Master

LICENSE

@@ -0,0 +1,21 @@
+MIT License
+
+Copyright (c) 2025 Cristian Marcial Olivera Hidalgo
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.

README.md

@@ -0,0 +1,57 @@
+# AFDT - Herramienta de Análisis Forense
+
+AFDT (Anti Forensic Detection Tool) es una herramienta de análisis forense diseñada para facilitar la investigación de imágenes de disco de sistemas operativos Windows. Permite realizar diversas comprobaciones y recuperaciones de datos asumiendo que la imagen forense ya está montada.
+
+## Funcionalidades
+
+Esta herramienta realiza las siguientes funciones de análisis:
+
+1.  **Revisar el servicio Registro de eventos de Windows**: Comprueba si el servicio de registro de eventos ha sido alterado.
+2.  **Identificar borrado de registros en los EVTX de Windows**: Busca indicios de eliminación de registros en los archivos de log de eventos.
+3.  **Comprobar cantidad de eventos en los EVTX por rango de fecha**: Permite filtrar y contar eventos en los logs EVTX dentro de un rango de fechas específico.
+4.  **Identificar Timestomping en archivos o carpetas de la MFT**: Detecta posibles manipulaciones de las marcas de tiempo (timestomping) en la Master File Table (MFT).
+5.  **Revisar la papelera de reciclaje**: Busca elementos eliminados en la papelera de reciclaje de los usuarios.
+6.  **Comprobar la presencia de aplicaciones para realizar antiforense**: Intenta identificar herramientas antiforense mediante la comparación de firmas digitales.
+7.  **Comprobar la presencia de Volumen Shadow Copies (instantáneas)**: Verifica la existencia de instantáneas de volumen en la unidad (nota: esta función puede tener limitaciones con unidades virtuales).
+
+Además, cuenta con una funcionalidad de **Carving** para la recuperación de archivos eliminados:
+
+8.  **Recuperar archivos eliminados definitivamente**: Permite recuperar archivos de formatos específicos (JPG, PNG, EXE, PS1, TXT, PF, BAT) de la imagen de disco.
+
+## Requisitos
+
+*   **Imagen Forense Montada**: La herramienta asume que la imagen forense de Windows ya está montada.
+*   **Privilegios de Administrador**: La aplicación debe ejecutarse con privilegios de administrador para poder acceder a ciertas áreas del sistema y realizar análisis forenses.
+*   **Herramientas Externas**: La herramienta utiliza `MFTECmd.exe` (para el análisis de la MFT) ubicada en la carpeta `tools/`.
+
+## Uso de la Aplicación
+
+1.  **Ejecutar la Aplicación**:
+    *   Haz doble clic en el ejecutable (`AFDT.exe`). **Asegúrate de ejecutarlo como administrador.**
+
+2.  **Interfaz Principal**:
+    *   **Campos de Fecha**: Introduce la "Fecha Inicio" y la "Fecha Fin" para el análisis en formato `YYYY-MM-DD HH:MM:SS`.
+    *   **Campo "Seleccionar letra"**: Introduce la letra de la unidad donde está montada la imagen forense.
+    *   **Botón "Iniciar Análisis"**: Pulsa este botón para comenzar el análisis forense de la imagen montada en `I:`.
+    *   **Botón "Carving"**: Pulsa este botón para iniciar la recuperación de archivos eliminados (JPG, PNG, EXE, PS1, TXT, PF, BAT).
+    *   **Botón "Detener"**: Durante un análisis o carving en curso, puedes pulsar este botón para detener la ejecución. Se guardará el log temporal hasta ese punto.
+    *   **Botón "Acerca de"**: Muestra una pequeña ventana con información sobre el autor del software y su versión.
+
+3.  **Logs y Archivos Recuperados**:
+    *   Todos los resultados del análisis se mostrarán en el cuadro de texto de la interfaz.
+    *   Se generará un archivo de log temporal (`afdt_temp.log`) durante la ejecución, que se copiará a un archivo de log final (`afdt_YYYY-MM-DDTHH_MM_SS.log`) al finalizar o detener el análisis. Estos archivos se encuentran en la carpeta `logs/` relativa al ejecutable.
+    *   Los archivos recuperados por la función de Carving se guardarán en subcarpetas (`jpg/`, `png/`, `exe/`, `ps1/`, `txt/`, `pf/`, `bat/`) en el mismo directorio que el ejecutable.
+
+
+
+## Autor
+
+Software creado por Cristian Marcial Olivera Hidalgo.
+Versión Final 1.0.1
+¡Espero que AFDT sea de gran utilidad en tus labores de análisis forense!
+
+## Agradecimientos
+
+Un agradecimiento especial a Bani Amundaray Carmona por su tutoría en el TFM en el que desarrollé esta herramienta.
+
+

