sábado, 7 de janeiro de 2012

LinEn e FTK Imager, aquisição forense em Linux

Na computação forense, a técnica de aquisição de dados consiste no procedimento de cópia da informação armazenada em um computador. Para a evidência digital estar preservada em sua forma original, a melhor forma de armazenamento é na criação de um arquivo imagem. Todo o conteúdo de um disco rígido pode ser armazenado em um único arquivo imagem, que é uma cópia exata bit-a-bit.

Apesar de existirem diversas ferramentas livres para criação de arquivo imagem, existem duas ferramentas proprietárias que são excelentes para aquisição forense, a EnCase Acquisition (Guidance Software) e a FTK Imager (AccessData). Estas duas ferramentas possuem versões para Linux.

O utilitário LinEn é uma versão para Linux da ferramenta de aquisição EnCase para DOS. O LinEn é similar ao EnCase para DOS mas oferece todas as vantagens de uma execução em ambiente Linux. Por rodar em um sistema 32-bit, o LinEn proporciona uma grande vantagem na performance, comparado ao sistema DOS. O LinEn possui dois modos de operação: o modo de linha de comando e o modo de interface.

No modo de linha de comando, todas as informações necessárias para aquisição da imagem devem ser especificadas em opções.

Principais opções:

-cl            Usada para executar o LinEn no modo de linha de comando.
               Requerida quando usadas as opções -k, -o ou -verify.
-k             Realiza a aquisição do dispositivo no modo de linha de comando.
-dev caminho   Caminho para o dispositivo para ser adquirido ou hasheado.
               Requerido para aquisição ou cálculo do hash.
-p caminho     Caminho para o arquivo de evidência quando usada -k ou -verify.
               Requerido para aquisição ou verificação.
-m nome        Nome da evidência. Requerido para aquisição.
-c número      Número do caso da evidência. Requerido para aquisição.
-x examinador  Nome do examinador. Requerido para aquisição.
-r número      Número do dispositivo da evidência. Requerido para aquisição.
-d compressão  Compressão usada na aquisição. Deve ser um número entre 0 e 2.
               0=sem, 1=rápido, 2=melhor. Requerido para aquisição.
-a caminho     Caminho alternativo se o caminho original ficar cheio.
-n nota        Notas para ser armazenadas no arquivo de evidência.
-l tamanho     Tamanho máximo para os arquivos de evidência em MB (mínimo=1, padrão=640).
-t             Desliga o hash MD5 enquanto calcula o hash ou na aquisição da evidência.
-1             Ativa cálculo hash SHA1 enquanto calcula o hash ou na aquisição da evidência.
-v             Modo verboso.
-o             Calcula o hash. Deve ser usada com -cl e -dev.
               As opções -t e -1  definem qual hash será calculado.
-verify        Verifica o arquivo de evidência. Deve ser usada com -cl e -p.

Exemplos:

Aquisição pela linha de comando:

# linen -cl -k -dev /dev/sda1 -p /root/tempo/evidencia.e01 -m "disco suspeito" -c Caso123 -x "Sr Perito" -r "HD 123" -d 2 -n "Adquirido pelo LinEn" -l 50 -1 -verify -v

Verificação do arquivo de evidência:

# linen -cl -verify -p /root/tempo/evidencia.e01

Calcular hash MD5 e SHA1 do dispositivo:

# linen -cl -o -dev /dev/hda -1

O modo de interface do LinEn é iniciado com a execução sem opções:


Para iniciar uma aquisição pressione o botão "Acquire" e prossiga com as informações sobre a evidência.

Interação da interface do LinEn:

Choose a drive             Escolha o dispositivo ou partição.
Path and file name         Escreva o caminho para o arquivo evidência.
Alternate Path             Escreva o caminho alternativo para o arquivo evidência.
Case Number                Escreva o número do caso.
Examiner Name              Escreva o nome do examinador.
Evidence Number            Escreva o número da evidência.
Name                       Escreva o nome da evidência.
Current Date (GMT)         Escreva a data.
Notes                      Escreva notas do caso.
Compress this file?        Escolha se deseja compressão do arquivo de evidência.
Acquisition Hash           Escolha o algoritmo hash para cálculo.
Password                   Escreva uma senha, opcional.
Total Sectors              Escreva o número total de setores.
Max File Size in MB        Escreva o tamanho máximo para o arquivo de evidência.
Block size                 Escreva o tamanho do bloco, em setores.
Error granularity          Escreva a granulação para erro, em setores.
Number of Worker Threads   Escreva o número de tarefas simultâneas de trabalho.
Number of Reader Threads   Escreva o número de tarefas simultâneas para leitura.
Do you want hashing to be
done in its own thread?    Escolha se o hash deve ser calculado em tarefa própria.
Do you want to verify
the evidence file?         Escolha se deseja verificar o arquivo de evidência.
Write this value to
a text file?               Escolha se deseja escrever o relatório em um arquivo texto.

O LinEn é um software proprietário desenvolvido pela Guidance Software Inc. e é fornecido junto com o EnCase (http://www.guidancesoftware.com/forensic.htm).


O ftkimager é uma versão para Linux da ferramenta FTK Imager. Sua interface é apenas em linha de comando. Esta ferramenta é capaz de criar uma imagem de disco no formato EnCase, SMART ou dd. As informações necessárias para aquisição da imagem devem ser especificadas em opções.

Sinopse:

ftkimager origem [destino] [opções]

Principais opções:

--list-drives     exibe os drives físicos detectados
--verify          verifica o hash da imagem de destino ou da imagem de origem,
                  se não for informado o destino
--print-info      exibe informações sobre o drive ou imagem
--no-sha1         não calcula o hash SHA1 durante a aquisição ou verificação
--s01             cria uma imagem no formato SMART ew-compressed
--e01             cria uma imagem no formato E01
--frag x{K|M|G|T} separa a imagem em fragmentos de x{K|M|G|T} de tamanho
--compress C      ativa o nível de compressão para C
                  (0=nenhum, 1=rápido, ..., 9=melhor)
--case-number X          metadados para imagem e01 e smart,
--evidence-number X      use aspas se conter espaço
--description X
--examiner X
--notes X

Exemplos:

# ftkimager --list-drives

# ftkimager --print-info /dev/sdb

# ftkimager /dev/sdb imagem --no-sha1 --s01 --frag 5M --compress 1

# ftkimager /dev/sdb imagem --e01 --compress 4 --case-number 123 --evidence-number 1 --description "disco notebook" --examiner "Sr Perito" --notes "copia backup"

# ftkimager /dev/sdb imagem

O FTK Imager é um software proprietário desenvolvido pela AccessData Corp. e é possível baixá-lo pela página de downloads da AccessData (http://accessdata.com/support/adownloads).


O LinEn e o FTK Imager são duas ótimas ferramentas para aquisição forense. As duas suportam o formato EWF para arquivo imagem, em todas as vantagens que este formato oferece. São ferramentas obrigatórias no laboratório forense computacional.

Ao usar estas ferramentas para criação de uma imagem forense, use também um dispositivo de bloqueio de escrita, para garantir que nenhuma alteração será feita pelo sistema operacional em algum dado no disco rígido conectado ao computador.

Nenhum comentário:

Postar um comentário