Aquisição Estática de Dados em Computação Forense

O presente artigo fala sobre a aquisição estática de dados em computação forense, utilizando ferramenta Open Source.

[ Hits: 5.526 ]

Por: ANDRE MILKE DOS SANTOS em 25/04/2017 | Blog: https://br.linkedin.com/in/andremilke


Introdução



Existem muitas maneiras de adquirir dados em computação forense. E aquisição estática é uma das formas mais básicas e comuns delas.

A aquisição estática adquire dados de uma fonte não volátil, por exemplo, uma unidade USB. Em uma fonte não volátil de dados, os dados ainda permanecem armazenados depois que um dispositivo é desligado.

Há ferramentas comerciais que você pode usar para obter uma imagem de uma unidade USB, ou quaisquer outros tipos de unidades, mas também há uma abundância de utilitários de código aberto que você pode usar. Para este artigo, iremos usar uma ferramenta de código aberto chamada dd para obter uma imagem de uma unidade USB.

Para começar, iremos ver o nome da unidade USB conectada a esta máquina. Usando o comando no terminal:

# fdisk -l
Linux: Aquisição estática de dados em computação forense
A nossa unidade USB é a "sdb1". Neste caso, nosso objetivo é obter uma imagem de uma unidade física inteira, ao invés de uma partição na unidade física. Portanto, usaremos "sdb", ao invés de "sdb1" em referência à nossa unidade USB. O comando é muito simples, basta digitar dd, IF significa arquivo de entrada (input file) e o destino of, informando o nome do arquivo de destino da imagem.

Após pressionar Enter novamente, o processo de criação de imagens já começou e até que ele esteja concluído, você verá apenas este cursor piscando.
Linux: Aquisição estática de dados em computação forense
Uma maneira de verificar se o arquivo está sendo realmente criado, é abrir outra janela de terminal, para ver o nome do arquivo exibido em seu diretório. Então vamos fazer isso. E, em seguida, basta digitar:

ls -l

E como você pode ver, o arquivo foi criado. O arquivo vai ficar maior e maior conforme a imagem está sendo criada.
Linux: Aquisição estática de dados em computação forense
O processo de imagem terminou, volte para a janela anterior. E como podemos ver, a imagem está agora acabada.
Linux: Aquisição estática de dados em computação forense
Agora podemos trabalhar com a imagem, sem correr o risco de comprometer o drive que é uma evidência. Para montar a imagem, não podemos simplesmente rodar o comando mount, porque este arquivo não contém apenas uma partição, mas sim um disco inteiro.
Linux: Aquisição estática de dados em computação forense
Teremos que encontrar o offset da partição e montar usando a opção offset do comando mount. Para descobrir o offset há duas formas, usando o comando file ou fdisk.
Linux: Aquisição estática de dados em computação forense
Em ambos os comandos, nós descobrimos que o setor inicial é o 128, como também pode ser visto no comando fdisk, cada setor tem 512 bytes, então precisaremos utilizar um offset de 65536 bytes (512 * 128). Vamos fazer o mount passando esta informação.
Linux: Aquisição estática de dados em computação forense
Está montado o drive.
Linux: Aquisição estática de dados em computação forense

Conclusão

O dd é uma dessas ferramentas mais básicas disponíveis, você pode usar para obter sua imagem de forma simples e direta. Mas existem ferramentas mais avançadas para criação de imagens que você pode usar para tornar seu trabalho, como um investigador forense, mais fácil.

Algumas dessas ferramentas incluem DCFLDD, uma versão forense de dd, e há também um software de qualidade profissional chamado FDK Imager, baseado em Windows.

Espero que tenham gostado do artigo.

Um abraço,
André Milke

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Desvendando código malicioso no fórum Viva o Linux

Leitura recomendada

Testando configurações e segurança do Apache com Nikto

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

IPtables e seus módulos

Tornando seu Apache mais seguro com o ModSecurity

Usando HTTP autenticado no Apache

  
Comentários
[1] Comentário enviado por Freud_Tux em 25/04/2017 - 19:11h

Excelente artigo como sempre André!
Vou favoritar, pois é bem legal, e pode ajudar na recuperação de dados.
Tenho algumas dúvidas.

1º O que seria o parâmetro "loop" na hora de montar o dispositivo?
2º Percebi que os dois comandos "fdisk e o file" se complementam, seria isso mesmo, ou não?

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:"[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang:"Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org".

[2] Comentário enviado por andremilke em 25/04/2017 - 19:32h


[1] Comentário enviado por Freud_Tux em 25/04/2017 - 19:11h

Excelente artigo como sempre André!
Vou favoritar, pois é bem legal, e pode ajudar na recuperação de dados.
Tenho algumas dúvidas.

1º O que seria o parâmetro "loop" na hora de montar o dispositivo?
2º Percebi que os dois comandos "fdisk e o file" se complementam, seria isso mesmo, ou não?

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:"[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang:"Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org".


Obrigado Freud_Tux,
O loop, é para montar um loop device, ou seja, tornar um arquivo acessível como um dispositivo de bloco (como uma unidade de disco rígido por exemplo). Quanto aos comandos fdisk e file, neste caso, servem para o mesmo propósito, que era verificar o setor inicial.
É isso aí, vamos aprendendo juntos.
Um abraço,
André Milke

[3] Comentário enviado por Freud_Tux em 27/04/2017 - 21:19h

Agora captei André!
Faz sentido, melhor, faz todo o sentido agora.
Já tentou usar essa técnica para recuperar dados de mídias (flash por exemplo como pendrives) que vira e mexem dão problemas de gravação e leitura nos blocos?
Pensei nessa hipótese, pois tem mídias que quando começam a "morrer" não são montadas ao serem espetadas, mas o sistema reconhece, e muitas vezes, não consegue acesso.
Seria possível?

T+ e obrigado
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org".

[4] Comentário enviado por andremilke em 28/04/2017 - 15:37h


[3] Comentário enviado por Freud_Tux em 27/04/2017 - 21:19h

Agora captei André!
Faz sentido, melhor, faz todo o sentido agora.
Já tentou usar essa técnica para recuperar dados de mídias (flash por exemplo como pendrives) que vira e mexem dão problemas de gravação e leitura nos blocos?
Pensei nessa hipótese, pois tem mídias que quando começam a "morrer" não são montadas ao serem espetadas, mas o sistema reconhece, e muitas vezes, não consegue acesso.
Seria possível?

T+ e obrigado
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob:[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org".


Eu não fiz ainda, mas acho que é possível.

[5] Comentário enviado por dix em 13/05/2017 - 00:45h

Bom artigo, André!

Gosto muito do dcfldd (função de hash etc). Vale destacar que algumas distros contaminam uma evidência simplesmente ao montar as mídias automaticamente.


[6] Comentário enviado por andremilke em 15/05/2017 - 14:26h


[5] Comentário enviado por dix em 13/05/2017 - 00:45h

Bom artigo, André!

Gosto muito do dcfldd (função de hash etc). Vale destacar que algumas distros contaminam uma evidência simplesmente ao montar as mídias automaticamente.



Obrigado dix


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts