Win-UFO (Ultimate Forensics Outflow), disponible en http://win-ufo.org/, es una herramienta para análisis forense de sistemas Windows de las llamadas de «botón gordo». No necesita configurar nada en el ordenador que se quiere analizar y se puede ejecutar desde una unidad temporal (el clásico disco USB). Por supuesto necesita que el ordenador esté funcionando y con una sesión iniciada.
En realidad, es un conjunto de herramientas ya conocidas que están integradas en un lanzador que se encarga de su ejecución.
Win-UFO tiene dos funciones básicas:
- Crear, de forma automática, un reporte básico del sistema con las información más relevante (usuarios activos en el sistema, procesos en ejecución, contenidos de la papelera de reciclaje, últimos ficheros abiertos, etc.).
- Dar acceso a herramientas de análisis forense en modo interactivo.
Reporte del sistema
Simplemente, hay que arrancar Win-UFO y el programa te ofrece esta posibilidad.
El reporte se guarda en la misma unidad en la que está instalado el programa (ya hemos dicho que, normalmente, sería un disco USB) por lo que es importante que la unidad tenga espacio para guardar el informe y los ficheros adjuntos (ficheros de registro, configuración, logs, etc.). En el sistema donde lo he probado el reporte ocupa 300MB.
Herramientas interactivas
Las herramientas se organizan en pestañas y, dentro de cada pestaña, son accesibles con «botones gordos». Hay herramientas de todo tipo, aunque las más útiles, desde mi punto de vista, son:
- BROWSER HISTORY: permite extraer información forense de los navegadores instalados (IE, Firefox, Chrome, etc.): historial de navegación, descargas, cookies, favoritos, etc.
- PASSWORD RECOVERY: recupera las contraseñas almacenadas en los diferentes navegadores y otras aplicaciones instaladas. Esto incluye OUTLOOK, clientes de mensajería, etc.
Echo a faltar la posibilidad de recuperar la información forense de Skype, algo que, por otra parte, es muy sencillo de realizar manualmente. En cualquier caso es una herramienta que no cuesta nada llevar encima por si hay que analizar sobre la marcha un sistema Windows.