Criação de Imagem Forense


A técnica conhecida como análise “post-mortem” determina que deva ser feita uma imagem autentica e integra de todo HDD suspeito e qualquer perícia deve ser feita em uma cópia também integra e autentica dessa primeira imagem gerada, de forma a manter a evidência original e sua cópia integras. Para garantir a integridade da imagem gerada para análise, deve-se aplicar o hash MD5, SHA-1 e SHA-2 nessa imagem e guardar suas “assinaturas digitais” geradas.

Tipos de Imagens


É importante ressaltar a diferença entre imagem física e imagem lógica. Por exemplo, um dispositivo ou mídia (HDD, Pendrive, etc) possui uma tabela interna que indica como o dispositivo está dividido nas partições, geralmente os pendrives possuem apenas uma partição, já os HDDs podem ser particionados de forma a organizar melhor o armazenamento dos arquivos. Uma imagem lógica é uma imagem forense de uma partição apenas. Uma imagem física contém todas as partições do dispositivo mais a tabela de partições.

Por exemplo, se temos um HDD conectado como principal na IDE1, com três partições em uma máquina com o sitema operacional Linux instalado, esse HDD será reconhecido como um dispositivo hda, assim teríamos:

Imagem física -> “/dev/hda”
Imagem lógica -> “/dev/hda1”, “/dev/hda2” e “/dev/hda3”

Há várias formas de se realizar a aquisição ou captura de uma imagem forense, o mais comum é o RAW (dd), por ser um formato facilmente “montável”, independente de ferramentas específicas e está disponível em utilitários tanto para Linux quanto para Windows. É importante ressaltar alguns pontos negativos como por exemplos, os arquivos são muito grandes (não há compactação), não é possível adicionar dados da investigação ao arquivo RAW (metadados), algumas operações são mais lentas devido ao grande tamanho, etc.

Existem também as extensões abaixo:

  • Expert Witness (E01)
    Proprietário do Encase;
    Permite compactação (sem perda);
  • SGZIP
    Utilizado pelo pyFlag (baseado no gzip);
    Não monta em Windows (é necessário converter para RAW antes disso);
  • Advanced Forensic Format (AFF)
    Tentativa de padronização e solução de problemas dos formatos anteriores;
    Usa compactação, tratamento de erros e oferece bibliotecas para adaptação;

O processo para criação da imagem exata, autentica e integra será utilizando o CAINE, e a extensão das imagens serão no formato “Expert Witness (E01)”, face os benefícios supracitados.

Kit para Aquisição de Imagem


Para aquisição da imagem de um HDD é extremamente recomendado estar em posse dos dispositivos abaixo, uma vez que a evidência deve ser preservada para futuras ações judiciais.

  • “Live CD” para forense chamado CAINE na versão 1.5 ou superior que pode ser adquirido em http://www.caine-live.net (de preferência ter sempre uma cópia);
  • Kit de cabos USB, Sata e IDE para cópia da imagem, como mostrado na figura abaixo;
  • Pelo menos dois HDD do mesmo tamanho ou com tamanho superior para a clonagem. Os mesmos devem estar sanitizados*.

    • *Sanitização é o processo de “limpeza” do HDD, mais conhecido como WIPE (formatação completa sem recuperação de dados), existem diversas ferramentas para executar este processo, tais como:

    Windows:

    Linux:

    Procedimento para Aquisição de Imagem


    Antes de iniciar o procedimento de aquisição da imagem forense é necessário verificar se o processo será formal ou não, pois sendo formal haverá a necessidade da presença de um tabelião para registro da Ata Notarial. É importante que o solicitante já informe se o processo será formal iniciando o processo de solicitação de registro da Ata Notarial.

    Dependendo da situação será necessário decidir para onde será enviada a evidência (imagem), podendo ser para um HDD externo (conectado por USB), para um Pendrive, para um HDD colocado como “Slave” (escravo) ou para um diretório disponível na rede (netcat). Seja qual for a opção é muito importante que o dispositivo destino esteja sanitizado, para que não haja comprometimento da imagem evidencia gerada a partir do dispositivo original.

    Há duas formas para se criar uma imagem evidência, via boot com um “Live CD” ou via Windows usando o FTK. Ambos dependem do cenário, caso a maquina esteja desligada é altamente recomendado retirar o HDD e utilizar o método via Windows, caso não seja possível, utilizar o boot com “Live CD”.

    É muito importante a utilização de um bloqueador de escrita seja via driver (FAST BLOCK) ou via software (ACES Software Write Block Tool Test Report: Writeblocker Windows 2000 V5.02.00) para que a evidência original seu seja invalidada.

    ATENÇÃO: Tomar MUITO cuidado para a estação NÃO inicializar com o Sistema Operacional instalado no HDD suspeito, para que não haja alterações nos dados a serem coletados, invalidando a evidência.

    Procedimento para criação de imagem via boot com Live CD do CAINE


    Se a máquina a ser periciada estiver desligada, retire o HDD evidência e conecte em outra máquina como “slave” (escravo) ou através da USB, não havendo a possibilidade de desligar a máquina suspeita então é necessário conectar um HDD através da USB ou um Pendrive onde será armazenada a imagem evidência.

    Após esse procedimento é necessário iniciar a maquina, caso esteja desliga, ou reiniciá-la, caso não possa ser desligada, alterando a inicialização do sistema para inicialização através do CD do CAINE entrando no setup da maquina (BIOS) e definir para o primeiro “boot” ser através do CD.

    ATENÇÃO: Tomar MUITO cuidado para a estação NÃO inicializar com o Sistema Operacional instalado no HDD suspeito, para que não haja alterações nos dados a serem coletados, invalidando a evidência.

    Após a inicialização com o “Live CD” será exibido a tela abaixo:

    Escolha “Start CAINE Live CD in Graphical Mode” para iniciar o sistema operacional forense para aquisição da imagem evidencia. Após a inicialização completa será exibida a seguinte tela:

    Clique com o botão esquerdo do “mouse” no pequeno monitor preto, que fica na barra inferior, no lado esquerdo, para abrir o “command shell”, como mostra a figura abaixo:

    Sanitização do dispositivo destino


    Se a imagem evidência for criada em um dispositivo externo conectado pela USB, então conecte esse dispositivo agora, espere cinco segundos antes de executar o comando abaixo, mas se for utilizado um HDD que está como escravo, não é necessário nenhum procedimento prévio, apenas execute o seguinte comando para identificar o dispositivo destino para criação da imagem evidência:
    caine@caine:~$ sudo fdisk –l

    Para exemplificar usaremos em todo o processo um HDD conectado como escravo, representado como “/dev/sdb1”, para armazenar a imagem evidência.

    Para garantir que o HDD ou Pendrive onde será armazenada a imagem evidência esteja “limpo”, ou seja, sem qualquer informação que possa comprometer as evidências a serem capturadas, deve-se sanitizar o HDD ou Pendrive destino digitando o comando:
    caine@caine:~$ sudo dc3dd progeress=on wipe=/dev/sdb1 (dispositivo de destino)

    MUITO CUIDADO PARA NÃO EXECUTAR O COMANDO NO HDD SUSPEITO PERDENDO ASSIM TODAS AS EVIDÊNCIAS.

    Preparação para o dispositivo destino


    Para evitar problemas na hora de efetuar a imagem, é importante que o dispositivo destino esteja formatado como FAT32, e esteja com permissão de escrita e leitura.

    Caso o dispositivo de destino seja um HDD escravo, pode ser que ele esteja montado como “Read Only (ro)”, como mostrado abaixo, onde não será possível copiar a imagem. Para verificar execute o comando:
    caine@caine:~$ mount

    Se o dispositivo destino não estiver na lista, passe para a etapa de montagem do dispositivo destino. Se o dispositivo estiver como “Ready/Write (rw)”, ignore essa etapa, senão para altera-lo basta digitar o comando abaixo:
    caine@caine:~$ sudo mount –o remount,rw /dev/sdb1 (dispositivo de destino)

    Após o comando acima o dispositivo de destino aparecerá como RW, vide tela de exemplo abaixo:

    Montagem do dispositivo destino


    Caso o dispositivo destino não esteja montado, ou seja, não aparece na lista de dispositivos após a execução do comando “mount”, execute o comando abaixo:
    caine@caine:~$ sudo mount –t vfat –o rw /dev/sdb1 /media/sdb1

    Onde “/dev/sdb1”, no caso, é o dispositivo destino e “/media/sdb1” é o local onde o dispositivo será montado.

    Caso após a execução do comando acima, aparecer a seguinte mensagem:

    Então execute o comando abaixo e execute em seguida o comando para montar o dispositivo:
    caine@caine:~$ sudo mkfs.vfat –F 32 /dev/sdb1

    Após o comando acima o dispositivo de destino aparecerá montado como RW, vide tela abaixo:

    Efetuando o Aquisição pelo Guymager


    Após efetuar a preparação do dispositivo destino, devem-se seguir os passos abaixo para aquisição da imagem. Use o “Guymager”.

    Vá em ”Menu” -> “Forensic-Tools” -> “Guymager”

    Na tela do “Guymager” escolha o dispositivo suspeito, no exemplo “/dev/sda”, clicando com o botão direito do “mouse” sobre o dispositivo e escolha “Acquire”.

