Una búsqueda de palabras clave durante un análisis forense, permite identificar rápidamente datos relevantes mediante la búsqueda de nombres específicos de personas y lugares, direcciones de sitios web en internet, direcciones de correo electrónicos, nombres de archivos, direcciones IP, entre otros términos. Esta búsqueda es realizada dentro del contenido de las unidades de almacenamiento y memoria interna.

FKLOOK es un script el cual permite buscar por una palabra clave en diversos archivos, para luego copiar únicamente los archivos en los cuales se encontró coincidencias de la palabra clave, hacia un directorio separado a elegir.

El script se ubica en el directorio “/usr/share/caine/pacchetti/scripts/”

Al ejecutar el script, este solicita escribir el directorio de salida en el cual se salvarán los archivos. Luego se solicita escribir el directorio conteniendo los archivos en los cuales se desea buscar por la palabra clave.

Finalizada la ejecución del script, este únicamente ha encontrado coincidencias de la palabra clave dentro del archivo de nombre “pagfile.sys”

Esta coincidencia se verifica utilizando el comando “grep” con las opciones “abi”, lo cual permite procesar el archivo binario como texto, mostrar el desplazamiento en bytes de cada coincidencia, e ignorar las mayúsculas y minúsculas.

El desplazamiento en bytes se muestra en color verde, mientras las coincidencias de la palabra clave en color rojo.

Anotación: Al ejecutar el comando “grep” dentro del script se presentó el mensaje; “grep: memory exhausted”. Una de las causas a esto es la utilización de la opción “-R” al buscar archivos binarios.

Fuentes:

http://www.caine-live.net/page11/page11.html
http://www.gnu.org/software/grep/manual/grep.html
http://www.faqoverflow.com/unix/90036.html