Introdução
No meu dia a dia utilizo o Linux como estação de trabalho, e ficava frustrado ter que usar o Windows para utilizar o IPED. Para quem não sabe, o IPED é um indexador de evidências digitais desenvolvido pela Polícia Federal do Brasil, que alias, tive o enorme prazer de conversar com os desenvolvedores. Voltando ao assunto, decidi colocar o IPED para funcionar no Linux, porem, com a falta de documentação foi bem custoso, o qual decidi montar este artigo para ajudar quem queira utilizar o IPED no Linux (Debian)
Para utilização do IPED foi necessário instalar algumas dependência, instalar ORACLE-JAVA, compilar o libewf, sleuthkit e alterar as configurações do IPED.
Instalação
Este guia foi baseado para distribuições DEBIAN. Primeiramente vamos instalar algumas dependências que serão necessárias para utilização do IPED e para compilação de alguns Softwares.
sudo apt-get update sudo apt-get install build-essential curl zlib1g-dev git libfuse-dev vim autoconf automake autopoint libtool pkg-config flex byacc libcrypto++-dev testdisk tesseract-ocr tesseract-ocr-por tesseract-ocr-osd mplayer libparse-win32registry-perl libesedb-utils imagemagick libmsiecf-utils libafflib-dev libewf-dev libvmdk-dev libxtst6 libxi6 libpff1 openjfx
Instalando o Java
Faça o download do JAVA versão 8. No comando abaixo já faz o download e aceita a licença.
curl -L -b "oraclelicense=a" -O https://download.oracle.com/otn-pub/java/jdk/8u191-b12/2787e4a523244c269598db4e85c51e0c/jdk-8u191-linux-x64.tar.gz
sudo mkdir /usr/local/oracle-java-8 sudo tar -zxf jdk-8u191-linux-x64.tar.gz -C /usr/local/oracle-java-8/ sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/java" 1500 sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javac" 1500 sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javaws" 1500
Download dos aplicativos
– libewf, release 64bits
– sleuthkit, release 4.6.0
– IPED, 3.14.5
Faça o download do libewf, sleuthkit e do IPED:
curl -L -O https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.6.0/sleuthkit-4.6.0.tar.gz wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-3.14.5-with-extra-tools.zip wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-Manual_pt-BR.pdf git clone https://github.com/libyal/libewf.git
Após o Download de todos os programas, vamos descompactar tudo que iremos utilizar.
tar -xvf sleuthkit-4.6.0.tar.gz unzip IPED-3.14.5-with-extra-tools.zip
Compilando libewf
Proceder com a compilação do libewf, atenção com os comandos pois é um pré requisito pro sleuthkit.
cd libewf/ sudo ./synclibs.sh sudo ./autogen.sh sudo ./configure sudo make sudo make install sudo ldconfig
Durante a compilação, poderá ter apresentado alguns warnings, dos quais não serão impedimentos para a compilação e instalação das librarias.
Compilando sleuthkit
Antes de compilar o sleuthkit é necessário alterar o termo “libewf_handle_read_random” por “libewf_handle_read_buffer_at_offset” no arquivo arquivo fonte “ewf.c” em /tsk/img.
Se preferir pode utilizar o comando “sed” abaixo
cd sleuthkit-4.6.0/tsk/img/ sed -i 's/libewf_handle_read_random/libewf_handle_read_buffer_at_offset/' ewf.c
Após a edição do código fonte, proceda com a compilação. Agora proceda com a compilação.
cd sleuthkit-4.6.0/ sudo ./configure sudo make sudo make install sudo ldconfig

