Criando imagens Forense de Dispositivos e Partições no Linux com DCFLDD

Share:


A recuperação de dados, sensíveis ou comuns, é muito necessária atualmente devido ao enorme uso de equipamentos de armazenamento de dados. Este procedimento é adotado tanto por usuários comuns, que têm os seus arquivos perdidos por acidente, como por investigadores forenses em busca de evidências de crimes digitais atrás de um recovery mais profundo de dados sensíveis de um cliente que os perdeu.  O tipo de análise que o artigo aborda é o Post Mortem, onde iremos realizar análise de um ambiente desligado, ou seja a partir de uma imagem imóvel, morta, onde não existem processos correndo nem dados sendo gravados.

Criando a imagem com DCFLDD 



Neste exemplo estarei realizando a cópia da imagem de um Pendrive de 8 GB de memória, mas ele pode ser realizado com partições de HD's, SD Cards, HD's Externos e até sistemas completos.

Vamos identificar o dispositivo a ser copiado

root@fidelis:/home/matheus# df -h



Vamos criar a imagem a partir do dispositivo /dev/sdb

root@fidelis:/home/matheus# dcfldd if=/dev/sdb of=/home/matheus/imagem-pendrive.md5

Onde:
if=/dev/sdb  - é o caminho do dispositivo de origem 
of=/home/matheus/imagem-pendrive.md5 - é o destino e nome da imagem a ser criada 


O DCFLDD irá criar uma cópia de "bit a bit" da partição e irá armazenar em um arquivo chamado imagem-pendrive.md5 



Clonando imagens com Bad Blocks e erros de I/O


Basta realizar o mesmo procedimento, porém adicionando os parâmetros conv=notrunc,noerror

root@fidelis:/home/matheus# dcfldd if=/dev/sdb of=/home/matheus/imagem-pendrive.md5 conv=notrunc,noerror

Pronto, a imagem já está pronta para análise 

Agora podemos dar a introdução de como s faz uma análise nesse tipo de arquivo 


Análise do Arquivo 



Há um tempo eu fiz um artigo sobre Recuperação de Dados com Ferramentas Forense no Linux onde abordei um procedimento de data carving e recuperação de arquivos com profundidade gigantesca, neste exemplo não será muito diferente. Nós iremos realizar a recuperação com o Foremost, leia o artigo sobre a recuperação de dados para obter uma explicação mais completa do uso da ferramenta. Vamos criar um diretório chamado "recuperados" para efetuar o depósito dos dados. 

root@fidelis:/home/matheus# mkdir recuperados 
root@fidelis:/home/matheus# foremost -t jpg imagem-pendrive.md5 -o recuperados/


No caso iremos efetuar a mineração de todas as imagens JPG dentro da imagem, claro que poderiamos efetuar o carving com muito mais extensões como PNG, PDF, DOC, DOCX e até mesmo aplicar a análise sem o filtro, executando o parâmetro -t all como mostra o artigo. 





:)

2 comentários:

  1. Pra quem não conseguiu achar o artigo mencionado nesse poste sobre Recuperação de Dados com Ferramentas Forense no Linux tendo em vista que o link do mesmo não funciona, ai vai o endereço correto: http://www.nanoshots.com.br/2015/08/data-recovery-forense-em-dispositivos-e.html

    ResponderExcluir
  2. Esqueci de agradecer sobre a publicação ficou ótima excelente me ajudou muito, obrigado ao Matheus Fidelis pelo grande trabalho compartilhado.

    ResponderExcluir