Uno de las mejores distribuciones Linux forenses es Caine 2.0(Computer Aided Investigative Environment). Esta distribución cuenta con una serie de utilidades y herramientas especializadas en dar soporte a cada una de las cuatro fases de la Informática Forense: Estudio preliminar, recolección de la evidencia, análisis de la evidencia y la elaboración del informe final.
Obteniendo Linux Caine
Iniciamos con la descarga de Linux Caine 2.0, desde su página oficial: http://www.caine-live.net/page5/page5.html. El archivo de descarga es una imagen con extensión .iso, como se muestra en la siguiente figura:
El tiempo de descargar depende de la velocidad de la conexión a Internet. Luego de la descarga se utiliza un software de quemado de imagen, por ejemplo ImgBurn. Introducimos un CD/DVD, localizamos el archivo de imagen y ya está. Ahora solo queda esperar que se realice el proceso de quemado.
Arrancando desde Live CD/DVD Linux Caine
Una vez obtenido el diestro Linux/Caine, procedemos a configurar el boot de la PC para arrancar desde el CD/DVD.
El gestor de arranque permite la opción de iniciar en modo Live/CD, o de realizar la instalación completa. En nuestro caso iniciamos desde Live/CD.
Al ingresar por primera vez a Linux Caine, observamos un entorno grafico muy amigable y atractivo, ya que este diestro está desarrollado bajo Linux Ubuntu. Su capacidad y eficiencia como diestro forense, es gracias al conjunto de herramientas con las que se cuenta.
Herramientas y Utilidades de Linux Caine 2.0
Linux Caine cuenta con una serie de herramientas, utilidades y recursos, que lo han convertido en una de las ditribuciones mas populares a nivel de la informatica forense. Antes de iniciar un recorrido por cada una de las herramientas disponibles, es importante tener en cuenta que el acceso a estos recursos requieren de un nivel de conocimientos previos de informatica forense y conocimientos en el tratamiento de la evidencia digital.
Mount Manager
Esta herramienta permite detectar, montar, desmontar, examinar y administrar las unidades de almacenamientos, conectadas a disco duro, tanto las unidades internas como las externas.
Guymager
Es una herramienta forense, con la capacidad de crear copias bit a bit o réplicas de imagen de disco, es bastante ágil en su funcionamiento y crea replicas en formatos dd, EWF, AFF.
Air(Imagen y Restauración Automática)
Air Es una aplicación en modo grafico para el uso del comando dd/dclfdd (Datataset Definition (dd)). Fue diseñado como una mejora en modo gráfico de todas las variantes de dd, su fácil uso permite crear imágenes forenses de discos y de particiones completas del mismo. Soporta MD5/SHAx hashes, cintas SCSI, proyección de imágenes sobre una red TCP/IP, imágenes partidas, y registración detallada de la sesión.
Autopsy
Tal vez la mejor herramienta libre que existe para el análisis de evidencia digital. Su interfaz gráfica es un browser que basado en las herramientas en línea de comandos del Sleuth Kit, permite un análisis de diversos tipos de evidencia mediante una la captura de de una imagen de disco.
Hexeditor
Permite cargar los datos de cualquier archivo, ver y editar en formato hexadecimal o ASCII. Por medio del editor hexadecimal, el usuario puede ver, redactar, reparar o modificar el contenido intacto y exacto de un archivo binario.
PhotoRec
Recupera datos y archivos perdidos incluyendo vídeo, documentos y archivos de discos duros y CD/DVD. Incluyendo la búsqueda en el espacio no asignado en disco, examinando cabecera tipo de archivo específico y los valores de pie de página.
Gtkhash
Una magnifica herramienta para el cálculo de diferentes funciones hash de un archivo y sumas de comprobación de mensajes. Actualmente los tipos soportados incluyen funciones de hash MD5, SHA1, SHA256, SHA512, RIPEMD, HAVAL, TIGER y WHIRLPOOL. Esta herramienta es bastante útil, para comprobar el correcto estado de un archivo, o la comparación entre dos(2) archivos iguales, para comprobar su integridad.
Hfsutils
HFS es una herramienta para leer y escribir volúmenes de Macintosh, de su "sistema de ficheros jerárquico", el formato de volumen nativos utilizados en los modernos ordenadores Macintosh. hfsutils es el nombre de un completo paquete de software están desarrollando para permitir la manipulación de los volúmenes HFS de UNIX y otros sistemas.
Dvdisaster
Dvdisaster es una fabulosa herramienta que examina CD / DVD / BD, con el fin de recuperar archivos, incluso después de algunos errores de lectura. Esto permite rescatar información dañada o de difícil lectura a un nuevo medio de almacenamiento tras su recuperación.
Ophcrack
Utilidad para romper u obtener contraseñas de usuario en el sistema operativo Windows. Su funcionamiento se basa en el análisis de las tablas rainbow para el acceso a las claves de la SAM (Security Accounts Manager).
SAM es el gestor de seguridad para cuentas de usuario, de los actuales sistemas operativos Microsoft Windows. Este servicio se emplea durante los procesos de acceso al sistema, y retiene información del usuario que se ha logeado ante el sistema.
Tesdisk
TestDisk es una buena herramienta diseñada para recuperar particiones perdidas de almacenamiento de datos, o recuperar la capacidad del disco para hacerlo booteable. Estas funciones son exitosas cuando los problemas son causados por software con fallas, ciertos tipos de virus o en caso de borrar accidentalmente una tabla de particiones. Su función no aplica para discos duros con daños físicos, sin embargo puede intentar el acceso a las particiones dañadas u ocultas.
