FTK IMAGER (CLI) – Linux

FTK IMAGER (CLI) – Linux

Fazer a coleta forense de um dispositivo físico ou até mesmo de uma maquina virtual é tão fácil quanto a versão do Windows.

Caso não tenha feito o Download, basta fazer o download da aplicação direto do site da Accessdatahttps://www.leforense.com/link/ftkcli fazer o download, descompactar e alterar a permissão para executável, conforme exemplo:

chmod a+x ftkimager

Recapitulando um pouco, na versão do Windows quando utilizamos a opção Create Image selecionamos: origem, o dispositivo ou imagem, origem, formato de saída, informações da evidencia, destino, nível de compressão e divisão em múltiplos volumes.

Na versão CLI, é a mesma coisa, só que em linha de comando, supondo que já tenha feito o Download do FTK Imager, caso contrário veja no final desta postagem.

Basicamente seria esta a conversão:

Caso tenha alguma dúvida, poderá executar o comando “–help” do ftkimager para obter o help completo. Segue abaixo:

./ftkimager --help
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

Usage:  ftkimager source [dest_file] [options]
source can specify a block device, a supported image file, or `-' for stdin
if dest_file is specified, proper extension for image type will be appended
if dest_file is `-' or not specified, raw data will be written to stdout
Options:
  --help        : display this information
  --list-drives : show detected physical drives
  --verify      : hash/verify the destination image,
                  or the source image if no destination is specified
  --print-info  : print information about a drive or image and then exit
  --quiet       : do not show create/verify progress information
  --no-sha1     : do not compute SHA1 hash during acquire or verify
(The following options are valid only when dest_file is specified):
  --s01         : create a SMART ew-compressed image
  --e01         : create an E01 format image
  --frag x{K|M|G|T} : create image fragments at most x {K|M|G|T} in size
                  also accepts kB, MB, GB, and TB for powers of 10 instead of 2
  --compress C  : set compression level to C (0=none, 1=fast, ..., 9=best)
  e01/smart metadata (use quote marks when X contains spaces):
    --case-number X
    --evidence-number X
    --description X
    --examiner X
    --notes X
AD Encryption Options:
  --inpass P      : decrypt source file using password P
  --incert C [P]  : decrypt source file using certificate C with password P
  --outpass P     : encrypt dest file using password P
  --outcert C [P] : encrypt dest file using certificate C with password P

Bom… Nunca se sabe, mas as vezes dependendo da situação pode nós salvar, principalmente se você já tiver ele no pendrive pronto para fazer uma cópia forense.

Existem outras formas de aquisição das imagens, eu particularmente gosto do FTK Imager pela compressão fantástica das images.

Até a próxima!

About The Author

Related posts

3 Comments

  1. Jorge

    Achei o seu assunto interessante Luiz, eu sou formado em Tecnologias de Rede de Computadores, mas no meu curso não vimos nada nessa área Forense, essa área é promissora aqui no Brasil? Muito obrigado pela atenção.

    Reply
    1. Luiz Le-Fort

      Jorge, obrigado pela sua visita! Computação Forense é muito promissor no Brasil e seguirá assim por muito tempo. Podemos dizer que com a operação Lava Jata trouxe muito em evidencia a importância da “Computação Forense”. Neste blog (ainda em construção) pretendo trazer conteúdo que vou aprendendo colocando mão na massa diretamente em pericias digitais para compartilhar o conhecimento. Você tem muita informação a respeito de computação forense na Internet, muitos em Inglês. Até breve!

      Reply

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *