SOFTWARES NO EWF-TOOLS

Por João Pedro Keidji Tsukahara

EWF-Tools

Estudo acerca dos softwares presentes no ewf-tools para fins de documentação e criação de acervo de conteúdo voltado â Segurança Cibernética e Forense Digital na Academia de Forense Digital

Orientador(a): Renan Cavalheiro

Londrina – PR

2020

SUMÁRIO

INTRODUÇÃO                                                                                                                           3

1 CONCEITO DE EWF-TOOLS                                                                                                3

2 PROCEDIMENTO DE COLETA DE EVIDÊNCIA                                                               3

2.1 Localizando a mídia de armazenamento                                                                           3

2.2 Coleta e verificação da integridade                                                                                   5

2.3 Informações da mídia coletada                                                                                          8

2.4 Exportação e montagem                                                                                                    9

2.5 Ewfacquirestream                                                                                                            10

CONCLUSÃO                                                                                                                           12

BIBLIOGRAFIA                                                                                                                       12

INTRODUÇÃO

No presente artigo, iremos analisar os softwares presentes no EWF-tools, apresentando o seu conceito, bem como a finalidade de cada um deles no contexto da realização de uma perícia forense. Assim, objetiva-se demonstrar a sua importância, bem como o passo a passo de sua utilização para a coleta de uma evidência digital.

 

1 CONCEITO DE EWF-TOOLS

A respeito dos arquivos EWF (Expert Witness Compression Format) conceitua Andrea Fortuna:

Os arquivos EWF consistem em uma ou mais seções, cada uma com seu próprio cabeçalho e dados de fixidez de nível de seção, geralmente na forma de uma soma de verificação Adler-32 , compactados em pedaços de 32 kb que são armazenados em agrupamentos dentro do arquivo para melhorar eficiência de acesso aleatório.(FORTUNA, 2018, [s.n.])

 

Assim, o EWF-tools consiste em um conjunto de ferramentas utilizadas para trabalhar com arquivos em formato EWF, realizando a coleta, verificando a integridade, dentre outras funcionalidades. Essas ferramentas utilizam a biblioteca libewf, que dá suporte à leitura e gravação de formatos EWF. A sua extensão padrão é E01, por sua compatibilidade com a maior parte dos softwares forenses.

As ferramentas presentes no EWF-tools são: ewfacquire, ewfverify, ewfexport, ewfmount, ewfrecover e ewfinfo. Ademais, há uma ferramenta experimental que, no momento, não realiza nenhuma operação, chamada de ewfdebug. Há, ainda, o ewfacquirestream, que realiza a coleta de mídias stdin/pipe. A seguir, iremos analisar a funcionalidade de cada uma dessas ferramentas, no contexto da realização de uma perícia forense.

 

2 PROCEDIMENTO DE COLETA DE EVIDÊNCIA

A seguir, será analisado o passo a passo prático para coleta de evidência presente no meio digital, por meio da utilização das ferramentas EWF.

 

2.1 Localizando a mídia de armazenamento

            O primeiro passo a ser seguido, antes da realização de uma coleta, é localizar o disco e suas respectivas partições, para que o procedimento seja feito corretamente.

No caso abaixo, será coletado o disco /dev/sdb, o qual possui 3.8GB (Base2) ou 4GB (Base10). É importante tomar cuidado para não cometer erros nessa fase, como, por exemplo, coletar somente uma partição. Ademais, para realizar o procedimento, é necessário ter acesso “root”. A figura 1, abaixo, ilustra a localização da mídia a ser coletada:

Figura 1 – Listagem das mídias de armazenamento por meio de fdisk

Fonte: PrintScreen da interface de linha de comando.

Vale ressaltar que existem outros comandos por meio dos quais é possível fazer a listagem das mídias de armazenamento e suas partições, como é o caso do lsblk, conforme ilustrado na figura 2:

Figura 2 – Listagem das mídias de armazenamento por meio de lsblk

Fonte: PrintScreen da interface de linha de comando.

2.2 Coleta e verificação da integridade

Após a localização da mídia de armazenamento a ser coletada, será feita a sua coleta com o software ewfacquire, o qual, por padrão, não necessita de parâmetros. Contudo, é possível adicionar parâmetros adicionais, tais como opções de hash, saída de log, dentre outros. Nesse caso, também é necessário ter acesso “root”. Na figura 3, temos a sintaxe padrão do ewfacquire:

Figura 3 – Sintaxe padrão do ewfacquire

Fonte: PrintScreen da interface de linha de comando.

Por padrão, o próprio software detecta e seleciona automaticamente uma opção, mas é possível selecionar como desejado, conforme ilustrado nas figuras 4 e 5:

Figura 4 – Coleta da mídia de armazenamento /dev/sdb

Fonte: PrintScreen da interface de linha de comando.

Figura 5 – Coleta da mídia de armazenamento /dev/sdb

Fonte: PrintScreen da interface de linha de comando.

