• Análisis Forense
  • bash
  • dfir
  • forense
  • Forensics
  • linux
  • Live Response
  • powershell
  • Triage
  • Triage Linux
  • Triage Windows
  • Windows

    • PowerForensics

    marzo 15, 2026 Jesús Angosto

    PowerForensics: estructurando la investigación en DFIR

    Hoy quería compartir un proyecto personal nacido de una necesidad muy concreta en mi día a día como analista DFIR.

    El proyecto nació originalmente de la necesidad de obtener artefactos remotos de un sistema, estuviera aislado o no, sin depender de herramientas externas (escrito 100% en PowerShell). Esta primera versión del script lo llamé PowerTriage.

    Tras muchos meses de desarrollo y optimización de funciones, el script fue creciendo, incorporando nuevas capacidades y adaptándose a diferentes escenarios de respuesta a incidentes. Lo que comenzó como una pequeña herramienta para facilitar el triage en modo Live Response terminó convirtiéndose en algo más grande.



    El problema real en muchas investigaciones DFIR

    Durante diferentes investigaciones me di cuenta de que el problema no era únicamente cómo recolectar evidencias, sino también cómo estructurar la investigación.

    En muchos incidentes ocurre el mismo patrón:

    • Recolectamos artefactos de los sistemas comprometidos
    • Analizamos diferentes fuentes de logs
    • Reconstruimos timelines de actividad
    • Correlacionamos entidades, usuarios, sistemas o direcciones IP

    Sin embargo, estas tareas suelen realizarse con herramientas y procesos independientes, lo que introduce fricción en la investigación y dificulta mantener una visión global del incidente.

    A partir de esa idea nació PowerForensics.

    Un ecosistema de herramientas para DFIR

    PowerForensics es un ecosistema de herramientas diseñado para cubrir diferentes fases de una investigación DFIR, desde la adquisición de evidencias hasta el análisis temporal y relacional de los eventos.

    Actualmente el proyecto se compone de varios componentes:

    • PowerTriage – Recolección de evidencias y live triage en sistemas Windows y Linux.
    • Forge – Normalización de datos procedentes de diferentes fuentes (actualmente orientado a CloudTrail).
    • Chronos – Análisis temporal y reconstrucción de eventos mediante timelines.
    • Nexus – Correlación relacional mediante grafos para entender las relaciones entre entidades.

    La idea no es crear una caja negra que analice incidentes automáticamente, sino proporcionar herramientas que ayuden al analista a comprender mejor lo que ha ocurrido durante una investigación.

    Un proyecto en evolución

    Después de muchas horas de desarrollo y bastantes líneas de código, el ecosistema ya está disponible públicamente, este es el enlace al repositorio de GitHub

    Podéis encontrar más información en la web del proyecto:

    https://powerforensics.es

    Y  aquí el acceso a las herramientas Chronos (TimeLine) y Nexus (Graph Relations)

    Destacar que NO SE ALMACENA nada de información, todo se ejecuta en el navegador del usuario que acceda al servicio de Chronos y Nexus.

    El proyecto sigue evolucionando y cualquier feedback de la comunidad es más que bienvenido.

    Al final, en DFIR no se trata de tener más datos, sino de entenderlos mejor.

    You May Also Like

    Publicar un comentario

    0 Comentarios

    © Copyright , DFIR Spain DFIR Spain - Digital Forensics and Incident Response