FTK Imager é um software de código aberto da AccessData que é usado para criar cópias precisas das provas originais sem realmente fazer quaisquer alterações. A Imagem da evidência original permanece a mesma e permite-nos copiar dados a uma velocidade muito mais rápida, que pode ser preservada em breve e pode ser analisada posteriormente.
O gerador de imagens FTK também lhe fornece a função de verificação de integridade embutida que gera um relatório de hash que ajuda a combinar o hash da evidência antes e depois de criar a imagem da evidência original.
Tabela de Conteúdos
- Criar uma Imagem Forense
- Capturar Memória
- Analisando o despejo de Imagem
- Montagem de Imagem para Conduzir
- Conteúdo Personalizado de Imagem usando AD encriptação
- Detectar Encriptação AD
- Obter Arquivos Protegidos
- Detectar Encriptação EFS
- Exportar Arquivos
Deixe-nos começar com a criação de uma cópia de imagem da evidência original.
Criar uma Imagem Forense
A Imagem Forense é um dos passos mais cruciais envolvidos na investigação forense digital. É o processo de fazer uma cópia de arquivo ou cópia de segurança de todo o disco rígido. É um arquivo de armazenamento que contém todas as informações necessárias para inicializar o sistema operacional. No entanto, este disco de imagens precisa de ser aplicado ao disco rígido para funcionar. Não é possível restaurar um disco rígido colocando os arquivos de imagem do disco nele, pois eles precisam ser abertos e instalados na unidade usando um programa de imagem. Um único disco rígido pode armazenar muitas imagens de disco nele. As imagens de disco também podem ser armazenadas em unidades flash com maior capacidade.
Open FTK Imager by AccessData após a instalação, e você verá a janela pop-up que é a primeira página para a qual esta ferramenta abre.
Agora, para criar uma imagem de disco. Clique em File > Create Disk Image.
Agora, você pode escolher a fonte com base na unidade que você tem. Pode ser uma unidade física ou lógica, dependendo da sua evidência.
A unidade física é o hardware de armazenamento principal ou o componente dentro de um dispositivo, que é usado para armazenar, recuperar e organizar os dados.
Uma Unidade Lógica é geralmente um espaço de unidade que é criado sobre um disco rígido físico. Uma unidade lógica tem seus parâmetros e funções porque opera independentemente.
Agora escolha a origem da sua unidade que deseja criar uma cópia da imagem.
>Adicionar o caminho de destino da imagem que vai ser criada. Da perspectiva forense, deve ser copiada em um disco rígido separado e múltiplas cópias da evidência original devem ser criadas para evitar a perda da evidência.
Selecione o formato da imagem que você deseja criar. Os diferentes formatos para a criação da imagem são:
Raw(dd): É uma cópia bit a bit da evidência original que é criada sem quaisquer adições e ou exclusões. Eles não contêm metadados.
SMART: É um formato de imagem que foi usado para Linux que não é mais usado popularmente.
E01: Significa EnCase Evidence File, que é um formato comumente usado para imagens e é semelhante a
AFF: Ele significa Advanced Forensic Format que é um formato de código aberto do tipo.
>Agora, adicione os detalhes da imagem para prosseguir.
Agora, finalmente adicione o destino do arquivo de imagem, nomeie o arquivo de imagem e depois clique em Finish.
Após ter adicionado o caminho de destino, pode agora começar com a imagem e também clicar na opção verificar para gerar um hash.
>
Agora esperemos alguns minutos para que a imagem seja criada.
>
Após a imagem ser criada, é gerado um resultado Hash que verifica o Hash MD5, SHA1 Hash, e a presença de qualquer setor ruim.
Capturing Memory
É o método de capturar e despejar o conteúdo de um conteúdo volátil em um dispositivo de armazenamento não volátil para preservá-lo para investigação posterior. Uma análise de ram só pode ser realizada com sucesso quando a aquisição tiver sido realizada com precisão sem corromper a imagem da memória volátil. Nesta fase, o investigador tem que ter cuidado com suas decisões de coletar os dados voláteis, pois eles não existirão depois que o sistema for reiniciado.
Agora, vamos começar com a captura da memória.