Ao final da coleta será exibido um hash, que se localiza dentro da estrutura da evidência que foi coletada, conforme mostra a figura 6:

Figura 6 – Hash localizado dentro da estrutura da evidência

Fonte: PrintScreen da interface de linha de comando.

Para realizar a verificação da integridade da evidência coletada, é utilizado o ewfverify, que irá comparar o hash que estará dentro da evidência com a que será realizada no momento.

Figura 7 – Verificação de integridade da evidência coletada com ewfverify

Fonte: PrintScreen da interface de linha de comando.

Conforme visto na figura 7, os hash’s são idênticos, o que garante sua integridade. Contudo, caso a evidência esteja corrompida, é possível tentar restaurá-la utilizando o ewfrecover.

Figura 8 – Restauração da evidência com o ewfrecover

Fonte: PrintScreen da interface de linha de comando.

No exemplo acima, como a evidência não está corrompida, nenhuma ação foi realizada.

2.3 Informações da mídia coletada

Para verificar os metadados de uma mídia coletada, é possível utilizar o ewfinfo, desde que essa possua essas informações armazenadas em sua estrutura e tenha a compatibilidade com o software. Assim, na figura 9, são exibidas as informações da coleta realizada, tais como tamanho, data da coleta, hash, dentre outras informações.

Figura 9 – Metadados da mídia coletada

Fonte: PrintScreen da interface de linha de comando.

2.4 Exportação e montagem

É possível, ainda, utilizando o ewfexport, exportar a evidência para outros formatos. No exemplo mostrado na figura 10, a evidência com formato E01 está sendo exportada para o formato raw, de modo que, ao final do processamento, será gerado um hash que estará dentro de um arquivo de texto:

Figura 10 – Exportação de mídia do formato E01 para raw

Fonte: PrintScreen da interface de linha de comando.

Para realizar a montagem de uma evidência, é necessário criar um ponto de montagem, conforme ilustrado pela figura 11. É importante destacar que o ponto de montagem poderá ser acessado, posteriormente, por meio da utilização de softwares forenses.

Figura 11 – Criação de ponto de montagem

Fonte: PrintScreen da interface de linha de comando.

2.5 Ewfacquirestream

Por fim, temos o ewfacquirestream, responsável por realizar a coleta de mídias stdin/pipe. Acerca das mídias stdin, pontua Daniel Carmo Olops:

Todos os programas que fazem interface com o usuário precisam receber por algum meio as informações passadas por ele. O meio mais antigo e comum do usuário passar informações a um programa é via teclado. Por isto mesmo, ele é considerado a entrada padrão, e é daí que vem o nome stdin (STandarD INput, ou Entrada Padrão). (OLOPS, 2007, [s.n.])

Vale mencionar, ainda, o conceito de mídias pipe:

Pipes e Filtros é um estilo arquitetural (Engenharia de Software) composto por uma cadeia de elementos de processamento, dispostos de forma tal que a saída de cada elemento é a entrada do próximo. É considerado como uma rede pela qual os dados fluem de uma extremidade (origem) à outra (destino). O fluxo de dados se dá através de pipes (canos) e os dados sofrem transformações quando processados nos filtros. (PIPES E FILTROS, 2018, [s.n.])

Assim, o ewfacquirestream pode ser conceituado como uma coleta em “tempo real”, e que pode ser utilizada de diversas formas. Nesse sentido, a figura 12 traz um exemplo do seu funcionamento, devendo ser ressaltado que todos os parâmetros podem ser adicionados na linha de comando:

Figura 12 – Exemplo de funcionamento do ewfacquirestream

Fonte: PrintScreen da interface de linha de comando.

Ao final da coleta, todo o ArquivoRaw.raw foi copiado e, assim, criado o image.E01. Vale destacar o operador ‘<’ que foi utilizado, jogando a saída do arquivo raw para o ewfacquirestream, assim realizando a coleta.

CONCLUSÃO

Por meio da análise feita no presente artigo, foi possível concluir que, com o auxílio dos softwares presentes no ewf-tools, é possível realizar a coleta de uma evidência digital de forma a preservar sua integridade, além de auxiliar no processo da cadeia de custódia da evidência digital.

BIBLIOGRAFIA

FORTUNA, Andrea Fortuna. How to mount an EWF image file (E01) on Linux. Andrea Fortuna, 11 abr. 2018. Disponível em:<https://www.andreafortuna.org/2018/04/11/how-to-mount-an-ewf-image-file-e01-on-linux/>. Acesso em: 9 set. 2020.

OLOPS, Daniel Carmo. Prompt do Linux: stdin, stdout, stderr e seus truques (parte I). Guia do PC, 28 dez. 2007. Disponivel em: <https://www.guiadopc.com.br/artigos/693/prompt-do-linux-stdin-stdout-stderr-e-seus-truques-parte-i.html>. Acesso em: 15 ago. 2020.

PIPES E FILTROS. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation, 2018. Disponível em: <https://pt.wikipedia.org/w/index.php?title=Pipes_e_filtros&oldid=53460220>. Acesso em: 18 ago. 2020.



Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.