Um estudo sobre a Computação Forense – Parte 4

Ferramentas

Até aqui vimos o que é computação forense e a sua importância, vimos também as etapas que um perito precisa percorrer desde a coleta de dados até o preenchimento do laudo criminal. A partir daqui vamos dar destaque ao equipamento “mídias de armazenamento”, veremos as ferramentas de software livre usadas para a coleta dos dados e a análise dos mesmos. Dentro deste caso iremos trabalhar com pericia morta, que por definição é a análise da mídia de armazenamento que foi clonado via dd ou dcfldd, o outro termo é o chamado pericia viva que consiste da análise da mídia de armazenamento na máquina ligada, isso acontece quando se chega no local do crime e o computador ali contido está ligado e o perito realiza ali mesmo a análise da mídia, neste caso a clonagem é feita na memória RAM.

O equipamento que será usado não é nenhuma distribuição Linux (deft, FDTK, Kali linux) voltada para computação forense ou algum software gráfico especifico. Será usado o pacote Sleuth Kit, porque além de poder ser instalado em qualquer distribuição Linux, foi um dos pacotes mais completos que encontramos, além dele disponibilizar de forma mais detalhada os dados que foram encontrados na mídia.

A ferramenta usada para este artigo, que é o pacote Sleuth Kit, possui algumas vantagens, como por exemplo o fato de facilitar o trabalho de analisar e extrair evidências de imagens de disco, permite recuperar arquivos removidos entre outras vantagens. Além dessas vantagens, este tipo de ferramenta possui algumas categorias, como por exemplo níveis de Sistema de Arquivos onde dados gerais são processados como um layout de disco, estrutura de alocação, tipos de partição organizadas no disco, entre outros. Níveis de Nomes de Arquivos que tem a facilidade de processar estruturas de nomes e de diretórios. Níveis de Metadados que são dados sobre dados, ou seja, são dados que fazem parte da organização, da classificação dos dados contidos no disco. Níveis de Blocos de Dados que são ferramentas que processam blocos de dados que é onde o conteúdo de um arquivo fica armazenado como o cluster, entre outras categorias.

Precisamos entender o que é inode que é a estrutura que armazena as informações sobre cada arquivo, em alguns dos comandos a seguir veremos ele em ação e entenderemos o porquê de sua importância.

Ferramentas Forense (Comandos)

Para a realização deste projeto foi usado o programa Oracle VM VirtualBox versão 5.1.28. Executamos no Virtual Box através de uma importação a máquina virtual Debian 7.3 32 bits que é uma distribuição Linux. Após a importação executei a maquina virtual, abri o terminal, entrei como usuário root com o camando:

# su

Instalei o pacote Sleuth Kit: # aptitude install sleuthkit

instalação do pacote, clonei a imagem de disco da máquina virtual:

# dd if=/dev/sda of=/tmp/dump.dd

O comando dd que vem do pacote Sleuth kit fara a clonagem do disco, o primeiro parâmetro é o local onde se encontra no disco a partição a ser clonada e o segundo parâmetro é o local onde o disco clonado seja armazenado durante a clonagem. O termo dump é uma nomenclatura dentro da perícia forense usada para o arquivo gerado de uma clonagem, seja ele imagens, rede, malware, etc. É qualquer arquivo que estiver sendo analisado.

Uma observação é que dcfldd tem a mesma função do comando dd, porém nos mostra uma barra de progresso.

Após a clonagem abra a pasta onde está localizado o arquivo clonado.

# cd “caminho até chega a pasta”

Seguindo o exemplo acima digite:

# cd /tmp/dump.dd

Um estudo sobre a Computação Forense – Parte 1

Um estudo sobre a Computação Forense – Parte 2

Um estudo sobre a Computação Forense – Parte 3

Um estudo sobre a Computação Forense – Parte 5

Um estudo sobre a Computação Forense – Final

Junte-se a nós e esteja sempre atualizado com as últimas novidades e dicas