Aquisição com DD
Em algumas situações, talvez você precise fazer a aquisição forense de uma imagem ou de um disco inteiro via DD, esta não é uma opção muito utilizada, mas é importante ter a ciência da opção. Prefira utilizar o DCFLDD que é um DD melhorado, consulte na próxima página.
1. Execute fdisk -l para listar os discos disponíveis, anote o device e o block;
fdisk -l
2. Execute o DD informando a ENTRADA, BS e SAÍDA, conforme exemplo;
sudo dd if=/dev/sde bs=512 of=LEFORENSEDD
3. Aguarde a finalização do DD, e verifique o hash manualmente, com sha1sum e md5sum;
sudo sha1sum /dev/sde sudo sha1sum LEFORENSEDD
o DD é uma opção, sem compressão nenhuma, ele é necessário citar já que eventualmente você precise fazer uma aquisição forense, em um “NAS” por exemplo, e só tem disponível o DD, então, é a única forma de realizar a aquisição para pericia.
Aquisição com DCFLDD
A grande diferença que o DCFLDD é uma versão aprimorada do DD, focado para analise forense, por que nós permite os seguinte recursos:
- Hashing on-the-fly – permite fazer o hash de todos os arquivos de entrada e saída durante a transferencia, mantendo a integridade;
- Status output – pode atualizar o usuário de seu progresso em termos da quantidade de dados transferidos e quanto tempo a operação levará;
- Flexible disk wipes – pode ser usado para limpar discos rapidamente e com um padrão conhecido, se desejado;
- Image / wipe Verify – pode verificar se uma unidade de destino é uma correspondência bit-a-bit do arquivo ou padrão de entrada especificado;
- Multiple outputs – pode produzir múltiplos arquivos ou discos ao mesmo tempo;
- Split output – pode dividir a saída em vários arquivos.
Sua utilização é muito semelhante ao “DD”, que poderá consultar o seu artigo nas paginas anteriores, para a utilização do DCFLDD siga os passos:
2. Execute o fdisk -l para listar todos os discos, anote o disco que irá trabalhar e o tamanho do sector;
2. Execute a coleta conforme exemplo, (vide transcriação de parâmetros abaixo);
sudo dcfldd => Programa; if=/dev/sde => Dispositivo / unidade de entrada; hash=md5,sha1 => Realizar a integridade dos arquivos pelos hash MD5 e SHA1; md5log=md5log.txt => Log referente ao MD5; sha1log=sha1log.txt => Log referente a SHA1; hashconv=after => Realiza o teste de hash depois; bs=512 => Tamanho do setor; conv=noerror,sync => Executa melhor, e em caso de erros ele irá parar; split=1500M => Define que o tamanho maximo do arquivo é de 1500Megas, ou seja, será dividio; splitformat=000 => A extensão do arquivo, em caso de divisão em multiplos arquivos; of=TESTLEFORENSE => Dispositivo / Arquivo de saída, neste caso, salvando no diretorio de execução.
sudo dcfldd if=/dev/sde hash=md5,sha1 md5log=md5log.txt sha1log=sha1log.txt hashconv=after bs=512 conv=noerror,sync split=1500M splitformat=000 of=LEFORENSE
3. Aguarde a conclusão da coleta, conforme exemplos;
4. Valide a saída dos arquivos, e os HASH gerado;
Aquisição com DC3DD
O DC3DD é muito similar ao DCFLDD, ele foi desenvolvido pela DoD Cyber Crime Center, ele é atualizado quando o DD é atualizado, veja como usar (vide transcrição dos parâmetros abaixo):
if => Arquivo de entrada of => Arquivo de saída bs => tamanho do bloco (padrão é 512) hash => Definição do arquivo HASH log => Arquivo de log progress => Exibe status de progresso split => Divide o arquivo em vários pedaços no tamanho definido splitformat => o formato em que será dividido os arquivos.
dc3dd if=/dev/sdb of=leforense.img bs=512 hash=md5 log=dc3dd.log progress=on split=2G splitformat=000
Conclusão
Existem N formas de realizar uma aquisição forense, com aplicações pagas, outras open source e o velho DD. Na impossibilidade de usar algum outro aplicativo, prefiro o dcfldd.
