Indice
Introdução
No meu dia a dia utilizo o Linux como estação de trabalho, e ficava frustrado ter que usar o Windows para utilizar o IPED. Para quem não sabe, o IPED é um indexador de evidências digitais desenvolvido pela Polícia Federal do Brasil, que alias, tive o enorme prazer de conversar com os desenvolvedores. Voltando ao assunto, decidi colocar o IPED para funcionar no Linux, porem, com a falta de documentação foi bem custoso, o qual decidi montar este artigo para ajudar quem queira utilizar o IPED no Linux (Debian)
Para utilização do IPED foi necessário instalar algumas dependência, instalar ORACLE-JAVA, compilar o libewf, sleuthkit e alterar as configurações do IPED.
Instalação
Este guia foi baseado para distribuições DEBIAN. Primeiramente vamos instalar algumas dependências que serão necessárias para utilização do IPED e para compilação de alguns Softwares.
sudo apt-get update sudo apt-get install build-essential curl zlib1g-dev git libfuse-dev vim autoconf automake autopoint libtool pkg-config flex byacc libcrypto++-dev testdisk tesseract-ocr tesseract-ocr-por tesseract-ocr-osd mplayer libparse-win32registry-perl libesedb-utils imagemagick libmsiecf-utils libafflib-dev libewf-dev libvmdk-dev libxtst6 libxi6 libpff1 openjfx
Instalando o Java
Faça o download do JAVA versão 8. No comando abaixo já faz o download e aceita a licença.
curl -L -b "oraclelicense=a" -O https://download.oracle.com/otn-pub/java/jdk/8u191-b12/2787e4a523244c269598db4e85c51e0c/jdk-8u191-linux-x64.tar.gz
sudo mkdir /usr/local/oracle-java-8 sudo tar -zxf jdk-8u191-linux-x64.tar.gz -C /usr/local/oracle-java-8/ sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/java" 1500 sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javac" 1500 sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javaws" 1500
Download dos aplicativos
– libewf, release 64bits
– sleuthkit, release 4.6.0
– IPED, 3.14.5
Faça o download do libewf, sleuthkit e do IPED:
curl -L -O https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.6.0/sleuthkit-4.6.0.tar.gz wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-3.14.5-with-extra-tools.zip wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-Manual_pt-BR.pdf git clone https://github.com/libyal/libewf.git
Após o Download de todos os programas, vamos descompactar tudo que iremos utilizar.
tar -xvf sleuthkit-4.6.0.tar.gz unzip IPED-3.14.5-with-extra-tools.zip
Compilando libewf
Proceder com a compilação do libewf, atenção com os comandos pois é um pré requisito pro sleuthkit.
cd libewf/ sudo ./synclibs.sh sudo ./autogen.sh sudo ./configure sudo make sudo make install sudo ldconfig
Durante a compilação, poderá ter apresentado alguns warnings, dos quais não serão impedimentos para a compilação e instalação das librarias.
Compilando sleuthkit
Antes de compilar o sleuthkit é necessário alterar o termo “libewf_handle_read_random” por “libewf_handle_read_buffer_at_offset” no arquivo arquivo fonte “ewf.c” em /tsk/img.
Se preferir pode utilizar o comando “sed” abaixo
cd sleuthkit-4.6.0/tsk/img/ sed -i 's/libewf_handle_read_random/libewf_handle_read_buffer_at_offset/' ewf.c
Após a edição do código fonte, proceda com a compilação. Agora proceda com a compilação.
cd sleuthkit-4.6.0/ sudo ./configure sudo make sudo make install sudo ldconfig
Instalando a última dependência.
Para funcionar o tsk_loaddb (complemento de leitura de imagens do Sleuthkit) precisa da seguinte dependência: libtsk-dev
Comentário: Esta dependência não foi informado no inicia do guia propositalmente, visto que se já estiver instalado na maquina, a compilação do sleuthkit será problemática.
Proceda com a instalação:
sudo apt-get install libtsk-dev sudo ldconfig
Testando algumas coisas.
O IPED utiliza alguns softwares aparte, se é necessário verificar se estão sendo executados (se estão no PATH) e se não apresentam algum erro por falta de dependência. Então, teste os seguintes programas:
mplayer tsk_loaddb -V
Se não houve erros, estamos quase terminando.
Alterando configurações do IPED
Após a compilação do sleuthkit, deverá estar em sua maquina o seguinte arquivo: /usr/local/share/java/sleuthkit-4.6.0.jar confirme, se estiver de acordo edite o arquivo LocalConfig.txt do IPED e acrescente a linha:
tskJarPath = /usr/local/share/java/sleuthkit-4.6.0.jar
Executando o IPED pela primeira vez
Utilizar o IPED no Linux é o mesmo que no Windows, com a exceção do resultado (mais abaixo explico), então, para executar basta:
sudo java -jar iped.jar -d /home/leforense/cfreds_rm.E01 -o /home/leforense/caseXYZ/iped/ --nogui
NOTA!
O IPED funciona tanto em linha de comando como em interface gráfica conforme exemplos:
Executando o Processador de Evidência do IPED
Quando termina a execução do IPED, ele gera um arquivo .EXE no diretorio criado, que é um atalho para o JAVA, em ambiente LINUX é necessário executar na mão. Lembre-se que o diretório “/home/leforense/caseXYZ….’ se refere na minha maquina, então deverá referenciar o do seu caso.
sudo java -jar /home/leforense/caseXYZ/iped/indexador/lib/iped-search-app.jar
Conclusão
Este guia foi baseado para distribuições DEBIAN, em breve farei o mesmo para distribuição CentOS.
Durante a execução do IPED ele referência a aplicar uns PATCH no código fonte do sleuthkit e depois compilar novamente, eu tentei algumas vezes e deu muito errado. Quando entender melhor farei a atualização deste post.
Qualquer dúvida ou ajuda para instalar o IPED pode me procurar. Também já deixo logo um excelente vídeo explicativo do IPED desenvolvido pelo Marcos Monteiro, pode assistir aqui no Youtube.
Referências
Repositório do Atila Romero no Github
Agradecimentos
O sucesso deste artigo, devo agradecer primeiramente a Deus por me guiar e me dar a persistência das várias tentativas. Em seguida agradeço enormemente a Luis Nassif, Atila Romero e Gabriel, da PF que estão a frente do desenvolvimento do IPED.
