Montando Imagens para Exame e Análise das evidências.

Uma imagem bit a bit de um disco é chamada de imagem raw. As imagens raw podem ser geradas de um disco inteiro com + de 1 partição chamadas de imagens raw físicas, pois geram uma imagem fiel do disco, não importando qual é o seu conteúdo. O outro tipo de imagem raw é chamado de imagem raw lógica, esta é gerada a partir de uma partição do disco físico (HD). Neste momento surge um problema pois o loopback do linux não monta imagens raw físicas (HD’s) somente imagens raw lógicas, pois o loopback possui uma limitação simples, ele não interpreta a tabela de partições que está nos setores iniciais de uma imagem raw física. Para ser possível então contornar esta limitação do loopback é necessário executar alguns comando a fim de descobrir qual é a estrutura interna da imagem que pretendemos montar.
Um comando que pode auxiliar nesta tarefa é o sfdisk, vejamos:

# sfdisk -luS img-caso1-hd1.dd
Disco img-caso1-hd1.dd: não foi possível obter a geometria

Disco img-caso1-hd1.dd: 1216 cilindros, 255 cabeças, 63 setores/trilha
Aviso: a tabela de partições parece ter sido feita
para Cil/Cab/Set = */240/63 (em vez de 1216/255/63).
Para esta listagem será assumida aquela geometria.
Unidades = setores de 512 bytes, contando a partir de 0

Disp Boot Início Fim Cils Blocos Id Sistema
img-caso1-hd1.dd1   *        63  19519919   19519857   7  HPFS ou NTFS
img-caso1-hd1.dd2             0         -          0   0  Vazia
img-caso1-hd1.dd3             0         -          0   0  Vazia
img-caso1-hd1.dd4             0         -          0   0  Vazia

A saída do comando sfdisk mostra que a imagem raw física tem apenas uma partição iniciando no setor 63, é do tipo HPFS ou NTFS e que cada setor tem 512 bytes. Como mencionado anteriormente o loopback não Ler mais…

O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity), e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.

#!/bin/bash
## Paulo Neukamp  or
 
## Em 16 nov 2008
## A função deste script é criar um arquivo de imagem da mídia
 
## Tela de Aviso
zenity --info --title "Aviso de Cuidado" --text " Este é um script que pode danificar o sistema, portanto, tome muito cuidado com os parametros que serão informados nas próximas etapas"
 
## Mostrando os dispositivos conectados
sudo fdisk -l | zenity --list --title "Lista de Dispositivos" --text "\n Tela de CheckList:\n Abaixo estão listados todos os Dispositivos atualmente conectados a este equipamento... \n Verifique com muito cuidado qual sera o Dispositivo que deseja zerar, pois voce deverá informá-lo na próxima janela\n" --column "Dispositivos"  --width=700 --height=400
 
## Tela solicitando qual o disco (device) ou partição que será copiado (origem)
origem=`zenity --entry --title "ORIGEM DOS DADOS" --text " Informe qual será a origem dos dados. Ex.:hda, sdb1...." --entry-text "sda"  --width=200 --height=100`
 
## Tela solicitando qual em qual pasta a imagem .dd deve ser salva
destino=`zenity --entry --title "DESTINO DOS DADOS" --text " Informe a pasta na qual a imagem deve ser salva" --entry-text "/home/fdtk/caso1"  --width=200 --height=100`
 
arq=`zenity --entry --title "NOME DO ARQUIVO" --text " Informe o nome a ser dado ao arquivo da imagem dos dados" --entry-text "img-caso1-hd1.dd"  --width=200 --height=100`
 
## Escolha qual hash utilizar ( 256-bits ou 512-bits)
hashopt=`zenity --list --radiolist --column="Opção" --column "Tipos de hash" TRUE 256-bits FALSE 512-bits `
   if [ $hashopt != 512-bits ];then
       sudo date >> $destino/hash-origem.txt; sudo sha256sum -b /dev/$origem >> $destino/hash-origem.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
   else
       sudo date >> $destino/hash-origem.txt; sudo sha512sum -b /dev/$origem >> $destino/hash-origem.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
fi 
 
## CÓPIA DOS DADOS
 
## Tela de Status do processo da copia
sudo dcfldd if=/dev/$origem of=$destino/$arq | zenity --progress --title "Copiando..." --text="Copiando dados..." --pulsate --auto-close
 
## Gerando hash da cópia
if [ $hashopt != 512-bits ];then
       sudo date >> $destino/hash-copia.txt; sudo sha256sum -b $destino/$arq >> $destino/hash-copia.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
   else
       sudo date >> $destino/hash-copia.txt; sudo sha512sum -b $destino/$arq >> $destino/hash-copia.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
fi 
 
## Gera arquivo com dados dos discos
 
sudo fdisk -l /dev/$origem > $destino/dados-discos.txt
 
## Confere Hashs
cat $destino/hash-copia.txt >> $destino/2hashs.txt | cat $destino/hash-origem.txt >> $destino/2hashs.txt
 
zenity --title="Analise dos Hash's gerados" --text-info --filename="$destino/2hashs.txt" --width=800 --height=200
 
# Tela de Aviso final
zenity --info --title "Final de operação" --text " A copia e os hash's foram gerados, você já pode remover as mídias"

Resumo do Projeto

A primeira versão do FDTK UbuntuBR foi concebida durante a elaboração do TCC do curso  de GRADUAÇÃO TECNOLÓGICA EM SEGURANÇA DA INFORMAÇÃO, ministrado na UNISINOS – Universidade do Vale do Rio dos Sinos. Baseado no LiveCD da distribuição Ubuntu 7.04, este projeto possui dois objetivos principais:

• Ajudar peritos em FORENSE COMPUTACIONAL em suas investigações;

• Ser utilizado em instituições de ensino como uma ferramenta para divulgar a importância desta área que cresce a cada dia em todo o mundo.

Tela Inicial

Ler mais…

Utilizando a FDTK-UbuntuBr a partir de uma Pen-Drive sem reiniciar o equipamento.

Baixe a versão doc

Uma das vantagens de se utilizar a emulação de hardware do Qemu em vez de utilizar o boot pelo USB é que ele permite seu pen drive ou disco rígido portátil em qualquer PC disponível e executar um sistema operacional completo sem reiniciar o equipamento.

Ler mais…

Objetivo

O FDTK-UbuntuBR tem como finalidade principal provêr a peritos iniciantes e profissionais uma poderosa ferramenta de coleta e análise para forense computacional.

É ideal para uso em universidades, escolas técnicas e centros de pesquisa, já que todo o processo é feito praticamente utilizando ferramentas em linha de comando e o trabalho é feito pelo perito, não por programas ou scripts que muitas vezes não podemos nem auditar.

O fato de todos os programas incluidos nessa distribuição ser livre e de código fonte aberto, faz dos laudos e resultados obtidos com as téncnicas utilizadas no FDTK UbuntuBR técnicamente  incontestatáveis, já que até as aplicações utilizadas podem ser auditadas.

Neste site publicaremos artigos, notícias e dicas de como utilizar essa poderosa ferramenta que é disponíbilizada livremente para download.