Herramientas de informática forense: cómo encontrar la indicada para cada incidente

En algunas ocasiones, ya sea como como perito forense o simplemente como un novato curioso, tocará investigar tecnologías con herramientas que no siempre se tienen a mano. Por eso, a lo largo de este post desarrollaremos un modo sencillo que servirá para obtener las herramientas adecuadas para cada suceso.

Si bien siempre está la opción de realizar una búsqueda en el navegador, es tanta la información disponible en Internet que el desafío muchas veces radica en saber filtrarla. Y en el caso de la búsqueda de las herramientas de informática forense correctas, no es la excepción.

A continuación, analizaremos algunas opciones muy útiles que servirán para encontrar un software determinado desde repositorios oficiales.

Catálogo de herramientas de informática forense del NIST

A través del portal del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de los Estados Unidos, podremos encontrar una clasificación clara que permite realizar búsquedas de forma sencilla de las distintas herramientas forenses filtradas según funcionalidad.

Repositorio del NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos).

Como se puede apreciar en la imagen. el catálogo permite buscar por parámetros técnicos basados ​​en funciones forenses digitales específicas, como imágenes de disco o recuperación de archivos eliminados. Dentro de cada categoría podemos encontrar desde herramientas de análisis de Servicios en la nube hasta forense en drones o vehículos pasando por categorías como Análisis de datos, Base de datos, Recuperación de archivos eliminados, Imágenes de disco, Análisis de correo electrónico, Análisis de hash, Análisis de imágenes (archivos de video y gráficos), Mensajería instantánea, Captura de memoria y análisis, Dispositivos móviles, VoIP, WiFi, etc.

Este catálogo fue realizado de forma conjunta entre varios organismos de los Estados Unidos, como por ejemplo, el Departamento de Seguridad Nacional, la Dirección de Ciencia y Tecnología, la División de Seguridad Cibernética y el Programa de Pruebas de Herramientas Forenses del Instituto Nacional de Estándares y Tecnología.

El portal está dividido en tres secciones: una función de búsqueda para encontrar herramientas, una página para que los proveedores ingresen información sobre sus herramientas y una descripción de las funciones y parámetros técnicos.

Resultado de buscar herramientas para el análisis forense de servicios en la nube.

En la parte superior podemos visualizar el resultado de la búsqueda de herramientas para el análisis forense de servicios en la nube, y en la imagen inferior, resultados ligados a la Registry de Microsoft Windows.

Resultado de la búsqueda de herramientas para el análisis del Registro de Windows. Se encontraron 11 herramientas.

Cabe aclarar que el proveedor proporciona la información de cada herramienta. En el portal se aclara que cualquier mención sobre un producto, sea comercial o no, es solo para información y no implica que un producto haya sido probado.

Por otro lado, este compendio de herramientas proporciona una imagen del panorama de la herramienta de análisis forense digital, mostrando dónde hay vacíos; es decir, funciones para las cuales no hay herramientas y quizás el análisis se vuelva más complejo o netamente manual.

Catálogo de herramientas de informática forense de DFIR Training

Otra opción muy interesante viene de la mano de DFIR community; un portal muy completo que cuenta con una gran cantidad de recursos para respuesta a incidentes forenses. Además de tener un panel de búsqueda con un entorno grafico más agradable, permite dejar reseñas que irán evaluando las herramientas según la visión de cada usuario.

Panel de búsqueda de DFIR Training.

Para complementar, cuenta con un útil de las aplicaciones mejor evaluadas, las más descargadas, las más actualizadas, etc.

Información sobre las aplicaciones mejor evaluadas, más descargadas, recientemente actualizadas, etc.

Por si fuera poco, cuenta con una gran cantidad de recursos para testear las herramientas, así como guías rápidas e infografías.

Por último, no olvides que también muchas de las distribuciones de Linux apuntadas a pentesting cuentan con las herramientas más utilizadas, como las que podemos en observar en las imágenes a continuación.

Volatility: un clásico para el análisis de memoria ram. Se ejecuta desde un terminal.

 

Autopsy: otro clásico presente en varias distros de Linux como Kali.

Por último, es importante recordar que en muchos casos las herramientas que se buscan ya vienen configuradas y preinstaladas en distribuciones más específicamente apuntadas al análisis forense, como por ejemplo DEFT. Te recomiendo que antes de utilizarlas leas un poco acerca de su uso, buenas practicas, y actualices a la última versión disponible.

Ya no hay más excusas, durante este post vimos dónde encontrar las herramientas y los recursos para que pongas mano en el teclado y comiences a practicar o perfeccionarte en este apasionante mundo del análisis forense.

Raspberry Pi y sus versiones

Raspberry Pi (Rpi)

Desde la aparición de este dispositivo con fines educativos por el año 2012,  el crecimiento y la fascinación que trajo el producto han ido en aumento constante. Luego de un poco más de dos años, este producto ya se encuentra completamente consolidado con millones de ventas en el mercado con su versión Raspberry Pi B+.

¿Qué es?

En pocas palabras, podríamos definirla como una computadora de dimensiones poco mayores a un celular actual (Dimensiones: 85.60mm x 56mm x 21mm). Básicamente, es un ordenador de placa única o reducida (SBC) de bajo costo, con un procesador central, un procesador gráfico y memoria RAM. La potencia de estos componentes variara dependiendo del modelo, sin embargo estos dispositivos no poseen un disco duro ni unidad de estado sólido, simplemente un slots donde se coloca una tarjeta de memoria en la cual instalaremos nuestro sistema operativo. Además poseen puertos USB, salida HDMI, y placa de Ethernet o wifi.

¿Para qué sirve? ¿Qué se puede hacer?

