INSTALANDO IPED NO LINUX

INSTALANDO IPED NO LINUX

Introdução

ATENÇÃO
Aviso legal: não me responsabilizo pelo mal uso da ferramenta ou erros cometidos durante ou depois da instalação.

No meu dia a dia utilizo o Linux como estação de trabalho, e ficava frustrado ter que usar o Windows para utilizar o IPED. Para quem não sabe, o IPED é um indexador de evidências digitais desenvolvido pela Polícia Federal do Brasil, que alias, tive o enorme prazer de conversar com os desenvolvedores. Voltando ao assunto, decidi colocar o IPED para funcionar no Linux, porem, com a falta de documentação foi bem custoso, o qual decidi montar este artigo para ajudar quem queira utilizar o IPED no Linux (Debian)

Para utilização do IPED foi necessário instalar algumas dependência, instalar ORACLE-JAVA, compilar o libewf, sleuthkit e alterar as configurações do IPED.

Instalação

Este guia foi baseado para distribuições DEBIAN. Primeiramente vamos instalar algumas dependências que serão necessárias para utilização do IPED e para compilação de alguns Softwares.

sudo apt-get update

sudo apt-get install build-essential curl zlib1g-dev git libfuse-dev vim autoconf automake autopoint libtool pkg-config flex byacc libcrypto++-dev testdisk tesseract-ocr tesseract-ocr-por tesseract-ocr-osd mplayer libparse-win32registry-perl libesedb-utils imagemagick libmsiecf-utils libafflib-dev libewf-dev libvmdk-dev libxtst6 libxi6 libpff1 openjfx

Instalando o Java

Faça o download do JAVA versão 8. No comando abaixo já faz o download e aceita a licença.

INFORMAÇÃO
IPED funciona bem em ORACLE-JAVA. Na versão OPEN-JDK tive problemas de compilação.
curl -L -b "oraclelicense=a" -O https://download.oracle.com/otn-pub/java/jdk/8u191-b12/2787e4a523244c269598db4e85c51e0c/jdk-8u191-linux-x64.tar.gz
sudo mkdir /usr/local/oracle-java-8
sudo tar -zxf jdk-8u191-linux-x64.tar.gz -C /usr/local/oracle-java-8/
sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/java" 1500
sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javac" 1500
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javaws" 1500

Download dos aplicativos

INFORMAÇÃO
Este guia se baseia especificamente nas versões:
– libewf, release 64bits
– sleuthkit, release 4.6.0
– IPED, 3.14.5

Faça o download do libewf, sleuthkit e do IPED:

curl -L -O https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.6.0/sleuthkit-4.6.0.tar.gz
wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-3.14.5-with-extra-tools.zip
wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-Manual_pt-BR.pdf
git clone https://github.com/libyal/libewf.git

Após o Download de todos os programas, vamos descompactar tudo que iremos utilizar.

tar -xvf sleuthkit-4.6.0.tar.gz
unzip IPED-3.14.5-with-extra-tools.zip

Compilando libewf

Proceder com a compilação do libewf, atenção com os comandos pois é um pré requisito pro sleuthkit.

ATENÇÃO
A compilação do libewf deverá ser feito com SUDO
cd libewf/
sudo ./synclibs.sh 
sudo ./autogen.sh
sudo ./configure
sudo make
sudo make install
sudo ldconfig

Durante a compilação, poderá ter apresentado alguns warnings, dos quais não serão impedimentos para a compilação e instalação das librarias.

Compilando sleuthkit

ATENÇÃO
Não utilize apt-get install sleuthkit, não funciona pro IPED assim, é necessário compilar.

Antes de compilar o sleuthkit é necessário alterar o termo “libewf_handle_read_random” por “libewf_handle_read_buffer_at_offset” no arquivo arquivo fonte “ewf.c” em /tsk/img.

Se preferir pode utilizar o comando “sed” abaixo

cd sleuthkit-4.6.0/tsk/img/
sed -i 's/libewf_handle_read_random/libewf_handle_read_buffer_at_offset/' ewf.c

Após a edição do código fonte, proceda com a compilação. Agora proceda com a compilação.

ATENÇÃO
A compilação do sleuthkit deverá ser feito com SUDO.
cd sleuthkit-4.6.0/
sudo ./configure
sudo make
sudo make install
sudo ldconfig

Instalando a última dependência.

