Tudo bem?
Hoje o nosso assunto é sobre imagens lógicas de arquivos/diretórios.
Mas primeiro, vamos fazer uma distinção entre imagens forense físicas e lógicas.
Imagens forense física são recomendadas quando se quer realizar uma imagem de todo o conteúdo do drive (HD). Nessa imagem estará inclusive a memória virtual usada pelo sistema.
Imagens forense lógica são recomendas quando se quer realizar uma imagem somente de uma partição, ou a imagem de várias partições do disco. Neste caso, se precisarmos da imagem forense da memória virtual, precisaremos obtê-la separadamente. Também usamos as imagens forense lógica quando se quer obter uma imagem forense de um RAID (imagem de cada drive lógico será armazenada em mídias distintas).
1) Introdução
Depois de ter feito essa distinção, vamos falar especificamente sobre o formato .AD1.
Este é um formato proprietário da Access Data, a mesma empresa que fabrica o FTK.
Mas pra que serve o formato .ad1? O formato .AD1 serve para se criar uma imagem forense de certos arquivos/diretórios sem precisar fazer a imagem forense do disco inteiro. Ou seja, estaremos realizando a imagem forense somente de um arquivo ou diretório.
Segundo a access data, sobre o formato .ad1: "Description: As part of the best practices when dealing with loose files in a directory. It is recommended to first put those into a forensic container to maintain the integrity of the dataset. By doing this you will prevent intentional or un-intentional tampering with the original data."
Se eu quero, por exemplo, fazer uma imagem forense somente do diretório onde estão os arquivos do prefetch, eu posso fazer uso deste artifício e colocar o diretório c:/windows/prefetch dentro do container forense ad1. E como disse anteriormente a própria empresa criadora desse container, dessa forma eu vou acabar evitando problemas e/ou perdas com os dados originais.
Como já dissemos, o formato .AD1 é uma imagem lógica de um conteúdo de um diretório. Assim, este formato não inclui slack space, espaço livre do disco, informações dos setores, etc. Portanto, é impossível transformar uma imagem .AD1 em imagens de setores (imagens DD ou EWF).
2) Visão Geral do Cenário
O cenário que vou mostrar aqui neste post é o seguinte: eu tenho uma imagem forense física (imagem forense de um disco) e de lá de dentro eu vou extrair algum diretório e criar uma imagem forense lógica deste diretório (por exemplo, vou extrair o perfil de usuário da imagem física e vou criar uma imagem lógica somente desta pasta).
Resumindo, o que nós vamos fazer é o seguinte:
- montar a imagem física no FTK Imager
- adicionar a imagem como evidência
- extrair um diretório qualquer e criar uma imagem forense lógica desta pasta no formato .AD1
3) Mão na massa
3.1) Montar a Imagem Física
A primeira coisa a se fazer é montar a imagem física no FTK Imager para extrair o diretório que nós queremos
3.2) Adicionar a imagem
O próximo passo é adicionar a imagem como evidência no FTK Imager
Pronto, eu já adicionei a imagem forense física. Agora eu posso navegar dentro da minha imagem forense física (usando o software FTK Imager) e posso escolher qual pasta/diretório será o meu alvo para se criar a imagem forense lógica. No meu exemplo aqui eu quis criar uma imagem forense lógica do perfil de usuário, diretório este que é o "E:\Users\anderson".
A imagem a seguir mostra o investigador navegando na ferramenta FTK Imager até o diretório "E:\Users\anderson"
3.3) Criando a imagem forense lógica .AD1
A imagem a seguir mostra o que eu tenho que fazer para se criar uma imagem forense lógica de um diretório. O que eu tenho que fazer é o seguinte: escolher um diretório/pasta e clicar com o botão esquerdo do mouse e escolher a opção "Add to Custom Content Image (AD1)"
Depois deste processo de escolher qual será a pasta/diretório alvo, vamos passar para o momento de se extrair a pasta "E:\Users\anderson" e criar uma imagem forense lógica de seu conteúdo. A pasta estará marcada na região "Custom Content Sources". Basta clicar em cima do nome da pasta e depois clicar no botão "create image"
Após esse processo, vai aparecer a seguinte imagem
Nesse momento nós vamos escolher qual será o diretório onde vamos armazenar a imagem forense lógica .AD1. Clicando no botão ADD vamos para uma outra tela onde devemos colocar algumas informações sobre a evidência (e.g. nº do caso, nº da evidência, descrição do caso, nome do investigador, algumas anotações sobre o caso). Depois disso, clique no botão "Avançar".
Na próxima tela vamos indicar qual será a pasta onde vamos armazenar a imagem lógica, vamos indicar o nome da imagem (como ela será renomeada). Depois disso, clicamos no botão finish.
Depois disso voltamos para a tela anterior e clicamos no botão start.
Após todo esse processo, será mostrado uma barra de progresso do processo de criação da imagem forense lógica do conteúdo do arquivo/diretório. Depois disso, será mostrada uma tela com os hashes MD5 e SHA1 da imagem gerada. Depois disso, basta clicar no botão "close".
Bom, é isso galera.
Espero que vocês tenham entendido o que é uma imagem forense lógica de conteúdo de arquivo/diretório (imagem customizada). É claro que esse post é uma pequena parte do que a ferramenta faz; ela é muito mais completa e faz muito mais do que isso. Esse post foi só uma pequena amostra. :)
O próximo post é uma continuação onde vamos mostrar como analisar essa imagem lógica para extrair informações de histórico do browser.
Um abração!
Referências Bibliográficas:
- https://support.accessdata.com/hc/en-us/articles/202930279-Best-Practice-Loose-Files-to-AD1
- http://www.forensicfocus.com/Forums/viewtopic/t=13471/
- https://www.sans.org/reading-room/whitepapers/forensics/forensic-images-viewing-pleasure-35447
- http://www.forensicfocus.com/Forums/viewtopic/t=962/
