Na computação forense, a técnica de aquisição de dados consiste no procedimento de cópia da informação armazenada em um computador. Para a evidência digital estar preservada em sua forma original, a melhor forma de armazenamento é na criação de um arquivo imagem. Todo o conteúdo de um disco rígido pode ser armazenado em um único arquivo imagem, que é uma cópia exata bit-a-bit.
Apesar de existirem diversas ferramentas livres para criação de arquivo imagem, existem duas ferramentas proprietárias que são excelentes para aquisição forense, a EnCase Acquisition (Guidance Software) e a FTK Imager (AccessData). Estas duas ferramentas possuem versões para Linux.
O utilitário LinEn é uma versão para Linux da ferramenta de aquisição EnCase para DOS. O LinEn é similar ao EnCase para DOS mas oferece todas as vantagens de uma execução em ambiente Linux. Por rodar em um sistema 32-bit, o LinEn proporciona uma grande vantagem na performance, comparado ao sistema DOS. O LinEn possui dois modos de operação: o modo de linha de comando e o modo de interface.
No modo de linha de comando, todas as informações necessárias para aquisição da imagem devem ser especificadas em opções.
Principais opções:
Exemplos:
Aquisição pela linha de comando:
# linen -cl -k -dev /dev/sda1 -p /root/tempo/evidencia.e01 -m "disco suspeito" -c Caso123 -x "Sr Perito" -r "HD 123" -d 2 -n "Adquirido pelo LinEn" -l 50 -1 -verify -v
Verificação do arquivo de evidência:
# linen -cl -verify -p /root/tempo/evidencia.e01
Calcular hash MD5 e SHA1 do dispositivo:
# linen -cl -o -dev /dev/hda -1
O modo de interface do LinEn é iniciado com a execução sem opções:
Para iniciar uma aquisição pressione o botão "Acquire" e prossiga com as informações sobre a evidência.
Interação da interface do LinEn:
O LinEn é um software proprietário desenvolvido pela Guidance Software Inc. e é fornecido junto com o EnCase (http://www.guidancesoftware.com/forensic.htm).
O ftkimager é uma versão para Linux da ferramenta FTK Imager. Sua interface é apenas em linha de comando. Esta ferramenta é capaz de criar uma imagem de disco no formato EnCase, SMART ou dd. As informações necessárias para aquisição da imagem devem ser especificadas em opções.
Sinopse:
ftkimager origem [destino] [opções]
Principais opções:
Exemplos:
# ftkimager --list-drives
# ftkimager --print-info /dev/sdb
# ftkimager /dev/sdb imagem --no-sha1 --s01 --frag 5M --compress 1
# ftkimager /dev/sdb imagem --e01 --compress 4 --case-number 123 --evidence-number 1 --description "disco notebook" --examiner "Sr Perito" --notes "copia backup"
# ftkimager /dev/sdb imagem
O FTK Imager é um software proprietário desenvolvido pela AccessData Corp. e é possível baixá-lo pela página de downloads da AccessData (http://accessdata.com/support/adownloads).
O LinEn e o FTK Imager são duas ótimas ferramentas para aquisição forense. As duas suportam o formato EWF para arquivo imagem, em todas as vantagens que este formato oferece. São ferramentas obrigatórias no laboratório forense computacional.
Ao usar estas ferramentas para criação de uma imagem forense, use também um dispositivo de bloqueio de escrita, para garantir que nenhuma alteração será feita pelo sistema operacional em algum dado no disco rígido conectado ao computador.
Apesar de existirem diversas ferramentas livres para criação de arquivo imagem, existem duas ferramentas proprietárias que são excelentes para aquisição forense, a EnCase Acquisition (Guidance Software) e a FTK Imager (AccessData). Estas duas ferramentas possuem versões para Linux.
O utilitário LinEn é uma versão para Linux da ferramenta de aquisição EnCase para DOS. O LinEn é similar ao EnCase para DOS mas oferece todas as vantagens de uma execução em ambiente Linux. Por rodar em um sistema 32-bit, o LinEn proporciona uma grande vantagem na performance, comparado ao sistema DOS. O LinEn possui dois modos de operação: o modo de linha de comando e o modo de interface.
No modo de linha de comando, todas as informações necessárias para aquisição da imagem devem ser especificadas em opções.
Principais opções:
-cl Usada para executar o LinEn no modo de linha de comando. Requerida quando usadas as opções -k, -o ou -verify. -k Realiza a aquisição do dispositivo no modo de linha de comando. -dev caminho Caminho para o dispositivo para ser adquirido ou hasheado. Requerido para aquisição ou cálculo do hash. -p caminho Caminho para o arquivo de evidência quando usada -k ou -verify. Requerido para aquisição ou verificação. -m nome Nome da evidência. Requerido para aquisição. -c número Número do caso da evidência. Requerido para aquisição. -x examinador Nome do examinador. Requerido para aquisição. -r número Número do dispositivo da evidência. Requerido para aquisição. -d compressão Compressão usada na aquisição. Deve ser um número entre 0 e 2. 0=sem, 1=rápido, 2=melhor. Requerido para aquisição. -a caminho Caminho alternativo se o caminho original ficar cheio. -n nota Notas para ser armazenadas no arquivo de evidência. -l tamanho Tamanho máximo para os arquivos de evidência em MB (mínimo=1, padrão=640). -t Desliga o hash MD5 enquanto calcula o hash ou na aquisição da evidência. -1 Ativa cálculo hash SHA1 enquanto calcula o hash ou na aquisição da evidência. -v Modo verboso. -o Calcula o hash. Deve ser usada com -cl e -dev. As opções -t e -1 definem qual hash será calculado. -verify Verifica o arquivo de evidência. Deve ser usada com -cl e -p.