Instalando a última dependência.
Para funcionar o tsk_loaddb (complemento de leitura de imagens do Sleuthkit) precisa da seguinte dependência: libtsk-dev
Comentário: Esta dependência não foi informado no inicia do guia propositalmente, visto que se já estiver instalado na maquina, a compilação do sleuthkit será problemática.
Proceda com a instalação:
sudo apt-get install libtsk-dev sudo ldconfig
Testando algumas coisas.
O IPED utiliza alguns softwares aparte, se é necessário verificar se estão sendo executados (se estão no PATH) e se não apresentam algum erro por falta de dependência. Então, teste os seguintes programas:
mplayer tsk_loaddb -V
Se não houve erros, estamos quase terminando.
Alterando configurações do IPED
Após a compilação do sleuthkit, deverá estar em sua maquina o seguinte arquivo: /usr/local/share/java/sleuthkit-4.6.0.jar confirme, se estiver de acordo edite o arquivo LocalConfig.txt do IPED e acrescente a linha:
tskJarPath = /usr/local/share/java/sleuthkit-4.6.0.jar
Executando o IPED pela primeira vez
Utilizar o IPED no Linux é o mesmo que no Windows, com a exceção do resultado (mais abaixo explico), então, para executar basta:
sudo java -jar iped.jar -d /home/leforense/cfreds_rm.E01 -o /home/leforense/caseXYZ/iped/ --nogui
NOTA!
O IPED funciona tanto em linha de comando como em interface gráfica conforme exemplos:


Executando o Processador de Evidência do IPED
Quando termina a execução do IPED, ele gera um arquivo .EXE no diretorio criado, que é um atalho para o JAVA, em ambiente LINUX é necessário executar na mão. Lembre-se que o diretório “/home/leforense/caseXYZ….’ se refere na minha maquina, então deverá referenciar o do seu caso.
sudo java -jar /home/leforense/caseXYZ/iped/indexador/lib/iped-search-app.jar

Conclusão
Este guia foi baseado para distribuições DEBIAN, em breve farei o mesmo para distribuição CentOS.
Durante a execução do IPED ele referência a aplicar uns PATCH no código fonte do sleuthkit e depois compilar novamente, eu tentei algumas vezes e deu muito errado. Quando entender melhor farei a atualização deste post.
Qualquer dúvida ou ajuda para instalar o IPED pode me procurar. Também já deixo logo um excelente vídeo explicativo do IPED desenvolvido pelo Marcos Monteiro, pode assistir aqui no Youtube.
Referências
Repositório do Atila Romero no Github
Agradecimentos
O sucesso deste artigo, devo agradecer primeiramente a Deus por me guiar e me dar a persistência das várias tentativas. Em seguida agradeço enormemente a Luis Nassif, Atila Romero e Gabriel, da PF que estão a frente do desenvolvimento do IPED.
Muito bom Luiz, parabéns pela iniciativa.
Muito obrigado, parabéns!
Muito bom o material.
Vou estudar.
Valeu aí amigão, fazer funcionar já da trabalho, e documentar tudo pra quem faz a coisa funcionar é uma tarefa muito difícil, e vc o fez com sucesso. Parabéns
Show de bola!
tem como fazer no arch linux?
Duilio, eu particularmente gosto da família Debian e RHEL. Não sei lhe responder se de fato é possível rodar ou não, mas o iPED precisa do FTK e do JAVA, se esses dois funcionam em Arch Linux, acredito que há uma possibilidade de fazer-lo funcionar no Arch Linux. Compartilha ai o problema que esta tendo no Arch Linux…. posso montar uma VM para brincar a respeito um dia desses ai…
Parabéns pelo artigo, estava seguindo seu passo a passo. Mas ao final não criou o arquivo /usr/local/share/java/sleuthkit-4.6.0.jar
Sabe o que pode ser?
Estou usando Debian 9.9 x64 e precisei instalar o Oracle Java 11 porque a versão 8 não está mais disponível.
Poderia fazer um tutorial para o mac os ?
Olá Luiz.
Segui todo o tutorial e não recebi qualquer erro, mas não aparece o arquivo sleuthkit-4.6.0.jar em lugar algum. Usando Ubuntu 19.04.
Alguma dica?
Obrigado e parabéns pela iniciativa.