Tudo beleza?
Hoje nós vamos falar sobre como criar uma imagem forense usando o programa DCFLDD.
Primeiramente, gostaria de falar que este post é um complemento a um outro, cujo o autor é o professor Eriberto. Vocês podem encontrar no link: www.eriberto.pro.br/blog/?p=284
A aquisição de uma imagem forense é tarefa rotineira e imprescindível para uma investigação. Muitas vezes o trabalho do perito começa a partir da aquisição de uma imagem forense.
Mas o que é uma imagem forense?
É pura e simplesmente uma cópia (clone) do dispositivo original que se vai investigar. Ela recebe esse nome porque é um cópia fiel do disco. A imagem forense possui todos os dados do HD original, incluindo os dados deletados e espaços não alocados.
Existem vários dispositivos (software e até mesmo hardware) para se obter uma imagem forense. A maioria destes dispositivos implementam o mesmo formato, conhecido como formato RAW. Este formato é uma cópia fiel do HD, e é implementado pela ferramenta DD e DCFLDD.
O DCFLDD foi criado no Laboratório de Forense Computacional do Departamento de Defesa dos EUA e é uma versão melhorada do comando DD pelo fato de já implementar algumas funcionalidades importantes. Por exemplo, ele já implementa funções de cálculo de hash, faz a divisão de uma imagem forense (split), além de possuir um log de toda a operação. Tudo isso facilita o trabalho do perito.
Tomando como exemplo de que vou realizar uma imagem forense de uma pendrive, primeiramente, eu digito o comando "df -h" para ver qual diretório ela está montada. No exemplo abaixo, minha pendrive (/dev/sdb) está montada no diretório /media/1E64-95FA:
O próximo passo agora é realizar a aquisição da imagem forense da pendrive. Para isso, eu digito o comando dcfldd if=/dev/sdb of=/home/anderson/Desktop/pendrive/imagem.dd hashwindow=0 hashlog=/home/anderson/Desktop/pendrive/imagem.md5 (figura 2):
O que eu fiz foi o seguinte: eu criei um diretório na minha área de trabalho chamado "pendrive". E aí eu joguei a imagem forense pra dentro deste diretório e a chamei de "imagem.dd". Este comando ainda possui alguns parâmetros interessantes. O parâmetro hashwindow especifica a quantidade de dados que devem ser copiados para se gerar um hash deste pedaço. Para esclarecer, um exemplo seria se, na linha de comando tivesséssemos hashwindow=100M, significaria que a cada 100 Mega Bytes copiados, criaria-se um hash para este bloco de 100MB. No exemplo acima, a linha de comando especifica o valor 0 (zero) para o parâmetro hashwindow. Isto significa que o hash só vai ser calculado ao fim do processo de aquisição da imagem. O parâmetro hashlog especifica qual diretório o hash da imagem vai ser armazenado; neste caso será em /home/anderson/Desktop/pendrive e o hash vai estar armazenado no arquivo chamado imagem.md5.
Espero que vocês tenham entendido.
Qualquer coisa, é só me contactar.
Abração!
Espero que vocês tenham entendido.
Qualquer coisa, é só me contactar.
Abração!
Anderson, parabéns pelo excelente blog!
ResponderExcluircara passa o download do ''DCFLDD'' ai to procurando ele pra analizar umas imagens paranormais, realçando a imagem
ResponderExcluirBacana cara...
ResponderExcluir