IntermediogithubDFIRforensicsincident responseherramientas

DFIR Tools: Volatility, KAPE, Velociraptor y más

Los repositorios GitHub imprescindibles para Digital Forensics e Incident Response: Volatility 3, KAPE, Velociraptor, AVML, Autopsy y herramientas de triaje forense.

MalwareIntel Research··4 min lectura
Serie: Repositorios GitHub — Parte 6

El toolkit DFIR en 2026

Digital Forensics and Incident Response requiere herramientas especializadas para cada fase: adquisición de evidencia, triaje, análisis de memoria, análisis de disco, timeline analysis y reporting. GitHub aloja las herramientas más usadas por equipos DFIR profesionales.

Memoria forense

Volatility 3

Repo: volatilityfoundation/volatility3 Stars: 2,500+ | Estado: activo

El framework de referencia para análisis de memoria. Reescrito en Python 3 con arquitectura de plugins modular. Soporta Windows, Linux y macOS.

Plugins esenciales:

  • windows.pslist / windows.psscan: listar procesos (visibles y ocultos)
  • windows.malfind: detectar inyección de código en memoria
  • windows.netscan: conexiones de red activas
  • windows.handles: handles abiertos por proceso
  • windows.cmdline: líneas de comando de procesos
  • windows.dlllist: DLLs cargadas por proceso

Cuándo usar: siempre que tengas un dump de memoria de un sistema comprometido. Es la primera herramienta que ejecutas.

AVML (Acquire Volatile Memory for Linux)

Repo: microsoft/avml Stars: 700+ | Estado: activo

Herramienta de Microsoft para adquirir memoria en sistemas Linux. Binario estático (sin dependencias), portable, diseñado para IR donde no puedes instalar software. Genera dumps compatibles con Volatility y LiME.

LiME

Repo: 504ensicsLabs/LiME Stars: 1,700+ | Estado: activo

Linux Memory Extractor. Módulo de kernel para adquirir dumps de memoria en Linux. Más antiguo que AVML pero soporta formatos adicionales y más versiones de kernel.

Triaje y recolección

KAPE

Repo: EricZimmerman/KapeFiles Stars: 700+ | Estado: muy activo

Kroll Artifact Parser and Extractor. Framework de triaje que recolecta artefactos forenses de Windows de forma rápida y automatizada: MFT, event logs, prefetch, registry hives, browser data, etc. Los "targets" (qué recolectar) y "modules" (cómo procesarlo) son configurables.

Uso típico: IR de campo. Llegas al sistema comprometido, ejecutas KAPE, en 5 minutos tienes todos los artefactos relevantes empaquetados para análisis offline.

Nota: KAPE como binario es de Kroll (commercial), pero los KapeFiles (targets y modules) son open source en GitHub.

Velociraptor

Repo: Velocidex/velociraptor Stars: 3,000+ | Estado: muy activo

Plataforma de IR y hunting enterprise. Despliega agentes en endpoints, ejecuta queries VQL (Velociraptor Query Language) de forma remota y recolecta artefactos a escala. Pensado para IR en organizaciones con miles de endpoints.

Capacidades:

  • Recolección de artefactos remota (sin tocar el endpoint físicamente)
  • Hunting a escala: ejecutar una query en 10,000 endpoints simultáneamente
  • Monitoring continuo: alertar cuando aparezca un artefacto sospechoso
  • Timeline analysis integrado

Cuándo usar: IR enterprise. Cuando tienes más de 10 endpoints que investigar.

Análisis de disco

Autopsy

Repo: sleuthkit/autopsy Stars: 2,500+ | Estado: activo

Plataforma forense de disco open source. GUI completa para análisis de imágenes de disco (E01, raw, VHD). Módulos de análisis: file carving, keyword search, timeline, hash matching, web artifacts, email.

Cuándo usar: análisis forense de disco completo. La alternativa open source a EnCase y FTK.

Plaso / log2timeline

Repo: log2timeline/plaso Stars: 1,500+ | Estado: activo

Motor de super-timeline: extrae timestamps de docenas de fuentes (event logs, registry, filesystem, browser, prefetch) y los unifica en una timeline cronológica. Esencial para reconstruir la secuencia de eventos durante un incidente.

Análisis de artefactos Windows

Eric Zimmerman's Tools

Repo: EricZimmerman/Get-ZimmermanTools Stars: 1,000+ | Estado: activo

Colección de herramientas especializadas para artefactos Windows:

  • MFTECmd: parser de MFT ($MFT, $J, $LogFile)
  • RECmd: parser de registry hives con plugins
  • PECmd: parser de prefetch files
  • LECmd: parser de LNK files
  • AmcacheParser: parser de Amcache
  • ShellBags Explorer: análisis de ShellBags (navegación de carpetas)
  • Timeline Explorer: viewer de timelines CSV

Uso: procesamiento de artefactos recolectados por KAPE. KAPE recolecta, Zimmerman Tools procesan.

Stack DFIR recomendado

Fase 1 — Adquisición:
  Memoria: AVML (Linux) / winpmem (Windows)
  Disco: dd / FTK Imager
  Triaje: KAPE (artefactos Windows)

Fase 2 — Análisis:
  Memoria: Volatility 3
  Disco: Autopsy
  Artefactos: Zimmerman Tools
  Timeline: Plaso / log2timeline

Fase 3 — Hunting (si enterprise):
  Velociraptor: queries VQL a escala
  Sigma: reglas de detección en logs

Fase 4 — Reporting:
  Timeline Explorer: visualización
  Markdown/HTML: informe final

Veredicto

Volatility 3 + KAPE + Velociraptor + Zimmerman Tools es el stack DFIR open source más completo en 2026. Cubre memoria, disco, triaje y hunting enterprise. Autopsy para análisis de disco forense completo. Plaso para timelines. Todo gratuito, todo en GitHub, todo usado por equipos profesionales DFIR de primer nivel.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.