La cantidad de usos dependerá mucho de nuestra imaginación, hay infinidad de proyectos de desarrollo en este tipo de hardware. Desde tareas de automatización en hogares hasta pruebas de seguridad, son algunos de los muchos usos que podemos darle.

Buenas ideas y un hardware muy flexible permite un marco muy potente para plasmar tus proyectos.  Te dejamos algunos de los usos actuales que se le dan a la Raspberry Pi:

·         Repetidor o punto de acceso inalámbrico (Access Point).

·         Pantalla táctil para estéreo de autos.

·         Cámara con sensor de movimiento y visión nocturna.

·         Centro Multimedia.

·         Cámara stop-motion.

·         Contestador automático.

·         Consola de video-juegos.

·         Radio en Internet.

·         Automatización de Luces.

·         Servidor Web.

¿Dónde puedo conseguir ayuda?

En Latinoamérica  existen varias comunidades en línea cuya temática principal es Raspberry Pi, luego de una breve presentación en los foros ya podrás comenzar a preguntar y a participar dentro de las distintas secciones especializadas. Secciones como ayuda o consultas frecuentes, serán nuestra primera incursión en estos sitios.

Existen muchos videos que te indican paso a paso, como instalar el sistema operativo y todos los módulos que quieras agregarle aunque te aconsejamos estar familiarizado con algunos comandos de Linux que podrían serte muy útiles a la hora de configurar tu dispositivo.

Podras encontrar más información en la página de los fabricantes, también en http://www.raspberrypi.org/ o si prefieres una lista en español te recomiendo http://www.raspberrypi.com.ar/

¿Dónde se consiguen?

Hace unos años atrás solo era posible encargarlas desde la web de sus fabricantes, pero en la actualidad ya se pueden comprar en muchas tiendas en línea especializadas en artículos electrónicos o informáticos. Convendrá planear el uso que le pensamos dar para ir pensando también que complementos comprar. En los e-commerce como Ebay o mercadolibre es muy común comprar los Kits que vienen con un gabinete, fuente de alimentación, tarjeta de memoria, cables, y todo lo que sea necesario para una rápida puesta en funcionamiento.

¿Qué accesorios puedo conseguir?

Existen muchos módulos del dispositivo, los cuales se compran en tiendas especializadas, que mediante una fácil instalación se pueden crear muchísimas cosas. Entre ellos podemos destacar pantallas touch, módulos wifi, sensores de presión y de luz, gabinetes o carcasas, adaptadores para Arduino,  buses serie y GPIOm. Es recomendable consultar a nuestro vendedor sobre la compatibilidad entre estos dispositivos y nuestra Rasberry pi.

¿Qué sistema operativo y que aplicaciones puedo utilizar?

Se pueden instalar varias opciones de sistemas operativos, la mayoría basados en el kernel de Linux. La instalación básicamente se trata de montar las distribuciones en la tarjeta de memoria. Algunos de los más conocidos son Android, Firefox OS, Raspbian, OpenWebOS o Unix. También se pueden cargar interfaces gráficas similares a Windows, como para facilitar una integración más natural con usuarios no acostumbrados a sistemas de código abierto.

Existen gran cantidad de aplicaciones desarrollas específicamente para este tipo de dispositivo y otra gran cantidad que son compatibles con este dispositivo. Podemos encontrar en el Pi store muchas de estas, las cuales no todas son gratuitas.
 

Mas modelos y variantes…

Día a día aparecen nuevos competidores en el mercado, con variantes de tamaño, diferentes potencias de procesamiento, orígenes de fabricación y precios.

El modelo más popularizado hoy en día es el Raspberry pi B+, este cuenta con 512mb RAM, un procesador 700 MHz ARM1176JZF-S core CPU, una placa de video VideoCore IV GPU, dos puertos USB 2.0 Salida de video tipo Composite (PAL and NTSC), HDMI or Raw LCD (DSI) y salida de audio 3.5mm o HDMI, Almacenamiento para SD/MMC/SDIO, puerto de 10/100 Ethernet (RJ45).

Raspberry pi A+, es una nueva versión con un formato más  pequeño que su modelo anterior (RPi A), consumiendo la mitad de energía, con prestaciones similares y un costo significativamente menor.

Raspberry no Oficiales, debido a que  diversos fabricantes han entrado al mercado para competir directamente contra RPi, te destacamos algunos modelos:

·         Cubieboard4 A80:

Con un procesador Allwinner A80 uno de los más potentes ARM, dos GB DDR2 de memoria RAM, Gigabit Lan y un puerto USB 3.0 sin duda este dispositivo despertara la curiosidad de muchos

·         HummingBoard :

Se destaca que a sido diseñado con las dimensiones del RPi, logrando adaptar los distintos tipos de carcasas. No se trata en realidad de un ordenador de una sola tarjeta (single board) debido a que su procesador funciona sobre su propio módulo y es actualizable. En su versión más potente, tiene slots para mSATA, un receptor infrarrojo y una tarjeta de red de un Gigabit lo cual aumenta considerablemente su velocidad. 

·         Banana Pi:

Es un clon de origen chino con mucha más potencia, completamente compatible con sus los accesorios de Rpi, con un procesador de doble nucleo ,1 GB de memoria ram, Ethernet de 1 Gbps, un puerto SATA.

·         orange Pi:

Se presenta Con grandes ventajas en potencia debido a un procesador de cuatro nucleos , 1gb de DDr3 de memoria RAM, tarjeta de red Gigabit, WiFi 802.11 g/n, salida VGA y HDMI, ranura para tarjetas de memoria micro SD, cuatro puertos USB y un USB OTG, varios conectores de expansión (UART, GPIO, etc.) e incluso un puerto SATA 2.

