Forensic FOCA una herramienta que te ayudara en tus análisis forenses

Francisco Oca — Tue, 06 Mar 2012 17:19:34 GMT

Hace una semana que se publicó Forensic FOCA y desde Windows Técnico nos gustaría hacer una reseña sobre esta herramienta.

Forensic FOCA http://www.informatica64.com/ForensicFOCA/ es un producto derivado de la conocida herramienta FOCA. Esta nueva edición está orientada a su utilización en escenarios de informática forense como indica su nombre.

Para dicha labor la herramienta analiza los metadatos de los ficheros existentes en una unidad de disco o una carpeta. Soporta una gran cantidad de documentos entre ellos los documentos de Microsoft Office, LibreOffice, PDFs y ficheros de imágenes. En su página http://www.informatica64.com/ForensicFOCA/ podéis ver una lista completa.

A continuación se muestra una imagen de la visualización por documento de Forensic FOCA:

Imagen 1: Visualización por documentos

El último objetivo que tiene la herramienta es lograr crear un Timeline con todas las fechas halladas cómo por ejemplo la fecha de creación o impresión de un documento así cómo los usuarios que puedan estar asociados a un determinado evento. Con todo ello se obtiene una visualización cómo sigue:

Imagen 2: Timeline

La aplicación permite filtrar por fechas, usuarios o tipos de eventos para filtrar los resultados y saber por ejemplo que hizo un usuario en un equipo durante un rango de fechas. Por último es posible exportar todos estos datos para su utilización o procesado.

Si deseáis probar Forensic FOCA podéis descargaos una versión totalmente gratuita desde su página web http://www.informatica64.com/ForensicFOCA/downloadTrial.aspx, está limitada a documentos .doc y .docx. También es posible adquirir una versión completa http://www.informatica64.com/ForensicFOCA/buy.aspx por solo 20 €.

Para mas información podéis acudir al manual de referencia de Forensic FOCA http://www.informatica64.com/ForensicFOCA/Manual/Manual.Espa%C3%B1ol.pdf .

Por ultimo te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.

Filtros en los Informes de Quest

Ignacio Briones — Tue, 05 Oct 2010 20:24:10 GMT

La herramienta Quest ChangeAuditor de Quest permite la creación de filtros en los informes. Estos filtros se centran en fechas y usuario que realizan diversas acciones en el sistema que se esta monitorizando.

Con los filtros son muy útiles a la hora de realizar análisis forense sobre los logs, al poder delimitar una línea temporal y buscar las diferentes actuaciones que se hubieran realizado en el sistema, en este caso de ficheros.

1 Filtro de fechas

Los filtros como se observa en la imagen anterior nos dan la posibilidad de localizar la actuaciones tanto en el tiempo como en las maquinas donde se pudieran haber producido o filtrar las acciones de las que obtener datos en los logs. En la siguiente imagen tenemos una muestra de los filtros de granularidad mas baja que podemos establecer.

2 Filtros de Ficheros

Con esta granularidad Quest ChangeAuditor es una herramienta muy útil, tanto para poder realizar análisis forenses como para ayudarnos con el cumplimiento de normativas como la LOPD, Esquema Nacional de Seguridad o la ISO 27001, para esta ultima la propia herramienta tiene un conjunto de informes que ya incorporan estos filtros y facilita su realización como se ven en esta imagen.

3 Informes relacionado con ISO

Seguiremos en próximos entradas comentado las posibilidades tanto de búsqueda como de realización de informes de la herramienta Quest ChangeAuditor.

Un saludo

Windows Técnico : análisis forense, Herramientas

Forensic FOCA una herramienta que te ayudara en tus análisis forenses

Filtros en los Informes de Quest