Registro acerca da realização da aquisição lógica de conversão de formato de imagens para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital
Orientador (a): Renan Cavalheiro
RIO DE JANEIRO – RJ
RESUMO
Este trabalho apresenta de forma prática a elucidação de um dos processos utilizados para a realização da aquisição lógica de forma personalizada, com a utilização do software FTK imager.
Então, registrando assim outras formas que podem ser utilizadas na exploração durante uma
investigação.
Sumário
RESUMO
OBJETIVO
JUSTIFICATIVA
AFD TECH: AQUISIÇÃO LÓGICA PERSONALIZADA
FTK IMAGER: AQUISIÇÃO LÓGICA PERSONALIZADA
BIBLIOGRAFIA
OBJETIVO
Dissertar de maneira introdutória sobre uma das metodologias utilizadas para realizar a aquisição lógica de forma personalizada.
Logo, utilizando o software FTK Imager para ilustrar a realização do processo de conversão de forma objetiva.
JUSTIFICATIVA
Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.
AFD TECH: AQUISIÇÃO LÓGICA PERSONALIZADA
Então, quando o assunto é aquisição de dados e sua preservação, sabe-se que a mais completa se dá através da aquisição física e sabe-se também que nem sempre é possível trabalhar com a aquisição física, ou mesmo quando disponível.
Logo, existem alguns motivos para que se priorize a aquisição lógica antes de realizar a aquisição física.
Em algumas situações a aquisição de alguns arquivos que só estão ali enquanto o dispositivo encontra-se ligado pode ser interessante.
Portanto, utilizando o software FTK Imager, veremos como realizar o processo de aquisição personalizada.
Assim, selecionando os arquivos escolhidos e gerando uma imagem para que ainda sim, mesmo que de forma isolada, esses arquivos possam ser passíveis de serem investigados durante uma análise.
1 – FTK IMAGER: AQUISIÇÃO LÓGICA PERSONALIZADA
Com FTK Imager Iniciado, vamos adicionar o disco ao qual será realizada a aquisição.
Contudo, é importante ressaltar que no cenário de uma aquisição a quente, o FTK Imager deve ser executado de outro dispositivo, com a finalidade de minimizar alterações no disco de origem ao qual pretendemos realizar a aquisição.
Logo, prosseguindo em: “Arquivo > Add Evidence Item…”
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 1 – FTK Imager – Image Evidence Item..
Selecione a opção “Logical Drive” e escolha o disco ao qual você desejar ter a visualização.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 2 – FTK Imager – Logical
Em seguida, basta navegar no FTK Imager até o diretório desejado e com o botão direito, selecionar a opção “Add to Custom Content Image (AD1)”.
Em seguida, adicionaremos os o arquivo “Evidência 1.txt”, que encontra-se na área de trabalho.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 3 – FTK Imager – Add to custom – Campo
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 4 – FTK Imager – Custom_01
Para este exemplo, buscaremos mais dois arquivos para adicionar, ambos de diretórios distintos. Para fins de ilustrar o método, utilizaremos os arquivos: Evidência 2.rtf e Evidência 3.bmp.
Então, respectivamente estão no diretório do usuário, em Documents e Pictures, como na imagem abaixo:
Fonte: Autor
Figura 5 – FTK Imager – Custom_03
Assim, com os arquivos já selecionados, crie a imagem no botão “Create Image”
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 6 – FTK Imager – Custom_03
Nesta janela, clique em “Add…” para adicionar informações sobre a imagem que será criada e seu destino.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 7 – FTK Imager – Custom_04
Em seguida, na janela de Evidence Item Information, que pode ou não conter informações. Neste caso, como se trata de um exemplo, não há a necessidade de preenchimento.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 8 – FTK Imager – Image Custom_05
Então, ao avançar, selecione:
- Image Destination Folder: Diretório da imagem criada
- Image Filename: Nome do arquivo de saída, que neste exemplo é: “LabAquisiçãoLógicaPersonalizada”.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 9 – FTK Imager – Custom_06
- Image Fragment Size (MB): Pode permanecer conforme o padrão neste momento
- Compression: Pode permanecer conforme o padrão neste momento Sendo essas duas últimas são
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 10 – FTK Imager – Image Custom_07
Além disso, lembrado que é recomendado também ter a verificação de hash habilitada e o cálculo de progressão da tarefa ativa.
Dessa maneira, após a finalização, é possível ver a verificação do Hash já apresentada pelo FTK Imager.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 11 – FTK Imager – Image Final
No diretório de saída escolhido, encontraremos o arquivo de saída da aquisição lógica personalizada, juntamente com seu log de processamento.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 12 – Folder_File
Pode-se notar que o log apresenta informações relevantes para que a aquisição lógica personalizada tenha maior validade como evidência, uma vez que o AFK Imager gera durante e após o processo, dados como os dados do caso, informações relativas aos arquivos que estão ali, como seu diretório e nome original, datas e informações de verificação e validação.
Fonte: https://www.youtube.com/watch?v=SUTSyv2Efy0
Figura 13 – Hash
Dados estes, que são de extrema relevância para a auditabilidade do trabalho de um perito. Principalmente, por conta de uma aquisição específica com um ou mais arquivos.
2 BIBLIOGRAFIA
ACADEMIA DE FORENSE DIGITAL. Como realizar Aquisição lógica personalizada através do FTK Imager (Passo a Passo) Disponivel em: < https://www.youtube.com/watch?v=SUTSyv2Efy0>. Acesso em: 2021.
3 GLOSSÁRIO
Relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, utilizadas no texto, acompanhadas das respectivas definições.