Para capturar a memória, clique em File > Capture Memory.
Selecione o caminho de destino e o nome do arquivo de destino, e clique em capture memory.
Agora vamos esperar alguns minutos até o carneiro ser capturado.
Analyzing Image Dump
Agora vamos analisar a imagem RAW Dump depois de ter sido adquirida utilizando o gerador de imagens FTK. Para começar com a análise, clique em File> Add Evidence Item.
Agora selecione a fonte do arquivo dump que você já criou, então aqui você tem que selecionar a opção de arquivo de imagem e clicar em Next.
Selecione o caminho do dump da imagem que você capturou clicando em Browse.
Após o dump da imagem estar anexado à parte de análise, você verá uma árvore de evidências que tem o conteúdo dos arquivos do dump da imagem. Isto poderia ter apagado bem como sobregravado dados.
Para analisar outras coisas, vamos agora remover este item de evidência clicando com o botão direito do mouse sobre a caixa e clicar em Remove Evidence Item
Mounting Image to Drive
Para montar a imagem como um drive no seu sistema, clique em File > Image Mounting
Após a janela Mount Image to Drive aparecer, você pode adicionar o caminho ao arquivo de imagem que você quer montar e clicar em Mount.
>
Agora pode ver que o ficheiro de imagem foi agora montado como uma unidade.
Custom Content Image with AD Encryption
FTK imager tem uma funcionalidade que lhe permite encriptar ficheiros de um determinado tipo, de acordo com os requisitos do examinador. Clique nos ficheiros que pretende adicionar à imagem de conteúdo personalizado juntamente com a encriptação AD.
Todos os ficheiros seleccionados serão apresentados numa nova janela e depois clique em Create Image (Criar imagem) para prosseguir.
Preencha os detalhes necessários para a evidência que será criada.
>
Agora adicione o destino do arquivo de imagem que será criado, nomeie o arquivo de imagem e então marque a caixa com a criptografia AD, e então clique em Finish.
>
Uma nova janela irá aparecer para encriptar a imagem, Agora alugue e introduza novamente a palavra-passe que pretende adicionar para a sua imagem.
>
Agora para ver os ficheiros encriptados, clique em File> Add Evidence Item…
>
>
>A janela para desencriptar os ficheiros encriptados irá aparecer assim que adicionar a fonte do ficheiro. Digite a senha e clique em OK.
Você agora verá os dois arquivos criptografados ao digitar as senhas válidas.
Decifrar Imagem AD1
Para decifrar a imagem de conteúdo personalizado, clique em File>Decifrar Imagem AD1.
Agora você precisa digitar a senha para o arquivo de imagem que foi criptografado e clique em Ok.
Agora, aguarde alguns minutos até que a imagem desencriptada seja criada.
Para ver a imagem de conteúdo personalizado desencriptado, adicione o caminho do ficheiro desencriptado e clique em Finish.
>>
Agora poderá ver os ficheiros encriptados utilizando a palavra-passe correcta para o desencriptar.
Obter ficheiros protegidos
Determinados ficheiros são protegidos na recuperação, para obter esses ficheiros, clique em Ficheiro> Obter ficheiros protegidos
Uma nova janela irá aparecer e clique em Procurar para adicionar o destino do ficheiro que é protegido e clique na opção que diz recuperação de senha e todos os ficheiros de registo e clique em OK.
Agora você verá todos os arquivos protegidos em um só lugar
Detect EFS Encryption
Quando uma pasta ou um arquivo é criptografado, podemos detectá-lo usando esta funcionalidade do FTK Imager.
Um ficheiro é encriptado numa pasta para proteger o seu conteúdo.
Para detectar a encriptação EFS, clique em File >Detect EFS Encryption
>Pode ver que a encriptação é detectada.
Exportar Ficheiros
Para exportar os ficheiros e pastas do ficheiro de imagem para a sua pasta, pode clicar em Ficheiro > Exportar Ficheiros.
Pode agora ver os resultados da exportação do número de ficheiros e pastas que foram copiados para o sistema.
>
Autor: Jeenali Kothari é um entusiasta da Digital Forensics e gosta de escrever conteúdos técnicos. Você pode contatá-la aqui