 Para finalizar debemos destacar lo sorprendente que es la potencia de este hardware en tan pequeñas dimensiones, así como ya la cantidad de usos y proyectos que podemos realizar con esta computadora de bajo costo. Es por esto que desafiamos tu imaginación y nos cuentes a cual elegirías y para que la utilizarías?

Scripting en Ubuntu

DEFINICION 

Un Script (o guion) para Bash es un archivo de texto que contiene una sucesión de comandos deShell que pueden ejecutar diversas tareas de acuerdo al contenido del texto del guión. De esta forma pueden automatizarse muchas acciones para alguna necesidad particular o para la administración de sistemas. El guión debe escribirse en un orden lógico pues Bash ejecutará el guión en el orden en que se escriben las lineas, de la misma forma que cuando se realiza una tarea cualquiera por una persona, por ejemplo; primero hay que poner la escalera y luego subirse. 

Los Scripts de Bash deben tener siempre como primera linea del guión el texto, para que elSistema Operativo ejecute la acción usando el programa Bash.  
#!/bin/bash 

Una vez escrito el Script y guardado en el disco en alguno de los directorios "bin" con el nombre ypermiso de ejecución apropiados, se invoca, escribiendo en la consola el nombre del guión. Si el guión tiene una interfaz gráfica se invoca como otro programa cualquiera, uno o dos clic sobre el guión o su icono. Este puede escribirse en cualquiera de los editores de texto de Linux, por ejemplo Kwrite y será ya un guión funcional cuando se salve a alguno de los "bin".  
Nota: Es buena práctica cuando se escribe un guión salvarlo apenas se hayan escrito las primeras línea para ir comprobando su funcionamiento e ir corrigiendo los problemas. 
VARIABLES 
Es impensable elaborar Scripts de Bash sin el uso de las variables. Una variable es una estructura de texto (una letra, un número o sucesiones de ellos) que representa alguno de los elementos que varían en valor y/o significado en el entorno de la Shell, sirviendo como elemento básico de entrada/salida de valores a y desde los comandos en su ejecución consecutiva. Para invocar una variable se utiliza el carácter especial $ precediendo al nombre de la variable.  
Exixten dos tipos de variables:  

1. Variables intrínsecas de Bash. 
Estas son elaboradas por defecto por el propio Bash y son:  
$0 -> Nombre del guión 
$1....$n -> Variables que almacenan los n argumentos (opciones) proporcionados al comando. 
$# -> Variable que contiene el total de los argumentos proporcionados. 
$* -> Conjunto de los argumentos. 
$? -> Valor de ejecución del comando anterior, si es cero es que el comando anterior se ejecutó sin errores, de lo contrario hubo algún error. 
$$ -> Identifica el proceso del guión. 
$! -> Identifica el último proceso arrancado en el trasfondo (background). 
2. Variables creadas por el programador. 

Las variables pueden ser creadas en cualquier momento, pero siempre antes de su utilización de manera muy simple, se escribe: 
nombre_variable=valor_variable 

En cualquier momento posterior a la creación si se coloca $nombre_variable dentro del entorno de la Shell el sistema colocará allí valor_variable. 
SALUDO=Bienvenido 
En cualquier momento posterior si se pone $SALUDO, Bash colocará ahí Bienvenido. 

Una variable también puede ser la salida de un comando si ponemos al principio y final del mismo un acento invertido. 
SALIDA=`comando`  
Le indicará al sistema que donde se escriba $SALIDA debe poner la salida de ese comando. Es práctica común utilizar mayúsculas para las variables a fin de identificarlas fácilmente dentro del guión. 

Cuando se ejecutan Scripts que pueden ser "hijos" de otro guión en ocasiones es necesario exportar las variables, esto se hace escribiendo: 
export nombre_variable 
3. Caracteres especiales. 
Existe un grupo de caracteres especiales (también llamados meta caracteres) que tienen significado propio para Bash. Algunos son:  
 -> Le indica a Bash que ignore el carácter especial que viene después. 
" " -> Cuando se encierra entre comillas dobles un texto o una variables si esta es una frase (cadena de palabras) Bash lo interpretará como una cadena única. 
$ -> Identifica que lo que le sigue es una variable. 
' ' -> Las comillas simples se usan para desactivar todos los caracteres especiales encerrados dentro de ellas, así tenemos que si escribe '$VARIABLE' Bash interpreta literalmente lo escrito y no como variable. 
# -> Cuando se coloca este carácter dentro de una linea del guión, Bash ignora el resto de la linea. Muy útil para hacer comentarios y anotaciones o para inhabilitar una linea de comandos al hacer pruebas. 
; -> Este carácter se usa para separar la ejecución de distintos comandos en una misma linea de comandos. 
`` -> Se utiliza como se explicó en el punto anterior, para convertir la salida de un comando en una variable. El comando en cuestión se ejecuta en una sub shell. 
También están |, (), !, >, <, cuyo significado se verá mas adelante. El espacio es otro carácter especial y se interpreta por bash como el separador del nombre del programa y las opciones dentro de la linea de comandos, por esta razón es importante encerrar entre comillas dobles el texto o las propias variables cuando son una frase de varias palabras.  
Otro carácter que debe evitarse en lo posible su uso es el guión (-) ya que para la mayoría de los programas se usa para indicarle al propio programa que lo que sigue es una de sus opciones, de manera tal por ejemplo, si usted crea un archivo con nombre -archivo (en caso que pueda) después será difícil borrarlo ya que rm (programa que borra) tratará el archivo como una de sus opciones (al "ver" el Script) y dará de error algo así, "Opción -archivo no se reconoce". 
4. Palabras especiales. 
Hay un grupo de palabras que tienen significado especial para bash y que siempre que se pueda deben evitarse cuando se escriben lineas de comandos para no crearle "confusiones" algunas son: exit, break, continue, true, false, return etc... cuyo significado es mas o menos así: 
exit -> Se sale del guión 
break -> Se manda explícitamente a salir de un ciclo 
continue -> Se manda explícitamente a retornar en un ciclo 
return -> Como exit pero solo se sale del comando u operación sin cerrar el guión 
true -> Indica que una condición es verdadera 
false -> Indica que una condición es falsa 
5. Argumentos propios de Bash. 

