Área do Aluno
EAD

Aquisição lógica personalizada

Registro acerca da realização da aquisição lógica de conversão de formato de imagens para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital
Orientador (a): Renan Cavalheiro

RIO DE JANEIRO – RJ

RESUMO

Este trabalho apresenta de forma prática a elucidação de um dos processos utilizados para a realização da aquisição lógica de forma personalizada, com a utilização do software FTK imager.

Então, registrando assim outras formas que podem ser utilizadas na exploração durante uma
investigação.

Sumário

RESUMO

OBJETIVO

JUSTIFICATIVA

AFD TECH: AQUISIÇÃO LÓGICA PERSONALIZADA

FTK IMAGER: AQUISIÇÃO LÓGICA PERSONALIZADA

BIBLIOGRAFIA

OBJETIVO

Dissertar de maneira introdutória sobre uma das metodologias utilizadas para realizar a aquisição lógica de forma personalizada.

Logo, utilizando o software FTK Imager para ilustrar a realização do processo de conversão de forma objetiva.

JUSTIFICATIVA

Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.

AFD TECH: AQUISIÇÃO LÓGICA PERSONALIZADA 

Então, quando o assunto é aquisição de dados e sua preservação, sabe-se que a mais completa se dá através da aquisição física e sabe-se também que nem sempre é possível trabalhar com a aquisição física, ou mesmo quando disponível.

Logo, existem alguns motivos para que se priorize a aquisição lógica antes de realizar a aquisição física.

Em algumas situações a aquisição de alguns arquivos que só estão ali enquanto o dispositivo encontra-se ligado pode ser interessante.

Portanto, utilizando o software FTK Imager, veremos como realizar o processo de aquisição personalizada.

Assim, selecionando os arquivos escolhidos e gerando uma imagem para que ainda sim, mesmo que de forma isolada, esses arquivos possam ser passíveis de serem investigados durante uma análise.

1 – FTK IMAGER: AQUISIÇÃO LÓGICA PERSONALIZADA

Com FTK Imager Iniciado, vamos adicionar o disco ao qual será realizada a aquisição.

Contudo, é importante ressaltar que no cenário de uma aquisição a quente, o FTK Imager deve ser executado de outro dispositivo, com a finalidade de minimizar alterações no disco de origem ao qual pretendemos realizar a aquisição.

Logo, prosseguindo em: “Arquivo > Add Evidence Item…

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 1 – FTK Imager – Image Evidence Item..

aquisição lógica

Selecione a opção “Logical Drive” e escolha o disco ao qual você desejar ter a visualização.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0


Figura 2 – FTK Imager – Logical

aquisição lógica

Em seguida, basta navegar no FTK Imager até o diretório desejado e com o botão direito, selecionar a opção “Add to Custom Content Image (AD1)”.

Em seguida, adicionaremos os o arquivo “Evidência 1.txt”, que encontra-se na área de trabalho.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0


Figura 3 – FTK Imager – Add to custom – Campo

aquisição lógica

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 4 – FTK Imager – Custom_01

aquisição lógica

Para este exemplo, buscaremos mais dois arquivos para adicionar, ambos de diretórios distintos. Para fins de ilustrar o método, utilizaremos os arquivos: Evidência 2.rtf Evidência 3.bmp.

Então, respectivamente estão no diretório do usuário, em Documents e Pictures, como na imagem abaixo:

Fonte: Autor

Figura 5 – FTK Imager – Custom_03

Assim, com os arquivos já selecionados, crie a imagem no botão “Create Image

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 6 – FTK Imager – Custom_03

aquisição lógica

Nesta janela, clique em “Add…” para adicionar informações sobre a imagem que será criada e seu destino.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0


Figura 7 – FTK Imager – Custom_04

Em seguida, na janela de Evidence Item Information, que pode ou não conter informações. Neste caso, como se trata de um exemplo, não há a necessidade de preenchimento.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 8 – FTK Imager – Image Custom_05

Então, ao avançar, selecione:

  • Image Destination Folder: Diretório da imagem criada
  • Image Filename: Nome do arquivo de saída, que neste exemplo é: “LabAquisiçãoLógicaPersonalizada”.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 9 – FTK Imager – Custom_06

  • Image Fragment Size (MB): Pode permanecer conforme o padrão neste momento
  • Compression: Pode permanecer conforme o padrão neste momento Sendo essas duas últimas são

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 10 – FTK Imager – Image Custom_07

aquisição lógica

Além disso, lembrado que é recomendado também ter a verificação de hash habilitada e o cálculo de progressão da tarefa ativa.

Dessa maneira, após a finalização, é possível ver a verificação do Hash já apresentada pelo FTK Imager.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 11 – FTK Imager – Image Final

No diretório de saída escolhido, encontraremos o arquivo de saída da aquisição lógica personalizada, juntamente com seu log de processamento.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 12 – Folder_File

Pode-se notar que o log apresenta informações relevantes para que a aquisição lógica personalizada tenha maior validade como evidência, uma vez que o AFK Imager gera durante e após o processo, dados como os dados do caso, informações relativas aos arquivos que estão ali, como seu diretório e nome originaldatas e informações de verificação e validação.

Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0

Figura 13 – Hash

Dados estes, que são de extrema relevância para a auditabilidade do trabalho de um perito. Principalmente, por conta de uma aquisição específica com um ou mais arquivos.

2    BIBLIOGRAFIA

 ACADEMIA DE FORENSE DIGITAL. Como realizar Aquisição lógica personalizada através do FTK Imager (Passo a Passo) Disponivel em: < https://www.youtube.com/watch?v=SUTSyv2Efy0>. Acesso em: 2021.

3    GLOSSÁRIO

Relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, utilizadas no texto, acompanhadas das respectivas definições.

 

logotipo

Contato

Atendimento Comercial

Seg – Sex: 09:00 – 18:00

Endereço:

Rua São Bento, 365, 8º andar, Centro, São Paulo-SP

CNPJ/Razão Social:

26.140.618/0001-40 / Academia de Forense Digital LTDA

Telefone:

+55 11 98594-6809

Menu

  • Copyright © 2024. Todos os direitos reservados
Close

Plano Expert

  • ABNT ISO 27037;
  • Análise Forense de Malware;
  • Autopsy Forensics: do Zero ao Avançado;
  • Computação Forense;
  • Criptografia com Passware Forensics;
  • Cyber Security Pentest;
  • Forense em Assinatura Eletrônica;
  • Forense em Dispositivos Móveis;
  • Forense em Internet e OSINT;
  • Forense em Memória;
  • Investigação de Ataques Ransomware;
  • IPED-Forensics: do Zero ao Avançado;
  • Metodologias Nacionais de Perícia Digital;
  • Passware Kit Forensics;
  • Resposta a Incidentes;
  • Threat Intelligence.

Plano Detective

  • Análise de Malware Starter;
  • Análise de Superfície de Ataque Externa (EASM) usando ThingsRecon;
  • Caça a Infraestruturas de Malwares;
  • Conceitos de Telefonia Digital e Analógica;
  • Critical Security Controls;
  • Cyber Kill Chain;
  • Dns Da CloudFlare Proteja Seus Servidores;
  • Due Care e Due Dilligence;
  • Engenharia Social e Conscientização;
  • Entendendo TCP/IP e Equipamentos de Redes;
  • Fundamentos de Direito Digital;
  • Fundamentos de Forense Digital;
  • Fundamentos de Redes de Computadores;
  • Indústria 4.0 - Tecnologias Emergentes;
  • Internet Desvendada Aprenda como tudo se conecta;
  • Introdução a Ataques Ransomware;
  • Introdução à Cloud Computing;
  • Introdução à Criptografia;
  • Introdução à Teoria Psicanalítica em Direção à Saúde Mental;
  • Introdução ao Cloud Security;
  • Introdução ao Plano de Continuidade de Negócios;
  • Introdução ao RDStation Marketing;
  • LGPD para Profissionais de Tecnologia;
  • Mapeamento de Processos de Negócios;
  • Mitre Attack;
  • Noções Fundamentais de Telefonia IP;
  • OWASP Top 10;
  • PKI e Certificações Digitais;
  • Planejamento Proativo Capacitação em Continuidade de Negócios para o Sucesso Empresarial;
  • Ransomware e Segurança Defensiva;
  • Ransomware sob Controle Governança Corporativa para uma Defesa Ativa;
  • Resolvendo Desafios de CTF;
  • Roadmap para implantação do sistema de gestão de privacidade e proteção de dados no contexto LGPD;
  • Segurança Cibernética: Fundamentos e Estratégias de Defesa;
  • Segurança e Gerenciamento de Risco;
  • Setup 360º Instalação e Configuração do ISSABEL;
  • Setup 360º Instalação e Configuração do Linux CentOS9;
  • Shell Linux Básico;
  • Triagem de Malwares;
  • Volatility3 para Análise de Memória voltado a Identificação de Malware.

Plano Agent

  • Auditoria de TI na prática;
  • Como enriquecer eventos utilizando plugins no MISP;
  • Comunicação Não-Violenta;
  • Cyber Security Essentials;
  • DFIR Starter;
  • Fundamentos de Cibersegurança;
  • Fundamentos de Segurança da Informação;
  • Gestão de Riscos;
  • HTML5 e CSS3 para Iniciantes;
  • Introdução ao Direito;
  • LGPD para Profissionais de Tecnologia;
  • Linkedin Campeão;
  • Mergulhando no submundo online;
  • Mobile Forensics Starter;
  • Oratória e Comunicação;
  • Os perigos da Desinformação
  • Perito Forense Digital;
  • Português Instrumental;
  • Setup 360º Instalação e Configuração do Linux Debian 11;
  • Setup 360º Instalação e Configuração do PFSense;
  • Threat Intelligence Starter;
  • Webinar Profissional Com Obs Studio.