firmas.txt

@@ -0,0 +1,4 @@
+firma_newfiletime = b":%\xb9\xbb\xfb\x18x\xce\xfa\xe3N\xe1\x06\x9b\xe0\xc2U\xa0\x1f9\xb8|\xb1\xa3\xc9\\x\x81\xb4\xa7\xbc\xf3\xeb\xfb|\\{\xc0\xf7\x0b\x82\xd1O\x05\xa1\x12\xf3\n\xd0\xf0N\xfaQ\xe2_\x13\x84\x9f:&v\xccAj\x9d\xdb\xd1\xd9\xd4\x8c.\xbe\x9a\xd15^\x80\x92\xde\xa4\xdc\x98\xd4\xfc\x00\x0f*}\xf0T\x9eu;\x1b\xe1\xd1\xc7\x7f\xafS\r\xee\xdf\xa0\x14\x1f/\x1fXr\x1f\x0e3\x1d\xacE\x00\xecU\x05):%l$\xde\xaa\x83\xd7\xd0\xd3q\x8fi\x15WG\xf83m\x89\x9c\x9d\x8e\x16\x1bjae\x8f\x7f\xa8}\xa3s\xd9~N\x7f::\xb6l\x8dn\x96\x99\xbb3\x01\xb8\x94Y$\xf1#\x93\x99In'\x05\x02\xc8HQ\x8a\xecw\xba\xe3s:\x04;\\\x14\x82b\xc0\x96GIb\xbc<\xc7Bw:\xcf\x19U\n\x82h\xadS\x1e\x9c&\xbe\x1eS\x18]cXc\x99u\xa8b\xbc\xae\x93|p\xf2\xd2q\x82\xc2\xaf\xfbg\x97w\xfd\x93b\x1c\x00\x00\x00\x00"
+firma_eraser = b"\x03\xa3\xd9\x05^?\x87\x10`5\xeb\rr6\x07\x85\xe4y\x03\xa1\xa1\xcb\x08Y`\xa2\x0bc\x10\xa3;\x1b\xcc\xd0K\x1f\xc4\x8f\xd0\xc1\xa7\xb1\xc10\xad\xd7Ld\x9d\x04\xaf\xe9y\xb9)?\x8b\xd7K$h\xd7\x8f\xb63\xeaV\xceB\x1d9\xda\xecW\xe4y\xe3m{1\x122\xae=%\xb3\xb0\xc9\xd5}c\xa9\xde\x16\xd1l\xa3R\xd4_\xf1?\xb9\xda\x05\xbb\x824d\x86x+#\x13\\\xe896\x9b\xd1l\x14\xa0\xfe'6\xb4o{\x90^\xc1\xd0'\xcf;\x12\x08[U\x02X\x8cmP\xbb\x04C\x17\xdd\xd6\x18\xd8%\xef\xb3\xc4\xc2Q\x9e\x87'\x90\xa3\x84\xd1\xd1\xcat\xd7=\x03\xf9\xed\xc9m\x06\x1a%\xd4\xc8\x19\xfe\x0c\x1c\xc6\xfe\x9bg|\x9d\x90E\x05\xad;\x00=\xc5#D\xf8\xc9\x7fe\xfa\xa6\xa1O\xac\x1d\r\xd5\x8c'\xe7\x9ea\xf36v`\xd8\x15e`\xc0\x1a\xda\x8fs4,C\xa3A\xfa\xe4\x93\x18\xf0\xe1\x86\xe5O\x99L\xacH\x05U.\x1bS\x00\x00"
+firma_openstego = b'\\openstego.jar"\r\n\r\n:finish\r\nif "%OS%"=="Windows_NT" endlocal\r\nexit /b 0\r\n\r\n:fail\r\nset TMPFILE="%TEMP%\\OpenStego-%RANDOM%.vbs"\r\necho MsgBox "%ERROR_MESSAGE%", 0, "OpenStego v0.8.6" > %TMPFILE%\r\n"cscript.exe" //Nologo %TMPFILE%\r\ndel /f %TMPFILE%\r\nexit /b 1\r\n'
+firma_veraCrypt = b'8:\x90\x01\x8c9\x94\xeb\xa6\xb9Y\xce\xc0\x87JaW\xcaDNG\x98\x82x\xf5\xc7\xf9n\r\xaas\xf9\x96R\x84\xb8;\xde5\x15\xab#\xb0\xd3\xa0\x12\xa6\x90\\\x06\xf6\xe0b\x8fy\x18\xd1x\xf1\x94\xfbc\xd858\x11\xc0\xb5\xf5\xcc\xc3\xaf\xa2\xf8\xcc\x8bv\xb4\x99\xe3\xac\xf23\xe7\xa8\x0fS+\xde\xbcVk\xe1h#N\x02\xf0\xcd\xb5\xc3\xc1\xb1z\xc4\xb7T\xa6\x0b\xbc\xe9Ya\xd3\x92M\x8dL\xa5\x8e\xcb!S\xba+\x86\xd0Y&\n\xb8+\xfcbn\xd6\x7f\xd2\x95\xdbc\xf4\xbfLw\xf3FI\xc9\x98\x83\x01\x85\x02Q$\x1e@\xdd#e\x84\xfd\x1e\x97\x9dZ\x92o1\xack\xc0Q\x0f\xf1\xa9hV\xe3\xb3\xb9Q\xf6Z\x0b\xear\x9a\xc9\xe6H\x92,\x7fA8\xa9w)\xdf\xf1\x94\xf7\xda/\xc1\x01k\x1c\xfb\xa6c\xfc\x01\xde\x07\xca\x13;\x8b.6\xdbR\xd3\x0c\xe6L\xde\xa5\x1b\n5]\x9aGn,\xa00B\xa3k\xdf\xec\xb5\x0e*\x17\xd1r\x16\x1ej\x00'

logs/archivo holder.txt

@@ -0,0 +1,2 @@
+Este archivo fue creado porque no puedo tener carpetas vacías en GitHub, no es importante para el funcionamiento de la aplicación.
+Una vez tengas el programa descargado puedes borrar este archivo.