Para funcionar o tsk_loaddb (complemento de leitura de imagens do Sleuthkit) precisa da seguinte dependência: libtsk-dev

Comentário: Esta dependência não foi informado no inicia do guia propositalmente, visto que se já estiver instalado na maquina, a compilação do sleuthkit será problemática.

Proceda com a instalação:

sudo apt-get install libtsk-dev
sudo ldconfig

Testando algumas coisas.

O IPED utiliza alguns softwares aparte, se é necessário verificar se estão sendo executados (se estão no PATH) e se não apresentam algum erro por falta de dependência. Então, teste os seguintes programas:

mplayer
tsk_loaddb -V

Se não houve erros, estamos quase terminando.

Alterando configurações do IPED

Após a compilação do sleuthkit, deverá estar em sua maquina o seguinte arquivo: /usr/local/share/java/sleuthkit-4.6.0.jar confirme, se estiver de acordo edite o arquivo LocalConfig.txt do IPED e acrescente a linha:

tskJarPath = /usr/local/share/java/sleuthkit-4.6.0.jar

Executando o IPED pela primeira vez

Utilizar o IPED no Linux é o mesmo que no Windows, com a exceção do resultado (mais abaixo explico), então, para executar basta:

sudo java -jar iped.jar -d /home/leforense/cfreds_rm.E01 -o /home/leforense/caseXYZ/iped/ --nogui

NOTA!

O IPED funciona tanto em linha de comando como em interface gráfica conforme exemplos:

Executando o Processador de Evidência do IPED

Quando termina a execução do IPED, ele gera um arquivo .EXE no diretorio criado, que é um atalho para o JAVA, em ambiente LINUX é necessário executar na mão. Lembre-se que o diretório “/home/leforense/caseXYZ….’ se refere na minha maquina, então deverá referenciar o do seu caso.

sudo java -jar /home/leforense/caseXYZ/iped/indexador/lib/iped-search-app.jar 

Conclusão

Este guia foi baseado para distribuições DEBIAN, em breve farei o mesmo para distribuição CentOS.

Durante a execução do IPED ele referência a aplicar uns PATCH no código fonte do sleuthkit e depois compilar novamente, eu tentei algumas vezes e deu muito errado. Quando entender melhor farei a atualização deste post.

Qualquer dúvida ou ajuda para instalar o IPED pode me procurar. Também já deixo logo um excelente vídeo explicativo do IPED desenvolvido pelo Marcos Monteiro, pode assistir aqui no Youtube.

Referências

Pagina oficial do IPED

Readme do IPED no Github

Repositório do Atila Romero no Github

Agradecimentos

O sucesso deste artigo, devo agradecer primeiramente a Deus por me guiar e me dar a persistência das várias tentativas. Em seguida agradeço enormemente a Luis Nassif, Atila Romero e Gabriel, da PF que estão a frente do desenvolvimento do IPED.

About The Author

Related posts

9 Comments

  1. Cristiano b Martins

    Valeu aí amigão, fazer funcionar já da trabalho, e documentar tudo pra quem faz a coisa funcionar é uma tarefa muito difícil, e vc o fez com sucesso. Parabéns

    Reply
    1. Luiz Le-Fort

      Duilio, eu particularmente gosto da família Debian e RHEL. Não sei lhe responder se de fato é possível rodar ou não, mas o iPED precisa do FTK e do JAVA, se esses dois funcionam em Arch Linux, acredito que há uma possibilidade de fazer-lo funcionar no Arch Linux. Compartilha ai o problema que esta tendo no Arch Linux…. posso montar uma VM para brincar a respeito um dia desses ai…

      Reply
  2. André

    Parabéns pelo artigo, estava seguindo seu passo a passo. Mas ao final não criou o arquivo /usr/local/share/java/sleuthkit-4.6.0.jar

    Sabe o que pode ser?

    Estou usando Debian 9.9 x64 e precisei instalar o Oracle Java 11 porque a versão 8 não está mais disponível.

    Reply
  3. ARISTOTELES

    Olá Luiz.

    Segui todo o tutorial e não recebi qualquer erro, mas não aparece o arquivo sleuthkit-4.6.0.jar em lugar algum. Usando Ubuntu 19.04.

    Alguma dica?

    Obrigado e parabéns pela iniciativa.

    Reply

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *