Aquisição de Imagem Forense com FTK Windows

Aquisição de Imagem Forense com FTK Windows

Introdução

Esta é uma aquisição das mais simples e de grande didática, pois os processos realizados em discos virtuais é o mesmo para discos físicos, havendo poucas mudança no processo.

ATENÇÃO
Neste artigo não será citado sobre CADEIA DE CUSTODIA, cabe aqui ao perito realizar os devidos cuidados.

Para esta coleta será utilizado o FTK Imager For Windows e For Linux, acompanhe.

Aquisição forense FTK Imager for Windows

Para realizar a coleta / aquisição forense de uma maquina virtual, utilizando o FTK Imager for Windows, proceder da seguinte forma

2. Com a maquina desligada, abra o FTK Imager no Windows, e selecione a opção File –> Create Disk Image;


3. Selecione a opção para o propósito (vide tabela abaixo para entender as opções);

  • Physical Drive: Aquisição de um disco físico;
  • Logical Drive: Aquisição de uma unidade de disco já montada no Windows;
  • Image File: Aquisição de um disco virtual;
  • Contents of a Folder: Aquisição de um diretório, esta opção ira usar uma unidade Lógica, e não irá fazer a coleta de arquivos excluídos, espaço não alocado, etc;
  • Fernico Device: Aquisição a partir de um dispositivo Fernico (não é um CD/DVD);

4. Selecione o disco virtual, conforme exemplo;

5. Selecione, o formato do destino da imagem, particularmente eu prefiro o E01, apesar de proprietário, muitas outras ferramentas conseguem ler este tipo de imagem. (vide tabela para entender as opções);

  • Raw (DD): esse tipo de imagem é bit a bit, sem compressão de dados;
  • SMART: originalmente era um software desenvolvido para Linux, adquirido pela EnCase, permite fazer a copia forense comprimida ou não comprimida como bitstream. Esse tipo de imagem não se utiliza mais ;
  • E01: este formato é fortemente baseado no formato ASR Data’s Expert Witness Compression Format. EnCase’s Evidence File. Este formato contém um fluxo de bits físico de um disco adquirido, prefixado com um cabeçalho “Case Info”, entrelaçado com somas de verificação (Adler-32) para cada bloco de 64 setores (32 KB) e seguido por um rodapé contendo um hash MD5/SHA1 para todo o fluxo de bits. Contidos no cabeçalho estão a data e a hora da aquisição, o nome do examinador, notas sobre a aquisição e uma senha opcional; o cabeçalho é concluído com sua própria soma de verificação. Este é o formato mais utilizado.;
  • AFF: o AFF foi criado para ser um formato de arquivo aberto e extensível para armazenar imagens de disco e metadados associados. O objetivo era criar um formato de imagem de disco que não bloqueasse os usuários em um formato proprietário que pudesse limitar a maneira como ele poderia analisá-lo.

6. Introduza as informações relevantes para a evidencia;

7. Defina o diretório/disco de onde será armazenado a imagem, o nome da imagem, e defina a compressão de dados (quanto maior, menor o tamanho, no entanto, maior processamento);

ATENÇÃO
Não utilize a opção de “AD Encryption” caso contrario somente será possível usar pelo FTK, impossibilitando de usar a imagem em indexadores forense

8. Marque a opção de verificar a imagem após o termino;

9. Aguarde o processo;

10. Aguarde a verificação da imagem;

11. Conclusão da aquisição forense, comparativo dos HASH md5 e sha1, é importante documentar.

Ao concluir a aquisição, o FTK irá gerar um arquivo .txt do mesmo nome da imagem setado, contendo a data de inicio, data de finalização, os HASH gerado das imagens tanto de origem como de destino.

Consulte demais guias de aquisição em diferentes sistemas operacionais.

About The Author

Related posts

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *