Forensics-colorize: Comparación Visual de Archivos
Forensics-colorize: Comparación Visual de Archivos
Forensics-colorize es un conjunto de herramientas de línea de comandos en Kali Linux diseñado para la comparación visual de archivos grandes, como imágenes de sistemas de archivos o volcados de memoria.
A diferencia de comandos como diff, que muestran líneas de texto cambiadas y pueden volverse ilegibles en archivos binarios o muy extensos, esta herramienta genera gráficos de colores que permiten identificar de un vistazo qué porcentaje de los archivos ha cambiado y en qué secciones exactas.
🛠️ Herramientas principales
El paquete incluye dos programas que trabajan en conjunto:
filecompare: Se encarga de analizar dos archivos y generar un archivo de entrada auxiliar. Este archivo contiene los datos de las diferencias detectadas.colorize: Toma el archivo generado porfilecomparey crea una imagen intuitiva (gráfico) que muestra visualmente los niveles de cambio.
🚀 Cómo usarlo en Kali Linux
Si no lo tienes instalado, puedes obtenerlo con:
sudo apt install forensics-colorize
Ejemplo paso a paso:
Comparar dos archivos (o imágenes de disco):
Supongamos que tienes dos volcados de memoria: disco1.img y disco2.img.
Bashfilecompare disco1.img disco2.img > diferencias.datAquí puedes usar el parámetro
-bpara definir el tamaño del bloque (ej.-b 4k).Generar la imagen visual:
Bashcolorize diferencias.datEsto generará un archivo de imagen (normalmente en formato
.bmp) donde:Verde: Indica que los datos son idénticos.
Rojo: Indica que hay diferencias en ese bloque de datos.
📊 Parámetros útiles de colorize
| Comando | Descripción |
-w <num> | Define el ancho de la imagen de salida (útil para ajustar la resolución). |
-o | Cambia la orientación de la imagen (de vertical a horizontal). |
-d | Cambia la dirección del flujo de datos (hacia abajo o hacia la derecha). |
-v | Modo "verbose" para ver detalles técnicos durante el proceso. |
¿Por qué es útil en Forense Digital?
Cuando trabajas con terabytes de datos, buscar cambios bit a bit es ineficiente. Esta herramienta permite al investigador detectar rápidamente áreas de interés (como sectores modificados recientemente) sin tener que leer código hexadecimal durante horas.