Bash como programa tiene algunos argumentos útiles y propios que se usan con frecuencia en la elaboración de Scripts en los condicionales vinculados a la determinación de elementos sobre los archivos, variables, cadenas de palabras o cadenas de pruebas, los mas comunes son: 

1. Argumentos de Archivos -----> Cierto si.... (salida 0) 
-d --------------------------------> Archivo existe y es un directorio 
-c ---------------------------------> Archivo existe y es de caracteres 
-e ---------------------------------> Archivo existe 
-h ---------------------------------> Archivo existe y es un vínculo simbólico 
-s ---------------------------------> Archivo existe y no está vacío 
-f ---------------------------------> Archivo existe y es normal 
-r ---------------------------------> Tienes permiso de lectura del archivo 
-w --------------------------------> Tienes permiso de escritura en el archivo 
-x --------------------------------> Tienes permiso de ejecución del archivo 
-O -------------------------------> Eres propietario del archivo 
-G -------------------------------> Perteneces al grupo que tiene acceso al archivo 
-n --------------------------------> Variable existe y no es nula 
Archivo1 nt Archivo2 ---------> Archivo1 es mas nuevo que Archivo2 
Archivo1 -ot Archivo2 --------> Archivo1 es mas viejo que Archivo2 

2. Agumentos de cadenas -----> Cierto si 
-z ------------------------------> La cadena está vacía 
-n ------------------------------> La cadena no está vacía 
cadena1 = cadena2 ----------> Si las cadenas son iguales 
cadena1 != cadena2 ---------> Si las cadenas son diferentes 
cadena1 <> Si la cadena 1 va antes en el orden lexicográfico 
cadena1 >cadena2 -----------> Si la cadena 1 va despues en el orden lexicográfico 
6. Entrada / Salida. 

En algunas ocasiones será necesario leer ciertas variables desde el teclado o imprimirlas a la pantalla, para imprimir a la pantalla se pueden invocar dos programas en la linea de comandos:  
echo 
printf (que es un echo mejorado) 
Y para leer desde el teclado se usa:  
read 
Si hacemos un read sin asignar variable, el dato de almacena en $REPLY una variable del sistema. Tanto el comando echo como read tienen sus propias opciones.  
Ejemplos:  
1. Si creamos en una linea del Script una variable como un comando y queremos imprimir la variable a la pantalla podemos hacer algo así: 
VARIABLE=`comando` 
echo "$VARIABLE"  
La palabra $VARIABLE está puesta entre comillas dobles para que se imprima todo el texto ignorando los espacios entre palabras. 

2. Si escribimos en una linea del guión 
read PREGUNTA 
habremos creado una variable de nombre PREGUNTA así es que si luego ponemos 
echo "$PREGUNTA" 
Se imprimirá a la pantalla lo que se escribió en el teclado al presionar la tecla Enter. 

Con los elementos tratados hasta aquí ya podemos escribir nuestros primeros Scripts 

Script 1 
#!/bin/bash 
echo Hola mundo 
Cuando se corre este guión se imprimirá a la pantalla Hola mundo 

Script 2 -> Lo mismo usando una variable 
#!/bin/bash 
VARIABLE=Hola mundo 
echo "$VARIABLE" 
Nótese la variable entre comillas dobles para que imprima todo el texto. 

Script 3 -> Cuando se usan mas de una variable 
#!/bin/bash 
VARIABLE=Hola 
SALUDO=mundo 
echo "$VARIABLE""$SALUDO" 

En los tres casos se imprimirá a la pantalla Hola mundo 

Script 4 -> Si se usan caracteres especiales la cosa puede cambiar 
#!/bin/bash 
VAR=auto 
echo "Me compré un $VAR" Imprimirá Me compré un auto 
echo 'Me compré un $VAR' Imprimirá Me compré un $VAR 
echo "Me compré un $VAR" Imprimirá Me compré un $VAR 

Note como las comillas simples y el carácter hacen que Bash ignore la función del carácter especial $. Siempre las comillas simples harán que se ignore todos los meta caracteres encerrados entre ellas y solo el que sigue después. 
7. Condicionales. 

Los condicionales son claves para "explicarle" a la máquina como debe proceder en una tarea cualquiera, esto se hace casi como si se estuviera explicando una tarea a ejecutar a otra persona. 
if then fi 
El condicional por excelencia tiene seis palabras claves que son if, elif, else, then y fi. Donde las palabras tienen un significado comunicativo (en Inglés) casi literal, tal y cual se tratara con otra persona y que Bash por defecto las entienda con ese significado. 
if -> si condicional (de si esto o lo otro) 
elif -> también si (contracción de else if) 
else -> De cualquier otra manera 
then -> Entonces 
fi -> if invertido, indica que se acabó la condicional abierta con if 
Solo son imprescindibles en la estructura del Script if, then y fi. Supongamos ahora que es usted el jefe de una oficina y tiene una secretaria y que por alguna razón le han pedido que envíe una copia de cualquier documento que lo identifique; normalmente le diría a la secretaria algo así:  
"Maria, por favor, busca en el archivo alguna identificación" (condición a evaluar) 
if "si es una copia del pasaporte" (primer resultado de la condición); then (entonces) 
" envíala por fax a...." (equivalente al comando a ejecutar) 
elif "si es de la licencia de conducción" (segundo resultado de la condición); then 
"envíala por correo" (otro comando a ejecutar) 
elif " si es del carnet de identidad" (tercer resultado de la condición); then 
"envíala con un mensajero " (otro comando diferente) 
else "de cualquier otra manera" 
"pasa un fax diciendo que la enviaré mañana" (otro comando) 
fi  

