kali linux forense bulk_extractor
kali linux forense bulk_extractor
Bulk_extractor es una herramienta de informática forense de alto rendimiento disponible en Kali Linux. A diferencia de otras herramientas que analizan sistemas de archivos, esta escanea el disco (o imágenes de disco) de forma bruta, ignorando la estructura del sistema de archivos. Esto le permite encontrar datos en áreas ocultas, archivos borrados o espacio no asignado.
Aquí tienes una guía esencial sobre cómo utilizarla:
1. ¿Qué hace Bulk_extractor?
Extrae información valiosa automáticamente, como:
Direcciones de correo electrónico.
Números de tarjetas de crédito.
URLs y servicios de dominios.
Metadatos EXIF de imágenes.
Direcciones IP.
Listas de palabras (útiles para ataques de fuerza bruta posteriores).
2. Sintaxis Básica
La estructura del comando es sencilla, pero requiere que especifiques una carpeta de salida:
bulk_extractor -o <directorio_de_salida> <imagen_o_disco>
-o: Indica el directorio donde se guardarán los resultados (la herramienta creará la carpeta si no existe).<imagen_o_disco>: La ruta a la imagen forense (ej..dd,.raw,.e01) o el dispositivo físico (ej./dev/sdb).
3. Ejemplo Práctico
Si tienes una imagen de un USB llamada evidencia.dd y quieres analizarla:
sudo bulk_extractor -o resultados_forenses evidencia.dd
Lo que verás en la carpeta de salida:
Una vez finalizado, dentro de resultados_forenses/ encontrarás varios archivos .txt categorizados:
email.txt: Todos los correos encontrados.url.txt: Historial de navegación y enlaces.ccn.txt: Números de tarjetas de crédito (si los hay).exif.txt: Datos de cámaras y GPS de fotografías.
4. Opciones Avanzadas Comunes
Limitar escaneos: Si solo te interesan los correos, puedes desactivar otros escáneres para ganar velocidad.
-e <scanner>: Habilita un escáner específico.-x <scanner>: Deshabilita un escáner.
Uso de hilos: Bulk_extractor es multihilo por defecto. Puedes ajustar cuántos núcleos usar con
-j:Bashbulk_extractor -j 4 -o salida imagen.dd
5. Interfaz Gráfica (BEViewer)
Si prefieres no usar la terminal para analizar los resultados, Kali suele incluir BEViewer, que permite cargar el reporte generado y navegar por los resultados de forma visual, facilitando la búsqueda de patrones o la visualización de histogramas.
Nota de seguridad: Al realizar análisis forense, asegúrate siempre de trabajar sobre una copia de la evidencia (imagen de disco) y no sobre el dispositivo original para mantener la integridad de la prueba.