segunda-feira, 5 de outubro de 2015

Criando imagens Forense de Dispositivos e Partições no Linux com DCFLDD



A recuperação de dados, sensíveis ou comuns, é muito necessária atualmente devido ao enorme uso de equipamentos de armazenamento de dados. Este procedimento é adotado tanto por usuários comuns, que têm os seus arquivos perdidos por acidente, como por investigadores forenses em busca de evidências de crimes digitais atrás de um recovery mais profundo de dados sensíveis de um cliente que os perdeu.  O tipo de análise que o artigo aborda é o Post Mortem, onde iremos realizar análise de um ambiente desligado, ou seja a partir de uma imagem imóvel, morta, onde não existem processos correndo nem dados sendo gravados.

Criando a imagem com DCFLDD 



Neste exemplo estarei realizando a cópia da imagem de um Pendrive de 8 GB de memória, mas ele pode ser realizado com partições de HD's, SD Cards, HD's Externos e até sistemas completos.

Vamos identificar o dispositivo a ser copiado

root@fidelis:/home/matheus# df -h



Vamos criar a imagem a partir do dispositivo /dev/sdb

root@fidelis:/home/matheus# dcfldd if=/dev/sdb of=/home/matheus/imagem-pendrive.md5

Onde:
if=/dev/sdb  - é o caminho do dispositivo de origem 
of=/home/matheus/imagem-pendrive.md5 - é o destino e nome da imagem a ser criada 


O DCFLDD irá criar uma cópia de "bit a bit" da partição e irá armazenar em um arquivo chamado imagem-pendrive.md5 



Clonando imagens com Bad Blocks e erros de I/O


Basta realizar o mesmo procedimento, porém adicionando os parâmetros conv=notrunc,noerror

root@fidelis:/home/matheus# dcfldd if=/dev/sdb of=/home/matheus/imagem-pendrive.md5 conv=notrunc,noerror

Pronto, a imagem já está pronta para análise 

Agora podemos dar a introdução de como s faz uma análise nesse tipo de arquivo 


Análise do Arquivo 



Há um tempo eu fiz um artigo sobre Recuperação de Dados com Ferramentas Forense no Linux onde abordei um procedimento de data carving e recuperação de arquivos com profundidade gigantesca, neste exemplo não será muito diferente. Nós iremos realizar a recuperação com o Foremost, leia o artigo sobre a recuperação de dados para obter uma explicação mais completa do uso da ferramenta. Vamos criar um diretório chamado "recuperados" para efetuar o depósito dos dados. 

root@fidelis:/home/matheus# mkdir recuperados 
root@fidelis:/home/matheus# foremost -t jpg imagem-pendrive.md5 -o recuperados/


No caso iremos efetuar a mineração de todas as imagens JPG dentro da imagem, claro que poderiamos efetuar o carving com muito mais extensões como PNG, PDF, DOC, DOCX e até mesmo aplicar a análise sem o filtro, executando o parâmetro -t all como mostra o artigo. 





:)

SOBRE O AUTOR

Matheus Fidelis

http://msfidelis.github.io/

Power Ranger, Piloto de Helicópteros e Astronauta da NASA. Desenvolvedor Web PHP com foco em Backend e POO, Linux SysAdmin DevOps e Entusiasta Python. Criou esse site pra contribuir com a comunidade com coisas que aprende dentro de um setor maluco de TI :)

Postar um comentário

 
Nanoshots | Open Source Security, Linux e Tutoriais © 2015 - Designed by Templateism.com