Um estudo sobre a Computação Forense – Parte 5

Na parte 4 desta sequencia de artigos, que foi o artigo anterior a este, começamos a deixar de lado a parte teórica sobre a computação forense e partimos para a parte pratica, para que assim você possa ter uma ideia mais palpável de como um profissional trabalha. Todos estes comandos apresentados neste artigo são tirados de cursos profissionalizantes e descobri que muitos deles eu aprendi em minha graduação, isso me deu uma ideia de que eu não estava tão distante de me tornar um profissional da área como eu imagina. Bons estudos.

Ferramentas Forense (Comandos) – Continuação….

# mmls dump.dd

Este comando gera o esboço detalhado da tabela de partição. De forma geral o comando me ajuda a conhecer o meu dump.

Neste caso vemos que o nosso dump de um HD possui uma tabela primaria, duas partições não alocadas e uma partição Windows e uma Linux.

# mmstat dump.dd

Este comando mostra o tipo de tabela de partição da qual consiste o volume do seu sistema. No caso deste nosso dump, os detalhes da nossa tabela de partição são do tipo ‘dos’.

Graças ao comando mmls descobrimos as partições do nosso dump, onde começa e termina cada uma e o tipo de sistema de arquivo, então será:

# fsstat –f fat –o 62 dump.dd

Com este comando veremos as estatísticas, os detalhes de uma partição do nosso dump, no caso aqui veremos a do Windows. Primeiro o comando fsstat, -f fat que é o tipo de sistema de arquivo, -o 62 que é o inicio da partição correspondente ao Windows, dump.dd que é a imagem do disco que estamos avaliando.

# ifind -f fat –o 62 –d 1000 dump.dd

Com este comando será procurado o inode que está alocado na posição 1000, ou seja, no bloco 1000 do disco clonado.

# ffind –f fat –o 62 dump.dd 1035

Encontra o nome de um arquivo ou diretório pelo inode, neste caso o inode 1035 esta alocado a um arquivo de nome sk055.jpg dentro de um diretório /fotos.

Encontra o nome de um arquivo ou diretório pelo inode, neste caso o inode 1035 esta alocado a um arquivo de nome sk055.jpg dentro de um diretório /fotos.

#istat -o 62 dump.dd 1035

Com este comando vemos a estrutura do arquivo encontrado através do inode. Ele mostra o que o inode fez no disco, o que ele ocupou, os sectores, seu tamanho. Como mostrado na tela abaixo.

# fls –o 62 dump.dd

Este comando tem o poder de listar para mim arquivos e diretórios de uma imagem no disco (dump).

# fls –ro 62 dump.dd

Quando é colocado o parâmetro ao do ‘r’ ficando ‘-ro’, faz se a leitura de todos os arquivos da imagem do disco de forma recursiva.

Na imagem abaixo vemos alguns detalhes importante:

1 – são os inodes;

2 – este caracter mostra que estes arquivos foram deletados;

Um estudo sobre a Computação Forense – Parte 1

Um estudo sobre a Computação Forense – Parte 2

Um estudo sobre a Computação Forense – Parte 3

Um estudo sobre a Computação Forense – Parte 4

Um estudo sobre a Computação Forense – Parte 6

Um estudo sobre a Computação Forense – Final

Junte-se a nós e esteja sempre atualizado com as últimas novidades e dicas