THIAGO PHILIPP

THIAGO PHILIPP

Especialista em Computação Forense & Perícia Digital
Clique aqui e também hospede seu site na Umbler.
Clique aqui e também conheça o projeto de compartilhamento coletivo de informações sobre Computação Forense e Perícia Digital, o Meetup Forense.

Blog

Fazendo uma cópia ou imagem forense utilizando o Guymager no Linux CAINE

14 de julho de 2019 / Computação Forense / 0 Comments

Imagem e Espelhamento são técnicas de duplicação/cópia utilizadas na fase de coleta. Essas técnicas, ao serem realizadas através de softwares e equipamentos forenses, garantem uma cópia fiel dos dados e consequentemente a preservação correta do material que foi apreendido (ELEUTÉRIO; MACHADO, 2011).

A Cópia ou Imagem Forense é feita com o objetivo de garantir que a mídia questionada(suspeita) seja preservada, ou seja, mantida da mesma forma que foi adquirida dando transparência e credibilidade na aquisição das evidências.

Neste exemplo utilizaremos o Guymager, aplicativo gráfico que vem nativamente instalado no Linux CAINE. É um programa de geração de imagens forenses bastante amigável e capaz de gerar imagens em diversos formatos como: raw(dd), aff, ewf(E01 ou Encase), gerar imagens comprimidas entre outras funcionalidades.

CUIDADOS INICIAIS:

Primeiramente precisamos ter certos cuidados para que a evidência não seja comprometida, um deles é procurar verificar se a distribuição do linux CAINE faz a montagem automática “read and write” das mídias removíveis. No nosso caso como CAINE é uma distribuição forense, por padrão vem com a opção de montagem automática desabilitada, facilitando o nosso trabalho.

FAZENDO A CÓPIA FORENSE:

PASSO 1

Faça o download do Linux CAINE e instale em um Pen drive ou qualquer mídia externa.

PASSO 2

Desligue o computador pressionando a tecla “shift” até o final ou utilizando o comando “shutdown -s -t 0″(win 8 e 10) ou “shutdown /s /t 0″(win 7) digitando o comando no cmd do menu iniciar.

Obs.: Esta etapa é muito importante pois a partir do Windows 7 o processo de desligamento do sistema operacional funciona como um tipo de hibernação. Para dar mais agilidade na inicialização quando clicamos e pedimos para que o windows desligue na verdade o sistema hiberna, mantendo os sistemas de arquivos montados para que quando for ligado novamente inicie rapidamente. O grande problema é que se dermos boot com o CAINE pelo pen drive com o sistema de arquivos do windows montado não vamos conseguir fazer a cópia forense e visualizar as informações pois estarão criptografadas pelas partições do Windows.

PASSO 3

Inicie o computador dando boot pelo pen drive que foi instalado o CAINE.

PASSO 4

Acesse o Prompt de Comando do linux e digite os comandos:

$ sudo su(acessar como usuário root)

$ fdisk -l(mostra a letra que representa o disco rígido principal, por exemplo: /dev/sda)

Na tela mostra todas as mídias que estão presentes no sistema.

$mount(nas últimas linhas mostra se existe inicialmente alguma partição do disco montada, por exemplo: verificar se existe algum /dev/sda1).

Nesta tela mostra que não existe nenhuma partição /dev/sda1 por exemplo.

Obs.: Com esses passos vamos ter certeza que nenhuma mídia externa e partição estão montadas.

PASSO 5

Montar uma mídia para salvar a cópia da evidência precisamos abrir o programa “mounter” clicando com o botão direito no ícone verde que está na barra inferior e selecione a opção “Make WRITEABLE”, a cor do ícone vai mudar para vermelha.

Clique na opção “Yes” confirmando a mudança.

Vai mostrar uma tela com a lista de unidades disponíveis no sistema e em “Status” quais estão montadas e se estão como “Leitura”, “Escrita” ou desmontadas.

Clique com o botão esquerdo no ícone vermelho, vai abrir uma tela com as mídia, clique na mídia que deseja dar permissão para salvar a cópia da sua evidência e clique em “ok”.

Crie uma pasta para salvar a evidência chamada “imagem” na raiz da sua mídia.(Não crie essa pasta em um diretório longo, pode causar problemas.)

Obs.: Com as pasta “imagem” que será salva a evidência com permissão de escrita agora vamos começar a fazer a cópia forense.

PASSO 6

Abrir o programa “guymager” tire a imagem do dispositivo em formato Expert Witness Format(.EXX), salvando na pasta “imagem” do dispositivo escolhido para salvar a cópia da evidência. Utilizando a opção “Acquire imagem” e marcando a opção cálculo de HASH MD5 e escolhendo mais alguma opção de Hash clique para iniciar a cópia.

Clique em “Acquire imagem”.

Obs.: NÃO CLIQUE em “Clone device” pois vai danificar sua máquina.

Preencha as informações referentes a cópia da evidência que está sendo feita.

Com as informações preenchidas clique em “Start” para iniciar o processo de cópia forense.

PASSO 7

Após o termino feche o programa “guymager”, desplugue a evidência e verifique o arquivo com a extensão “.info” que foi gerado na mesma pasta da imagem.
(O Arquivo .info tem a lista de HASH da mídia questionada, essa lista de HASH da á segurança de que a cópia feita é do dispositivo original, garantindo a integridade da perícia).

Quando a cópia terminar em Status vai mostrar uma bolinha verde com Finish e em Progress ficará em 100%.

Depois da cópia finalizada você pode ir na pasta imagem que foi criada e verificar dois arquivos.

O primeiro é caso001.E01(cópia forense da evidência).

O segundo caso001.info(arquivo gerado com informações da cópia e principalmente o HASH para ser colocado no laudo).

Com todos os passos feitos, chega a hora de pegar a mídia da evidência original e lacrar discriminando as informações(Informações do caso, HASH e outras…)  depois guardar em um local seguro para que seja mantida sua integridade e validade jurídica. A partir desse momento a cópia forense será utilizada pela perícia para as devidas análises e apuração de evidências para o caso em questão.

 

ESPECIFICAÇÕES TÉCNICAS:

Linux CAINE 9.0 e Guymager 0.8.4.

Espero que estas informações sejam úteis, grande abraço… 🙂

Write a Comment

Copyright © 2020 Todos os direitos reservados