A recuperação de dados, sensíveis ou comuns, é muito necessária atualmente devido ao enorme uso de equipamentos de armazenamento de dados. Este procedimento é adotado tanto por usuários comuns, que têm os seus arquivos perdidos por acidente, como por investigadores forenses em busca de evidências de crimes digitais atrás de um recovery mais profundo de dados sensíveis de um cliente que os perdeu. O tipo de análise que o artigo aborda é o Post Mortem, onde iremos realizar análise de um ambiente desligado, ou seja a partir de uma imagem imóvel, morta, onde não existem processos correndo nem dados sendo gravados.
Criando a imagem com DCFLDD
Vamos identificar o dispositivo a ser copiado
root@fidelis:/home/matheus# df -h
Vamos criar a imagem a partir do dispositivo /dev/sdb
root@fidelis:/home/matheus# dcfldd if=/dev/sdb of=/home/matheus/imagem-pendrive.md5
Onde:
if=/dev/sdb - é o caminho do dispositivo de origem
of=/home/matheus/imagem-pendrive.md5 - é o destino e nome da imagem a ser criada
O DCFLDD irá criar uma cópia de "bit a bit" da partição e irá armazenar em um arquivo chamado imagem-pendrive.md5
Clonando imagens com Bad Blocks e erros de I/O
Basta realizar o mesmo procedimento, porém adicionando os parâmetros conv=notrunc,noerror
root@fidelis:/home/matheus# dcfldd if=/dev/sdb of=/home/matheus/imagem-pendrive.md5 conv=notrunc,noerror
Pronto, a imagem já está pronta para análise
Agora podemos dar a introdução de como s faz uma análise nesse tipo de arquivo
Análise do Arquivo
Há um tempo eu fiz um artigo sobre Recuperação de Dados com Ferramentas Forense no Linux onde abordei um procedimento de data carving e recuperação de arquivos com profundidade gigantesca, neste exemplo não será muito diferente. Nós iremos realizar a recuperação com o Foremost, leia o artigo sobre a recuperação de dados para obter uma explicação mais completa do uso da ferramenta. Vamos criar um diretório chamado "recuperados" para efetuar o depósito dos dados.
root@fidelis:/home/matheus# mkdir recuperados
root@fidelis:/home/matheus# foremost -t jpg imagem-pendrive.md5 -o recuperados/
No caso iremos efetuar a mineração de todas as imagens JPG dentro da imagem, claro que poderiamos efetuar o carving com muito mais extensões como PNG, PDF, DOC, DOCX e até mesmo aplicar a análise sem o filtro, executando o parâmetro -t all como mostra o artigo.
:)
Pra quem não conseguiu achar o artigo mencionado nesse poste sobre Recuperação de Dados com Ferramentas Forense no Linux tendo em vista que o link do mesmo não funciona, ai vai o endereço correto: http://www.nanoshots.com.br/2015/08/data-recovery-forense-em-dispositivos-e.html
ResponderExcluirEsqueci de agradecer sobre a publicação ficou ótima excelente me ajudou muito, obrigado ao Matheus Fidelis pelo grande trabalho compartilhado.
ResponderExcluir