Tudo bem?
Hoje nós vamos falar sobre análise forense com a ferramenta FTK Imager. O intuito é analisarmos uma imagem forense de disco e analisar algumas informações e artefatos. Lembrando que a FTK Imager não é tão completa quanto uma outra ferramenta da mesma empresa, a FTK.
Vamos começar o nosso trabalho então.
A primeira coisa a se fazer é adicionar a imagem forense na ferramenta. Então, nós vamos na opção File --> Add Evidence Item (Figura 1)
O segundo passo é escolher qual o tipo de evidência que vamos adicionar na ferramenta. Neste caso, como eu tenho um arquivo de imagem, a opção escolhida é Imagem File (Figura 2)
A próxima tela já é a ferramenta FTK Imager com a imagem forense carregada. No lado esquerdo eu tenho os diretórios da minha imagem, que estão em formato hierárquico, do mesmo jeito que o Windows funciona. Então, eu posso expandir essa estrutura em árvores (clicando no sinal +) e ir navegando nos diretórios e arquivos dentro da imagem forense e ir até onde estão os arquivos de meu interesse (Figura 4)
Bom, a imagem que eu adicionei no FTK Imager era no formato RAW. Mas, digamos que eu tenha adicionado uma imagem em outro formato, por exemplo E01 ou AFF e eu queira transformá-la para o formato RAW (formato da ferramenta DD). A ferramenta FTK Imager possui uma funcionalidade muito interessante que implementa esta tarefa de conversão entre imagens. Como eu faço isso? Resposta: Basta clicar com o botão direito do mouse em cima do nome da imagem e ir na opção Export Disk Image. Vai aparecer a seguinte tela (Figura 5)
Na próxima tela, basta selecionar o tipo de formato de imagem e clicar no botão Avançar (Figura 6)
Na próxima tela, nós vamos informar algumas informações relacionadas com a evidência. (Figura 7)
Por fim, nós vamos informar algumas coisas. A primeira informação é relacionada ao diretório onde a imagem será armazenada. Outro ponto que nós vamos informar é o nome da imagem (sem a extensão). Outro ponto que nós vamos informar é se vamos querer ou não fazer um split na imagem (fragmentá-la). No meu exemplo, eu não vou fragmentar. Por fim, eu clico no botão Finish. Pronto; com este procedimento eu vou converter a imagem que antes estava no formato AFF ou E01 para o formato RAW (formato da ferramenta DD) (Figura 8)
Agora basta clicar no botão Start (Figura 9)
Agora que nós já mostramos como adicionar uma imagem forense na ferramenta, podemos acessar os diretórios da imagem com o FTK Imager. E uma tarefa bem interessante que podemos fazer neste momento é a opção de exportar diretórios e arquivos da minha imagem forense para um outro lugar, inclusive mandar esse diretório/arquivo exportado para uma pendrive ou alguma outra mídia qualquer. Para fazer isto, basta clicar com o botão direito do mouse em cima do diretório que queremos exportar e ir na opção Export Files (Figura 10)
Bom, é isso galera
Espero que vocês tirem proveito desta ótima ferramenta desenvolvida pela empresa AccessData.
Por fim, existe um vídeo no youtube que mostra exatamente o que eu demonstrei aqui neste post e muito mais informações sobre esta ferramenta. O link para o vídeo é: http://www.youtube.com/watch?v=39f2WV-8SKg
Outro vídeo interessante, onde o autor do vídeo cria uma imagem forense a partir de discos virtuais é: https://www.youtube.com/watch?v=TKM7DZiHwVs
Um abração!
Este comentário foi removido pelo autor.
ResponderExcluir