Observe que la acción a ejecutar (equivalente al comando) se hace si la condición se evalúa como verdadera de lo contrario se ignora y se pasa a la próxima, si ninguna es verdadera se ejecuta finalmente la acción después del else. La sintaxis de bash se debe tener en cuenta a la hora de escribir el Script o de lo contrario Bash no entenderá lo que usted quiso decirle, Pongamos ejemplos de guiones reales 

Script 5 
#!/bin/bash 
VAR1=Pablo 
VAR2=Pedro 
if [ "$VAR1" = "$VAR2" ]; then  
echo Son iguales 
else 
echo Son diferentes 
fi 

Los corchetes son parte de la sintaxis de Bash y en realidad son un atajo (shortcut) al programa test que es el que ejecuta la acción de comparación. Observe siempre los espacios vacíos entre los elementos que conforman la linea de comandos (excepto entre el último corchete y el , recuerde que ese espacio vacío por defecto Bash lo interpreta como final de un elemento y comienzo de otro. Si corre este guión siempre se imprimirá a pantalla Son diferentes, ya que la condición es falsa. Pero si cambia el valor de VAR2=Pablo entonces se imprime Son iguales. Guión 6 Un guión que verifica si existe un directorio y si no existe lo crea e imprime mensajes a pantalla comunicando la acción ejecutada. 

#!/bin/bash 
DIR=~/fotos (crea como variable el directorio /home/fotos) 
if [ ! -d "$DIR" ]; then (verifica si no existe el directorio)  
mkdir "$DIR" (si la condición es cierta, no existe el directorio, lo crea) 
if [ $? -eq 0 ]; then (verifica si la acción se ejecutó sin errores, de serlo imprime lo que sigue) 
echo "$DIR" ha sido creado..." 
else (de lo contrario imprime) 
echo "Se produce un error al crear "$DIR" 
fi (Se cierra la condición abierta en la realización del directorio segundo if) 
else ( de lo contrario, relativo al primer if) 
echo "Se usará "$DIR" existente" 
fi 

En este guión pueden verse varias cosas nuevas: 

1. El carácter ! niega la acción, si se hubiera escrito if [ -d "$DIR" ] lo que se estaba evaluando era la condición ¿existe el directorio"$DIR"? pero al colocar ! se evalúa lo contrario. 
2. El carácter ~ significa el /home del usuario. 
3. La expresión -eq se utiliza cuando quieren compararse valores numéricos, y significa = 
4. Se usa una de las variables del sistema "$?" explicada mas arriba. 
5. Pueden utilizarse unos condicionales dentro de otros siempre que se cierren apropiadamente. 

#!/bin/bash  
echo "Diga si o no:" 
read VAR 
if [ "$VAR" = si ]; then 
echo "Escribiste -si-"  
elif [ "$VAR" = no ]; then 
echo "Escribiste -no-" 
elif [ "$VAR" = "" ]; then 
echo "No puede dejarlo en blanco" 
else 
echo "Lo que escribió no se acepta" 
fi 

Observe que se está evaluando varias opciones de la misma condición por lo que lo apropiado es incorporar los respectivos elif dentro de la misma condicional. Un elemento nuevo que se incorpora aquí es la condición " " que quiere decir "la variable está vacía", en este caso, cuando no se escribió nada. 
case-in esac 
Cuando una variable puede puede adquirir varios valores o significados diferentes, ya hemos visto como puede usarse la palabra elif para hacer diferentes ejecuciones de comandos dentro de una misma condicional if-then-fi de acuerdo al valor de la variable. Una forma de realizar la misma acción sin escribir tantas lineas de condicionales elif y con ello disminuir el tamaño del guión es la utilización de la sentencia case-in-esac. Esta sentencia permite vincular patrones de texto con conjuntos de comandos; cuando la variable de la sentencia coincide con alguno de los patrones, se ejecuta el conjunto de comandos asociados. La sintaxis de la sentencia case-in esac es como sigue 

case "nombre_variable" in 
posibilidad 1) "uno o mas comandos" ;; 
posibilidad 2) "uno o mas comandos" ;; 
posibilidad n) "uno o mas comandos" ;; 
esac 

Script 8 
#!/bin/bash 
echo "Diga si o no:" 
read VAR  
case "$VAR" in 
si) echo "Escribiste -si-" ;; 
no) echo "Escribiste -no-" ;; 
*) echo "Lo que escribió no se acepta" ;; 
esac 

Este Script es el mismo que el Script 7 pero utilizando la sentencia case-in-esac Observe que el carácter (*) utilizado en la última opción significa "patrón no contemplado" en este caso. 
8. Funciones 
Como mecanismo de estructuración en la codificación de Scripts, existe la posibilidad de crear funciones. Su definición exige la definición de un nombre y un cuerpo. El nombre que debe ser representativo , es seguido de apertura y cierre de paréntesis, mientras que el cuerpo se delimita con llaves. La sintaxis es la siguiente. 
nombre_función () 
{ 
uno o mas comandos 
} 

Una vez definida la función se utiliza como si de un comando se tratase, invocándolo con el nombre de la función. Hay que hacer una invocación de la función ya definida para que se ejecute el código en su interior y se convierta en operativa. Las funciones son muy útiles cuando segmentos del código del Script son repetitivos, de tal forma solo se escriben una vez y se invocan todas las veces que haga falta, practicando el divino arte de la recursión. 

