Primeiramente, eu quero dizer que este post é uma versão em português de uma publicação no blog do SANS Insititute. O link para o original é: http://computer-forensics.sans.org/blog/2009/02/19/digital-forensic-sifting-how-to-perform-a-read-only-mount-of-evidence. Em segundo lugar, quero dizer que para este post é preciso estar conectado à internet o tempo todo. Então vamos botar a mão na massa.
Hoje eu vou falar de uma coisa bem legal. Nós vamos ver como usar o SIFT Workstation e montar uma imagem na VM do SIFT e depois vamos abrir e examinar essa mesma imagem lá no Windows. Essa foi uma inovação bolada pelo pessoal do SANS Institute, capitaneada pelo Rob Lee.
A primeira coisa a se fazer é configurar o ambiente. Primeiramente, vamos abrir a VM da SIFT Workstation. Então, vamos clicar no botão virtual machine e depois vamos na opção Virtual Machine Settings. A Figura 1 mostra este procedimento.
Vamos escolher agora a aba Options e faça o seguinte procedimento. A Figura 2 mostra na tela.
- Escolha a opção Shared Folders
- Do lado direito da tela, marque a opção Always enabled
- Clique no botão OK
Depois disso, eu volto para a VM do SIFT Workstation, abro o prompt de comando como root, e digito dhclient. Este comando vai fazer com que a VM pegue um endereço IP na internet. Depois, ainda dentro da VM SIFT Workstation, eu digito no terminal, o comando ifconfig. Anoto o IP que vai ser mostrado na tela. A Figura 3 mostra o IP que eu vou anotar para esse exemplo.
Depois eu volto para a máquina real (Windows Vista), vou em iniciar, executar, e digito o IP que eu anotei e clico em OK. A Figura 4 mostra na tela.
Pronto, agora vai abrir a tela aonde eu tenho acesso aos arquivos que estão montados na minha VM, como read-only. A Figura 5 mostra na tela.
Agora eu vou copiar uma imagem qualquer para dentro da minha VM e depois montá-la. Para isso conectei minha mídia (HD, CD, DVD, pendrive) mas estava dando erro, eu não conseguia acessar minha mídia. Então eu fiz o seguinte:
- Conforme a figura 1, existe um botão Virtual Machine. Cliquei nele
- Fui na opção Removable Devices
- Fui na opção Kingston USB Mass Storage Device
- Digitei no prompt de comando (como root): mount -t ntfs-3g -o force /dev/sdc1 /media/usb
- copiar a minha imagem zipada para o meu HD: cp vista_dd.001.bz2 /home/sansforensics/Desktop
- Por último, eu vou descompactar a minha imagem, digitando: bzip2 -d vista_dd.001.bz2
Agora eu consegui acessar minha mídia e já copiei minha imagem pra dentro da VM (mas poderia muito bem montar minha imagem sem copiá-la pra VM). Depois disso, eu vou montar minha imagem. Pra isso, eu digito no terminal, como root: mount -t ntfs-3g -o ro,loop,show_sys_files /home/sansforensics/Desktop/vista_dd.001 /mnt/windows_mount. A Figura 6 mostra na tela.
Agora, para podermos acessar a imagem utilizando o ambiente Windows, basta acessar o diretório \\10.5.5.1\mnt\windows_mount. Se vocês perceberem atentamente, o IP da figura 7 é outro. Isso acontece porque eu estou usando IP dinâmico. Eu desconectei e conectei novamente depois de algumas horas, por consequência, meu IP muda a cada conexão nova. Mas não importa qual o IP que nós colocamos aqui. O importante é que ele tem que ser o mesmo da figura 3 e figura 4. A Figura 7 mostra eu acessando a imagem montada como read-only no ambiente Windows, através da pasta compartilhada.
Nós não vamos alterar nenhum dado da imagem, porque ela foi montada como read-only. Então, depois de efetuado todo esse processo, uma das primeiras ações a ser tomada seria rodar um antivírus na imagem montada. Essa foi uma ótima jogada do Rob Lee. Achei bem legal!
Bom, é isso galera.
Abração!
Nenhum comentário:
Postar um comentário