    Na próxima janela algumas informações devem ser preenchidas para a correta coleta da evidência.

    Na opção “File Format”, escolha “Expert Witness Format, sub-format Encase5 (file extension .Exx)”.

    Em “Case number”, coloque o número de identificação do caso, na opção “Evidence number”, coloque o número de identificação do dispositivo suspeito. Na opção “Examiner”, coloque o nome do examinador. Em “Description”, coloque uma breve descrição do caso e em “Notes” coloque a marca, o modelo e o tamanho do HDD suspeito. Na opção “Image directory” coloque o caminho do dispositivo destino que montamos no item “Montagem de dispositivo destino”.

    Em “Image filename” coloque o nome da imagem evidência que será criada, sem a extesão.

    Marque a opção “Calculate hashes (MD5 and SHA-256)”.

    Clique em “OK”.

    A figura abaixo exemplifica o preenchimento das informações solicitadas:

    A aquisição da imagem é iniciada, como exemplificado na tela abaixo:

    O campo “State” mostra o andamento da aquisição.

    Após o termino da aquisição, abra o “command shell” para verificar a geração da imagem evidência e o seu respectivo relatório.

    Acesse o dispositivo destino montado no item “Montagem de dispositivo destino”, no exemplo montamos o dispositivo destino em “/media/sdb1”. A sintaxe do comando para acessar o dispositivo destino montado é: “cd ”.
    caine@caine:~$ cd /media/sdb1

    Para listar os arquivos contidos, execute o comando:
    caine@caine:/media/sdb1$ ls -lh

    Todas as informações referentes ao HDD suspeito e a imagem evidência gerada estão no arquivo com extensão .info. Para visualizar seu conteúdo, execute o comando:
    caine@caine:/media/sdb1$ sudo more evidencia.info

    É possível também efetuar a cópia do HDD suspeito via “command shell”, segue abaixo o comando para gerar a imagem evidência:
    caine@caine:~$ sudo ewfacquire –d sha256 /dev/sdb

    Após o preenchimento dos campos solicitados, iniciará a geração da imagem evidência no diretório corrente. Lembrando de substituir “/dev/sdb” pelo dispositivo suspeito reconhecido pelo sistema no ato da aquisição.

    Procedimento criação de imagem via Windows (FTK)


    Para os casos em que se é possível retirar o HDD, é recomendado utilizar outro computador para que seja possível fazer a cópia das informações. Este método é mais simples e evita carregar informações no dispositivo evidencia.

    Preparação do dispositivo destino


    É necessário deixar o HDD suspeito e o HDD destino conectados como dispositivos secundários no equipamento que será utilizado para criação da imagem evidência.

    Vide telas abaixo:

    Uma vez que os dispositivos estejam conectados corretamente, é necessário efetuar a criação da imagem utilizando o CAINE.

    Efetuando a aquisição via software com o CAINE (FTK)


    Insira o cd do CAINE e espere a execução do “autorun”, onde aparecerá a tela abaixo e clique na opção “WinTaylor”:

    Escolha a aba “Analysis 3” e clique no botão “FTK Imager”

    Após aberto vá no menu “File” -> “Create Disk Image...”

    Como descrito no inicio do procedimento, é preciso definir se a copia será feita através da imagem lógica ou física, selecionar “Physical Drive”, clique em “Next”.

    Escolha o HDD suspeito, e clique em “Finish”

    Para escolher o local de armazenagem, nome e o formato da imagem, clique em “Add..”.

    Escolha o tipo da imagem, conforme explicado anteriormente, sempre com preferência ao método ”Expert Witness (E01)”, pelos benefícios já citados. É importante também avaliar a situação atual do cenário e validar o melhor tipo de imagem.

    Após clicar em ”Next >” será necessário preencher as informações abaixo, conforme solicitado.

    Após clicar em ”Next >”, na próxima janela em “Image Destination Folder” selecione o HDD destino e em “Image Filename (Excluding Extension)” digite o nome da imagem ignorando a extensão do mesmo.

    Para o caso do tipo RAW e E01 é possível criar fragmentos da imagem em tamanhos predefinidos, alterando o valor em “Image Fragment Size (MB)”, no caso deixe o padrão de 1500 e em “Compression” coloque 6 (seis).

    Após clique em ”Finish”

    Na janela final é importante validar o destino da imagem evidência bem como o nome e a extensão do mesmo, conforme tela abaixo.

    Para iniciar a geração da imagem evidência, clique em ”Start”

    Aguarde o final da geração da imagem evidência e verifique os arquivos de HASH.

    Veja o vídeo desse tutorial