Creando una función simple: 
ayuda () (se define la función ayuda) 
{ 
echo "Las opciones son si o no, luego apriete Enter"  
} 

Después de creada y activada la función, cada vez que necesitemos la "ayuda" dentro del guión solo colocamos la palabra ayuda como si se tratase de un comando mas y Bash ejecutará el código incluido dentro de la función, es decir imprimirá el texto "Las opciones son si o no, luego apriete Enter". Las funciones pueden ser definidas en cualquier orden, pueden ser tantas como haga falta y pueden contener un paquete relativamente complejo de comandos. Un programador que ha pensado la estructura del Script antes de empezarlo puede y de hecho se hace, crear todas las funciones que necesitará al empezar el guión. Pruebe lo siguiente 

Script 9 
#!/bin/bash 
salir () #(Se crea la función salir) 
{ 
exit #(comando) 
} 
hola() #(Se crea la función Hola) 
{ 
echo Hola #(comando) 
} 
hola # (Se invoca la función Hola) 
salir # ( Se invoca la función salir) 
echo "Esto no se imprime nunca" 

Verá que el último echo no se imprime ya que primero se invoca la función hola y luego la función salir que cierra el guión (exit). Trate ahora poniendo un comentario (#) a la linea que invoca la función salir (linea 11) y note la diferencia, vera como se imprime el último echo. Observe también como se han comentado aquellas cosas que no son parte integrante del guión pero que se pueden escribir para hacer aclaraciones o anotaciones de interés. 
9. Ciclos, lazos o bucles 

While-do done 
La sentencia while-do done se utiliza para ejecutar un grupo de comandos en forma repetida mientras una condición sea verdadera. Su sintaxis es: 
while  
lista de comandos 1 
do 
lista de comandos 2 

Mientras la condición de control (lista de comandos1) sea verdadera, se ejecutaran los comandos comprendidos entre do y done en forma repetida, si la condición da falsa (o encuentra una interrupción explícita dentro del código) el programa sale del bucle (se para) y continua la ejecución por debajo del while. Un ejemplo de la utilidad de este lazo es la posibilidad de poder escoger varias opciones de un menú sin tener que correr el guión para cada opción, es decir se escoge y evalua una opción y el programa no se cierra, vuelve al menú principal y se puede escoger otra opción, tantas veces como sea necesario. Veamos un ejemplo de como elaborar un menú de opciones. 

#!/bin/bash 
while [ "$OPCION" != 5 ] 
do 
echo " Listar archivos" 
echo " Ver directorio de trabajo" 
echo " Crear directorio" 
echo " Crear usuario" 
echo " Salir" 
read -p "Ingrese una opción: " OPCION 
case $OPCION in 
1) ls;; 
2) pwd;; 
3) read -p "Nombre del directorio: " DIRECTORIO 
mkdir $DIRECTORIO;; 
4) if id | grep uid=0 
then 
read -p "Nombre del usuario: " NOMBREUSUARIO 
useradd $NOMBREUSUARIO 
else 
echo "Se necesitan permisos de root" 
fi;; 
5);; 
*) echo "Opción ingresada invalida, intente de nuevo";; 
esac 
done 
exit 0 

Descripción del Script: 

1. En la primera linea condicionamos el lazo a que la opción escogida sea diferente de 5. 
2. Luego se hace una lista de echos de las opciones desde 1 hasta 5 con su descripción para que sean imprimidas a la pantalla y así poder escoger alguna. 
3. Le sigue el comando read para que lea del teclado la opción escogida (variable OPCION), a read se le ha agregado -p que hace que imprima un mensaje, en este caso imprime Ingrese una opción. 
4. Para ahorrar lineas del guión se elabora un case con los comandos que deben ejecutarse en cada caso ls para listar los archivos , pwd (present work directory) para ver directorio de trabajo , otro read para escribir el nombre del directorio que quiere crear  y hacer la variable DIRECTORIO seguido por mkdir que crea el directorio, luego se crea una condicional if-fi para chequear si el usuario tiene permisos de root, necesario para la opción  de crear un usuario rechazándolo de lo contrario, despues viene la opción  vacía que ejecuta el comando exit 0, finalmente se incluye "cualquier otra cosa" con el carácter * 

Este guión resulta interesante porque se usan las dos formas de compactar el guión vistas hasta ahora, la sentencia case-in esac y la while-do done. Además empiezan a aparecer incluidos en los comandos algunos de los programas muy usados de Linux al escribir guiones. 
until-do done 
La sentencia until-do done es lo contrario de while-do done es decir el lazo se cierra o para, cuando la condición sea falsa. Si le parece que ambas son muy parecidas está en lo cierto. En ambos casos se pueden elaborar bucles o ciclos infinitos si la condición de control es siempre verdadera o falsa según el caso, veamos Lazos infinitos Bucles infinitos son aquellos donde la ejecución continua dentro del bucle indefinidamente, veamos como hacer un bucle infinito mediante while: 
while true 
do 
comando 1 
comando 2 
comando n 
done 

La condición siempre es verdadera y se ejecutara el bucle indefinidamente, mediante until sería así: 
until false 
do 
comando 1 
comando 2 
comando n 
done 