Exemplos:
Aquisição pela linha de comando:
# linen -cl -k -dev /dev/sda1 -p /root/tempo/evidencia.e01 -m "disco suspeito" -c Caso123 -x "Sr Perito" -r "HD 123" -d 2 -n "Adquirido pelo LinEn" -l 50 -1 -verify -v
Verificação do arquivo de evidência:
# linen -cl -verify -p /root/tempo/evidencia.e01
Calcular hash MD5 e SHA1 do dispositivo:
# linen -cl -o -dev /dev/hda -1
O modo de interface do LinEn é iniciado com a execução sem opções:
Para iniciar uma aquisição pressione o botão "Acquire" e prossiga com as informações sobre a evidência.
Interação da interface do LinEn:
Choose a drive Escolha o dispositivo ou partição. Path and file name Escreva o caminho para o arquivo evidência. Alternate Path Escreva o caminho alternativo para o arquivo evidência. Case Number Escreva o número do caso. Examiner Name Escreva o nome do examinador. Evidence Number Escreva o número da evidência. Name Escreva o nome da evidência. Current Date (GMT) Escreva a data. Notes Escreva notas do caso. Compress this file? Escolha se deseja compressão do arquivo de evidência. Acquisition Hash Escolha o algoritmo hash para cálculo. Password Escreva uma senha, opcional. Total Sectors Escreva o número total de setores. Max File Size in MB Escreva o tamanho máximo para o arquivo de evidência. Block size Escreva o tamanho do bloco, em setores. Error granularity Escreva a granulação para erro, em setores. Number of Worker Threads Escreva o número de tarefas simultâneas de trabalho. Number of Reader Threads Escreva o número de tarefas simultâneas para leitura. Do you want hashing to be done in its own thread? Escolha se o hash deve ser calculado em tarefa própria. Do you want to verify the evidence file? Escolha se deseja verificar o arquivo de evidência. Write this value to a text file? Escolha se deseja escrever o relatório em um arquivo texto.
O LinEn é um software proprietário desenvolvido pela Guidance Software Inc. e é fornecido junto com o EnCase (http://www.guidancesoftware.com/forensic.htm).
O ftkimager é uma versão para Linux da ferramenta FTK Imager. Sua interface é apenas em linha de comando. Esta ferramenta é capaz de criar uma imagem de disco no formato EnCase, SMART ou dd. As informações necessárias para aquisição da imagem devem ser especificadas em opções.
Sinopse:
ftkimager origem [destino] [opções]
Principais opções:
--list-drives exibe os drives físicos detectados
--verify verifica o hash da imagem de destino ou da imagem de origem,
se não for informado o destino
--print-info exibe informações sobre o drive ou imagem
--no-sha1 não calcula o hash SHA1 durante a aquisição ou verificação
--s01 cria uma imagem no formato SMART ew-compressed
--e01 cria uma imagem no formato E01
--frag x{K|M|G|T} separa a imagem em fragmentos de x{K|M|G|T} de tamanho
--compress C ativa o nível de compressão para C
(0=nenhum, 1=rápido, ..., 9=melhor)
--case-number X metadados para imagem e01 e smart,
--evidence-number X use aspas se conter espaço
--description X
--examiner X
--notes XExemplos:
# ftkimager --list-drives
# ftkimager --print-info /dev/sdb
# ftkimager /dev/sdb imagem --no-sha1 --s01 --frag 5M --compress 1
# ftkimager /dev/sdb imagem --e01 --compress 4 --case-number 123 --evidence-number 1 --description "disco notebook" --examiner "Sr Perito" --notes "copia backup"
# ftkimager /dev/sdb imagem
O FTK Imager é um software proprietário desenvolvido pela AccessData Corp. e é possível baixá-lo pela página de downloads da AccessData (http://accessdata.com/support/adownloads).
O LinEn e o FTK Imager são duas ótimas ferramentas para aquisição forense. As duas suportam o formato EWF para arquivo imagem, em todas as vantagens que este formato oferece. São ferramentas obrigatórias no laboratório forense computacional.
Ao usar estas ferramentas para criação de uma imagem forense, use também um dispositivo de bloqueio de escrita, para garantir que nenhuma alteração será feita pelo sistema operacional em algum dado no disco rígido conectado ao computador.
Postagens
Nenhum comentário:
Postar um comentário