forense, para un nombre de usuario específico. Los archivos conteniendo los resultados obtenidos se copiarán hacia un directorio de salida.

El archivo de atajo o “acceso directo” de Windows tiene la extensión .LNK. Este es básicamente un archivo de metadatos, específico para la plataforma Microsoft Windows y es interpretado por el shell de Windows. El formato del archivo indica el contenido de una firma 0x4C (4C 00 00 00) en el desplazamiento 0 dentro del flujo/archivo. Además, el GUID (CLSID) 00021401-0000-0000-c000-000000000046 almacenado en el byte 4 de desplazamiento lo hace un buen identificador.

HDSentinel es un software para la vigilancia y análisis de SSD (Unidades de Estado Sólido) y HDD (Unidades de Disco Duro). Su objetivo es encontrar, evaluar, diagnosticar y reparar problemas en unidades de disco duros, reportar y mostrar la salud de SSDs y HDDs, degradaciones en el desempeño y fallas.

Fundl es un script el cual hace posible recuperar todos los archivos borrados o buscar por extensiones de archivo. Permite también generar un reporte en HTML. Y utiliza The Sleuth Kit para recuperar los archivos borrados.

The Sleutk Kit es una librería y colección de herramientas en linea de comando para investigar imágenes de disco. La funcionalidad principal de TSK permite analizar datos de volumen y sistema de archivos.

Para la siguiente demostración se utiliza CAINE y una imagen forense. El script se ubica en el directorio “/usr/share/caine/pacchetti/scripts/”.

FOD son las siglas de “Foremost Output Devide” o por su traducción al idioma español sería Dividir la Salida de Foremost. Este es un script para separar contenidos de los directorios de salida de Foremost en subdirectorios con un número definido de archivos para cada tipo de formato de archivo.

Una búsqueda de palabras clave durante un análisis forense, permite identificar rápidamente datos relevantes mediante la búsqueda de nombres específicos de personas y lugares, direcciones de sitios web en internet, direcciones de correo electrónicos, nombres de archivos, direcciones IP, entre otros términos. Esta búsqueda es realizada dentro del contenido de las unidades de almacenamiento y memoria interna.