Imagem e Espelhamento são técnicas de duplicação/cópia utilizadas na fase de coleta. Essas técnicas, ao serem realizadas através de softwares e equipamentos forenses, garantem uma cópia fiel dos dados e consequentemente a preservação correta do material que foi apreendido (ELEUTÉRIO; MACHADO, 2011).
A Cópia ou Imagem Forense é feita com o objetivo de garantir que a mídia questionada(suspeita) seja preservada, ou seja, mantida da mesma forma que foi adquirida dando transparência e credibilidade na aquisição das evidências.
Neste exemplo utilizaremos o Guymager, aplicativo gráfico que vem nativamente instalado no Linux CAINE. É um programa de geração de imagens forenses bastante amigável e capaz de gerar imagens em diversos formatos como: raw(dd), aff, ewf(E01 ou Encase), gerar imagens comprimidas entre outras funcionalidades.
CUIDADOS INICIAIS:
Primeiramente precisamos ter certos cuidados para que a evidência não seja comprometida, um deles é procurar verificar se a distribuição do linux CAINE faz a montagem automática “read and write” das mídias removíveis. No nosso caso como CAINE é uma distribuição forense, por padrão vem com a opção de montagem automática desabilitada, facilitando o nosso trabalho.
FAZENDO A CÓPIA FORENSE:
PASSO 1
Faça o download do Linux CAINE e instale em um Pen drive ou qualquer mídia externa.
PASSO 2
Desligue o computador pressionando a tecla “shift” até o final ou utilizando o comando “shutdown -s -t 0″(win 8 e 10) ou “shutdown /s /t 0″(win 7) digitando o comando no cmd do menu iniciar.
Obs.: Esta etapa é muito importante pois a partir do Windows 7 o processo de desligamento do sistema operacional funciona como um tipo de hibernação. Para dar mais agilidade na inicialização quando clicamos e pedimos para que o windows desligue na verdade o sistema hiberna, mantendo os sistemas de arquivos montados para que quando for ligado novamente inicie rapidamente. O grande problema é que se dermos boot com o CAINE pelo pen drive com o sistema de arquivos do windows montado não vamos conseguir fazer a cópia forense e visualizar as informações pois estarão criptografadas pelas partições do Windows.
PASSO 3
Inicie o computador dando boot pelo pen drive que foi instalado o CAINE.
PASSO 4
Acesse o Prompt de Comando do linux e digite os comandos:
$ sudo su(acessar como usuário root)
$ fdisk -l(mostra a letra que representa o disco rígido principal, por exemplo: /dev/sda)
Na tela mostra todas as mídias que estão presentes no sistema.
$mount(nas últimas linhas mostra se existe inicialmente alguma partição do disco montada, por exemplo: verificar se existe algum /dev/sda1).
Nesta tela mostra que não existe nenhuma partição /dev/sda1 por exemplo.
Obs.: Com esses passos vamos ter certeza que nenhuma mídia externa e partição estão montadas.
PASSO 5
Montar uma mídia para salvar a cópia da evidência precisamos abrir o programa “mounter” clicando com o botão direito no ícone verde que está na barra inferior e selecione a opção “Make WRITEABLE”, a cor do ícone vai mudar para vermelha.
Clique na opção “Yes” confirmando a mudança.
Vai mostrar uma tela com a lista de unidades disponíveis no sistema e em “Status” quais estão montadas e se estão como “Leitura”, “Escrita” ou desmontadas.
Clique com o botão esquerdo no ícone vermelho, vai abrir uma tela com as mídia, clique na mídia que deseja dar permissão para salvar a cópia da sua evidência e clique em “ok”.
Crie uma pasta para salvar a evidência chamada “imagem” na raiz da sua mídia.(Não crie essa pasta em um diretório longo, pode causar problemas.)
Obs.: Com as pasta “imagem” que será salva a evidência com permissão de escrita agora vamos começar a fazer a cópia forense.
PASSO 6
Abrir o programa “guymager” tire a imagem do dispositivo em formato Expert Witness Format(.EXX), salvando na pasta “imagem” do dispositivo escolhido para salvar a cópia da evidência. Utilizando a opção “Acquire imagem” e marcando a opção cálculo de HASH MD5 e escolhendo mais alguma opção de Hash clique para iniciar a cópia.
Clique em “Acquire imagem”.
Obs.: NÃO CLIQUE em “Clone device” pois vai danificar sua máquina.
Preencha as informações referentes a cópia da evidência que está sendo feita.
Com as informações preenchidas clique em “Start” para iniciar o processo de cópia forense.
PASSO 7
Após o termino feche o programa “guymager”, desplugue a evidência e verifique o arquivo com a extensão “.info” que foi gerado na mesma pasta da imagem.
(O Arquivo .info tem a lista de HASH da mídia questionada, essa lista de HASH da á segurança de que a cópia feita é do dispositivo original, garantindo a integridade da perícia).
Quando a cópia terminar em Status vai mostrar uma bolinha verde com Finish e em Progress ficará em 100%.
Depois da cópia finalizada você pode ir na pasta imagem que foi criada e verificar dois arquivos.
O primeiro é caso001.E01(cópia forense da evidência).
O segundo caso001.info(arquivo gerado com informações da cópia e principalmente o HASH para ser colocado no laudo).
Com todos os passos feitos, chega a hora de pegar a mídia da evidência original e lacrar discriminando as informações(Informações do caso, HASH e outras…) depois guardar em um local seguro para que seja mantida sua integridade e validade jurídica. A partir desse momento a cópia forense será utilizada pela perícia para as devidas análises e apuração de evidências para o caso em questão.
ESPECIFICAÇÕES TÉCNICAS:
Linux CAINE 9.0 e Guymager 0.8.4.
Espero que estas informações sejam úteis, grande abraço… 🙂