Existe la posibilidad de salir de un bucle, independientemente del estado de la condición, el comando break produce el abandono del bucle inmediatamente. Veamos el guión anterior sobre la creación de un menú utilizando un lazo infinito y el comando break 
while true  
do 
echo " Listar archivos" 
echo " Ver directorio de trabajo" 
echo " Crear directorio" 
echo " Crear usuario" 
echo " Salir" 
read -p "Ingrese una opción: " OPCION 
case $OPCION in 
1) ls;; 
2) pwd;; 
3) read -p "Nombre del directorio: " DIRECTORIO 
mkdir $DIRECTORIO;; 
4) if id | grep uid=0 
then 
read -p "Nombre del usuario: " NOMBREUSUARIO 
useradd $NOMBREUSUARIO 
else 
echo "Se necesitan permisos de root" 
fi;; 
5) 
echo "Abandonando el programa..." 
break;; 
*) 
echo "Opción ingresada invalida, intente de nuevo";; 
esac 
doGuión 11ne 
exit 0 
for-in-done 
Es otro tipo de ciclo o lazo disponible, la diferencia con los anteriores es que no se basa en una condición, sino que ejecuta el bucle una cantidad determinada de veces, su sintaxis es la siguiente: 
for variable in arg 1 arg 2 ......arg n 
do 
comando 1 
comando 2 
comando n 
done  

Ejemplos 
for LETRA in a b c d e f 
do 
echo $LETRA 
done  

En este guión el comando echo se ejecutara tantas veces como argumentos se hayan puesto después del in, por lo tanto imprimirá seis lineas cada una con una letra de la a a la f. 

for ARCHIVO in * 
if [ -d $ARCHIVO ]; then 
cd $ARCHIVO 
rm *.tmp 
cd .. 
fi 
done 

Este es un guión entra en todos los subdirectorios del directorio actual de trabajo y borrará todos los archivos .tmp (temporales). En este caso el carácter * se usa en la primera linea con el significado "tantas veces como sea necesario" y en la penúltima linea como "cualquier cosa". 
10. Redireccionamiento. 

Es frecuente la necesidad de redirigir resultados de la ejecución de un comando a diferentes lugares, que pueden ser los descriptores de ficheros stdin, stdout y stderr, a la entrada de otro comando o a un archivo en el disco duro, esto se llama redirección y es muy útil en la escritura de guiones. 

1. Los descriptores de archivos 

En Bash al igual que en cualquier otro programa de consola de Linux tenemos tres flujos o descriptores de archivos abiertos por defecto:  
La entrada estándar (STDIN) 
La salida estándar (STDOUT) 
El error estándar (STDERR) 
El primero puede ser utilizado para leer de él, y los otros dos para enviar datos hacia ellos. Normalmente STDIN viene del teclado de la terminal en uso, y tanto STDOUT como STDERR van hacia la pantalla. STDOUT muestra los datos normales o esperados durante la ejecución, ySTDERR se utiliza para enviar datos de depuración o errores. Cualquier programa iniciado desde el shell, a menos que se le indique explícitamente, hereda estos tres descriptores de archivo permitiendole interactuar con el usuario.  
Enviar STDOUT a un archivo 
En ocasiones necesitamos enviar la salida estándar a un archivo y no a la pantalla, ya sea porque es muy grande para "manejar a ojo" o porque nos interesa guardarla a disco duro. Para enviar la salida estándar a un archivo usamos > con lo que se sobreescribe el archivo si ya existe, o >> que solo agrega los datos de salida al final del archivo ya existente.  
#!/bin/bash 
ls -R /home/mis_fotos > /tmp/indice 
Creará un archivo llamado /tmp/indice donde estará el listado de los archivos bajo /home/mis_fotos.  
Tomar STDIN de un archivo 
Si queremos que un proceso tome su entrada estándar de un archivo existente usamos <>  
Enviar STDERR a un archivo 
Si queremos enviar la salida de errores a un archivo se procede igual que lo que se mencionaba con respecto a la salida estándar pero se usa &> o &>> segun el caso.  
Enviar STDERR a STDOUT 
Para esto se escribe al final de la linea de comandos 2>&1.  
Enviar STDOUT a STDERR 
En este caso se escribe al final de la linea de comandos 1>&2 

2.Entubado 

Las tuberías se utilizan para enviar la salida de un comando o proceso a la entrada de otro, esto es con frecuencia necesario para completar una acción iniciada con un comando que debe ser completada con otro. Es simple el modo de operar, solo se coloca el carácter | en la linea de comandos entre un programa y otro. Este carácter (|) se conoce como tubo (pipe)  
#!/bin/bash  
file -b "$1" | grep -i "vorbis" >/dev/null 2>&1 
if [ $? -eq 0 ]; then 
oggdec "$1"  
echo "Hecho" 
else 
echo "Archivo no soportado" 
exit 
fi 

Este guión convierte a wav cualquier archivo de audio ogg. Primero se invoca a file para que analice el tipo de archivo correspondiente a la variable $1 que como ya se sabe es el primer argumento introducido en la linea de comandos (por ejemplo la ruta hasta un archivo). Luego la salida de file se entuba al programa grep que determina si dentro del archivo aparece la palabra vorbis (caso de los archivos de audio ogg). El condiciomal if- then-fi chequea que sea cierto (es decir la palabra vorbis si existía, por lo que es un archivo ogg de audio), entonces se decodifica a wav con el comando oggdec, de lo contrario se imprime que es un archivo no soportado. Tanto la salida estándar como la de errores se envía a /dev/null, un dispositivo que "desaparece" la información suprimiendo la salida por pantalla. Esto es conveniente y saludable en muchas lineas de comandos cuando la salida puede generar gran cantidad de información tanto de salida estándar como de errores y estos no nos interesan. Solo se escribe >/dev/null 2>&1. 
11. Globales y expansiones. 

