segunda-feira, 18 de outubro de 2010

Computação forense com o Sleuth Kit e Autopsy

O The Sleuth Kit (TSK) e o Autopsy são ferramentas livres para investigação digital, isto é, forense digital, que podem ser executadas em sistemas Windows, Linux, BSD, OS X e Solaris. São ferramentas para serem usadas em análise de sistemas de arquivos NTFS, FAT, HFS+, Ext2, Ext3 e outros.

O The Sleuth Kit é um conjunto de ferramentas forenses para linha de comando e o Autopsy é uma interface gráfica para estas ferramentas do TSK. O acesso à interface do Autopsy se dá por um navegador Web, o Autopsy cria um servidor Web e seus scripts geram as páginas da interface.

A instalação em um sistema Linux é bastante simples. Algumas distros disponibilizam os pacotes compilados, em outras podemos instalar a partir dos pacotes fontes disponíveis em http://www.sleuthkit.org/. Os arquivos para baixar são sleuthkit-x.y.z.tar.gz e autopsy-x.yz.tar.gz.

Na instalação a partir dos pacotes fontes, o conteúdo do Sleuth Kit deve ser extraído para um diretório qualquer e dentro dele executar os comando padrões de compilação: ./configure, make, make install. Dependências extras poderão ser requeridas e se tudo der certo, já está pronto. O conteúdo do Autopsy deve ser extraído para um diretório definitivo e basta executar os comandos ./configure e make. Durante sua instalação o Autopsy pede que se determine um diretório base para onde serão armazenados os casos. Após a conclusão da instalação, o servidor Web do Autopsy precisa ser iniciado e no navegador digita-se o endereço "http://localhost:9999/autopsy".

A interface do Autopsy é composta por várias páginas, por estas páginas o investigador vai criar um caso, adicionar as peças que serão examinadas e por fim realizar os diversos exames disponíveis. A seguir um pequeno passo a passo de como inserir uma unidade de armazenamento para a análise forense:

Na página inicial, crie um novo caso e dê um nome à ele. Opcionalmente pode-se preencher com a descrição, nome dos investigadores etc.

Em seguida, adicione um computador ao caso. Opcionalmente preencha a descrição e outras informações que julgar necessárias.

Por fim, adicione uma imagem da unidade de armazenamento deste computador que será investigado. A imagem não é necessariamente um arquivo imagem criado com um disk dump, pode ser também o caminho para o dispositivo físico, caso a unidade esteja conectada diretamente na controladora de disco ou via adaptador USB.

Adicionando uma imagem no Autopsy

Com estes três passos concluídos podemos realizar a investigação forense na unidade de armazenamento. Basicamente temos a análise da unidade e a linha do tempo das atividades dos arquivos.

Página de análise de imagens adicionadas

As partições reconhecidas recebem as identificações com letras de unidade, como no Sistema Windows. Selecionando a letra da unidade de armazenamento e clicando no botão "Analyze" vamos para uma página onde temos diversas opções de análise:

O botão "File Analysis" abre um conjunto de páginas onde podemos navegar pelo sistema de arquivos, possibilitando ver o conteúdo dos arquivos alocados e não alocados.

Página de análise de arquivos

O botão "Keyword Search" abre a página com um mecanismo de busca de palavra chave para o espaço alocado e não alocado.

O botão "File Type" abre um conjunto de páginas que fornecem uma ferramenta de separação dos arquivos pelo tipo e com a possibilidade de extração e recuperação de todos os arquivos, alocados e não alocados, para o diretório base onde os casos são armazenados.

Retornando à página inicial de análise das imagens, temos o botão "File Activity Time Lines". Clicando neste botão, abre-se um conjunto de páginas que fornecem ferramentas para a criação e visualização de uma linha do tempo das atividades de acesso dos arquivos. A linha do tempo é criada a partir das informações dos metadados dos arquivos e pode conter inclusive arquivos não alocados que foram recuperados.

Página de visualização da linha do tempo

Esta é uma pequena descrição de algumas das ferramentas contidas na dupla Sleuth Kit e Autopsy. Tratam-se de dois excelentes conjuntos de softwares que atendem em quase todas as necessidades do investigador forense e pode-se considerar indispensável em um laboratório forense computacional.

4 comentários:

  1. Boa Tarde, Daniel...

    Instalei o Sleuthkit no Ubuntu e está funcionando, porém, não consigo criar uma imagem do pendrive. Na tela add a new image, aponto para /media/KINGSTON e ele me dá uma mensagem "The image format type could not be determined for this image file".
    Como devo proceder para criar uma imagem direto do pendrive ?

    Grato...

    José Geraldo

    ResponderExcluir
  2. José, boa tarde.

    Para criar a imagem do pendrive use a ferramenta do tipo dd.

    No Autopsy, em "add a new image", você deve digitar o caminho para o arquivo imagem gerado com o dd. Ex.: /home/jose/imagem.dd

    Pode também adicionar diretamente o dispositivo do pendrive, em "add a new image", digite algo como por exemplo /dev/sdc e não o ponto de montagem que você estava apontando (/media/KINGSTON).

    O pendrive não precisa estar montado para criar imagem ou adicioná-lo no Autopsy.

    Um abraço e obrigado pela visita neste blog.

    ResponderExcluir
  3. Boa noite prezado Daniel,

    Estou trabalhando em um artigo onde devo utilizar as ferramentas Sleuthkit para executar
    uma análise em uma imagem. Quando recebí esta incumbência confesso que fiquei meio perdido,
    pois não sabia nem por onde começar, agora estou começando a entender mas ainda estou longe
    de responder às várias perguntas que tenho que responder, por isso estou coletando tudo que
    posso para cumprir com essa missão.
    Gostaria de tirar algumas dúvidas por exemplo, o Autospy é independente do Sleuthkit ou
    trabalham juntos?
    Tenho um liveCD Ubuntu 9.04 personalizado com algumas ferramentas forenses e em um dos menus
    tem uma árvore do Sleuthkit com algumas ferramentas e em outro menu tem o Autospy.
    A minha dúvida é se o Sleuthkit e o Autospy são independentes ou se interagem no momento que abro o browser do autospy.

    Agradeço se puder tirar essa minha dúvida.

    abçs

    Miler Araujo

    ResponderExcluir
    Respostas
    1. Olá Miler, bom dia.

      O Sleuthkit é um conjunto de ferramentas para linha de comando. Não há interface gráfica nestas ferramentas. Tenho um artigo sobre elas (http://dan-scientia.blogspot.com.br/2011/01/ferramentas-de-linha-de-comando-do.html). E neste artigo, um exemplo de uso de um dos comandos (http://dan-scientia.blogspot.com.br/2011/01/recuperando-e-organizando-os-arquivos.html).

      Não é preciso ter o Autopsy para usar o Sleuthkit. Podemos digitar os comandos no prompt do shell e assim realizar as tarefas que as ferramentas do Sleuthkit oferecem.

      O Autopsy é a interface gráfica para as ferramentas do Sleuthkit. O Autopsy não tem efeito se não existir o Sleuthkit no sistema. O Autopsy é somente um grande script que gera páginas em HTML, com formulários que alimentam e executam em segundo plano as ferramentas do Sleuthkit.

      É preciso ter o Sleuthkit para usar o Autopsy. O Autopsy não possui as ferramentas forenses, apenas facilita o uso em uma interface gráfica.

      É isso aí, espero ter atendido sua dúvida.

      Um abraço e bom trabalho!

      Excluir