Visualização de imagens através de softwares de virtualização

ACADEMIA DE FORENSE DIGITAL

IAGO BLAMBILA

AFD TECH

VISUALIZAÇÃO DE IMAGENS ATRAVÉS DE SOFTWARES DE VIRTUALIZAÇÃO

RIO DE JANEIRO – RJ

IAGO BLAMBILA

AFD TECH

VISUALIZAÇÃO DE IMAGENS ATRAVÉS DE SOFTWARES DE VIRTUALIZAÇÃO

Registro acerca do processo de visualização de arquivos criados a partir de uma aquisição através de softwares de virtualização, para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital

Orientador (a): Renan Cavalheiro

RIO DE JANEIRO – RJ

2021

OBJETIVO

Dissertar de maneira introdutória sobre uma das metodologias utilizadas para tornar imagens obtidas através de uma aquisição forense, em um arquivo que possa ser interpretado por softwares que apresentam os sistemas como uma máquina virtual. Utilizando o software FTK Imager para ilustrar a realização do processo de conversão de forma objetiva.

JUSTIFICATIVA

Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.

AFD TECH: COMO SUBIR UMA MÁQUINA VIRTUAL COM O FTK IMAGER

Durante uma investigação forense, após o procedimento de aquisição física do dispositivo investigado, várias análises distintas podem ser realizadas. Dentre elas, a necessidade de observar as mesmas evidencias através de outras perspectivas. Por exemplo, a observação do volume “shadow copy”, a visualização da área de trabalho como usuário, a visualização de uma possível evidência ao qual não existe um parser efetivo para o processamento, entre outras situações.

Utilizando o FTK imager é possível “subir” a imagem como uma máquina virtual sem a necessidade de realizar uma conversão da imagem trabalho do usuário

para verificar alguma evidência que não exista o parser (no momento da investigação)

1. FTK IMAGER: PROCESSO DE PREPARO

Com o FTK iniciado, vá para:

• Arquivo > Image Mouting…

Figura 1 – FTK Imager – Image Mouting

 (Less important)

Aqui nesta janela, no campo “Image”, selecione a imagem que você deseja utilizar.

Figura 2 – FTK Imager – Image File

 (Less important)

Type Mount: Tipo de montagem, selecione a opção Physical Only (Somente Física)

Ou seja, o montando a imagem como um disco físico.

Mount Method: A opção “Block Device/ Writable” é o método de montagem do disco. Nesta opção, o disco tem bloqueio de escrita habilitado, para que a imagem não seja alterada e uma opção de cache é ativada.

Write Cache Folder: É o diretório que o FTK imager utilizará para gerar o cache de utilização. Isso quer dizer que o usuário poderá simular alterações no disco, porém, salvando as alterações no diretório de cache e não diretamente na evidência. Neste caso, será utilizado a pasta de nome cache, criada na área de trabalho, apenas para fins de ilustração do processo.

Clicando no botão mount, o FTK Imager montará o arquivo “.vmdk“ como um disco físico.

Figura 3 – FTK Imager_01

software de virtualização

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE

O nome da unidade física montada pode variar de acordo com a quantidade de mídias já conectadas no computador utilizado. Neste caso já existem 2 unidades, por isso a unidade criada se chama “PhysicalDrive3”. Após as opções selecionadas, basta clicar no botão “fechar” e seguir para o próximo passo

Agora, através de um terminal (powershell ou cmd) como administrador, navegue até o diretório do seu VirtualBox e utilize os comandos abaixo. Eles serão utilizados para que o virtualbox interprete o disco físico montado e crie um ponteiro em .vmdk. Não será criado um novo arquivo e não haverá conversão de arquivos. Sintaxe abaixo criará um arquivo de ponteiro para que o próprio VirtualBox possa interpretar o disco montado e subi-lo como uma máquina virtual.

Observando então a sintaxe:

Figura 4 – Terminal

software de virtualização

Iniciando a sintaxe:

• .\VBoxManage.exe internalcommands createrawvmdk:

Sintaxe inicial para a criação do ponteiro que será utilizado para subir a VM

• filename: diretório e nome do arquivo criado

• rawdisk: diretório físico do qual será feito o ponteiro (em outras palavras, o disco físico que montamos com o FTK Imager)

Após a conclusão, uma mensagem de confirmação é exibida no terminal.

2. SUBINDO A IMAGEM

Utilizando agora o VirtualBox, criaremos uma nova máquina virtual. Escolha o nome, selecione o seu diretório da máquina e o tipo de sistema. No nosso exemplo, o arquivo de imagem se trata de um sistema Windows 10 x64.

Figura 5 – VBox_Creat_01

criar máquina virtual

Lembrando que a quantidade de memória e outras opções são relativas a cada sistema.

Após escolha da memória, nas opções de seleção para a criação da VM, selecione a opção: “Utilizar um disco rígido virtual existente”. Apenas com esta opção será possível utilizar o ponteiro criado.

Figura 6 – VBox_Creat_02

softwares de virtualização

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE

O virtual box criará uma máquina virtual a partir do ponteiro criado no terminal, que aponta para a unidade física ao qual o FTK Imager está emulando.

Selecione o ícone pasta marcado na imagem acima e aponte para o diretório do ponteiro que foi criado:

Figura 6 – VBox_Creat_03

visualização de imagens

Com o ponteiro selecionado, a VM já pode ser criada e utilizada como pelo VirtualBox normalmente.

Figura 7 – VBox_Creat_04

softwares de virtualização

Com esse simples processo, a máquina virtual pode ser visualizada normalmente através do VirtualBox:

Figura 8 – VBox_open

softwares de virtualização

Porém, existem alguns pontos a serem observar com relação as dificuldades que podem ser encontradas ao utilizar esse método:

• Compatibilidade:

A performance da máquina virtual depende do desempenho do VirtualBox com a compatibilidade de drivers do sistema em questão, softwares presentes, entre outros.

• Atenção a visualização:

Por se tratar de uma visualização em tempo real, o manipulador da máquina virtual pode causar alterações durante o uso e mesmo que as alterações sejam armazenadas no cache (como visto no momento do FTK imager), deve-se ter atenção para que o investigador não confunda algo gerado no momento da observação com uma evidência existente de fato na imagem no momento da aquisição. Por isso este método não substitui de forma alguma a análise forense realizada através do processamento das evidências de forma tradicional, observando a imagem e realizando a extração dos dados necessários para observação e processamento.

Após o termino da utilização, basta encerrar a máquina virtual no VirtualBox e fazer desmontar a imagem no FTK Imager.

Figura 9 – FTK Imager – Unmount

softwares de virtualização

A pasta de cache criada também pode ser excluída caso não haja mais necessidade de visualização do sistema.

GLOSSÁRIO

Relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, utilizadas no texto, acompanhadas das respectivas definições.

Conheça nossos treinamentos

Investigação de Crimes Eletrônicos [Exclusivo para Agentes de Segurança Pública]

Cyber Kill Chain

Bootcamp de Avilla Forensics

ABNT ISO/27037

Fundamentos de Compliance

Fundamentos de GRC