1. Globales 
Estos son aliados cuando uno quiere ahorrarse teclazos y funcionan como "generalizadores" de cosas, los globales mas comunes son:  
1.~ Le dice a Bash que es el directorio home del usuario. 
2.* Significa "todo lo que puedas incluir ahí" de forma tal que si ponemos el comando ls ~/*.wav listará todos los archivos .wav que están en el directorio home del usuario. Ahora si escribimos ls ~/m* nos listará todos los archivos de home que empiecen con m. 
3.. Un punto en el entorno de la shell significa "el directorio donde estamos trabajando" 
Ejemplo:  
#!/bin/bash 
DIR=. 
mkdir "$DIR" 
echo "$?" 
Si escribimos este guión y lo corremos dará un error. Por supuesto, le estamos mandando a hacer el directorio donde estamos. Habrá notado usted que es muy común a la hora de compilar programas desde el binario utilizar ./configure, con esto le estamos diciendo a Bash "corre el archivo configure que está en este mismo directorio".  
2. Expansiones. 
Las expansiones son mas configurables y trabajan con argumentos mucho mas definidos, está claramente hecha para hacer mas inteligente la shell. Cuando especificamos una lista de valores o argumentos separados por comas entre llaves, Bash la expande convirtiéndola en la cadena expandida con cada uno de los argumentos, por ejemplo:  
el comando  
echo este/directorio/{algo,muy,demasiado}/largo 
dará como resultado la impresión a pantalla de:  
este/directorio/algo/largo este/directorio/muy/largo este/directorio/demasiado/largo 
Hay que tener en cuenta que:  
a) La expansión funciona sobre una sola palabra sin espacios si escribimos:  
echo esto {es,parece} difícil 
escribirá: 
esto es parece difícil 
b) La expansión no se realiza entre comillas simples ni dobles por lo que no sirve para corregir el ejemplo anterior:  
echo "esto {es,parece} difícil" 
dará: 
esto {es,parece} difícil 
c) Lo que debe hacerse es ignorar o escapar los espacios y escribir  
echo esto {es,parece} confuso 
así obtendremos lo que queríamos: 
esto es difícil esto parece confuso. 
Pueden ponerse múltiples expansiones en una sola linea y se obtendrán todas las combinaciones posibles.  
echo {una,otra} combinación { bastante,muy} difícil. 
Responde 
una combinación bastante difícil. otra combinación bastante difícil. una combinación muy difícil. otra combinación muy difícil 

12. Aritmética de Bash. 
Se pueden ejecutar en Bash las principales acciones aritméticas entre las variables utilizando los signos:  
+ suma 
- resta 
* multiplicación 
/ división 
Las operaciones tienen su sintaxis que debe ser respetada para que Bash lo haga adecuadamente. 
Pruebe esto en la shell o la linea de comandos (consola). 
echo 1+1 
La respuesta será 1+1 porque bash lo interpreta como caracteres simples, para que realice la operación de suma hay que escribir:  
echo $((1+1)) o 
echo $[1+1] 
Bash no maneja números fraccionarios solo números enteros por lo tanto si usted escribe:  
echo $[3/4] la respuesta será cero, sin embargo si escribe: 
echo $[4/2] la respuesta será correcta 2 
También podrá utilizar a expr para las operaciones de la forma siguiente: 
expr argumento1 signo argumento2 
pruebe en la consola  
expr 2+2 la respuesta será 4 o 
expr 4 / 2 la respuesta será 2 
Cuando se use es signo * para la multiplicación debe anteponerle una barra invertida para que Bash no lo interprete como un global, sería:  
expr 10 * 10 la respuesta será 100 
El programa expr da sus resultados directamente a la salida estándar pero tampoco maneja números fraccionarios. Hay que observar siempre un espacio entre los argumentos.  
Para operar con fraccionarios debe entubar la expresión al programa bc de la forma siguiente: 
echo operación | bc -l por ejemplo; 
echo 3/4 | bc -l 
El resultado será 0.75 o  
echo 2+2.5 | bc -l 
Devolverá 4.5 En algunas distribuciones el programa bc no se instala por defecto. Hay otras expresiones que Bash interpreta aritméticamente; 

-lt Menor que 
-le Menor o igual que 
-eq Igual que 
-ge Mayor o igual que 
-gt Mayor que 
-ne Distinto que 
12. Lógica de Bash. 

Para la shell los caracteres que tienen un significado lógico en la comparación o evaluación de archivos son: 

> Mayor que 
< Menor que 
>= Mayor o igual que 
<= Menor o igual que 
! Diferente que 
|| OR (ó) 
&& AND (y) 
#!/bin/bash 
ARCHIVO=$1 
file -b "$1" | grep -i 'JPEG' || file -b "$1" | grep -i 'GIF' || file -b "$1" | grep -i 'PNG' || file -b "$1" | grep -i 'BITMAP' >/dev/null 2>&1 
if [ $? -eq 0 ]; then 
echo "Es una imagen" 
else "No es una imágen" 
fi 
En este guión hemos supuesto que un archivo cualquiera se convierte en la variable $1 y queremos averiguar si el archivo es una imágen en alguno de los formatos mas comunes, primero acudimos a file para que "lea" el texto que contiene el archivo y lo entubamos a grep que buscará patrones de texto de lo que le entrega file. Como necesitamos averiguar si alguno de los patrones JPEG, GIF, PNG o BITMAP aparece dentro del archivo utilizamos varias instancias de file y grep separadas con OR (||), de esta forma le estamos diciendo en el comando "busca si aparece JPEG o GIF o PNG o BITMAP, si lo encuentras entonces imprime" 

"Es una imágen" de cualquier otra forma imprime "No es una imágen" 

El tema está sacado de: http://doc.ubuntu-es.org