ACADEMIA DE FORENSE DIGITAL
IAGO BLAMBILA
AFD TECH
VISUALIZAÇÃO DE IMAGENS ATRAVÉS DE SOFTWARES DE VIRTUALIZAÇÃO
RIO DE JANEIRO – RJ
IAGO BLAMBILA
AFD TECH
VISUALIZAÇÃO DE IMAGENS ATRAVÉS DE SOFTWARES DE VIRTUALIZAÇÃO
Registro acerca do processo de visualização de arquivos criados a partir de uma aquisição através de softwares de virtualização, para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital
Orientador (a): Renan Cavalheiro
RIO DE JANEIRO – RJ
2021
OBJETIVO
Dissertar de maneira introdutória sobre uma das metodologias utilizadas para tornar imagens obtidas através de uma aquisição forense, em um arquivo que possa ser interpretado por softwares que apresentam os sistemas como uma máquina virtual. Utilizando o software FTK Imager para ilustrar a realização do processo de conversão de forma objetiva.
JUSTIFICATIVA
Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.
AFD TECH: COMO SUBIR UMA MÁQUINA VIRTUAL COM O FTK IMAGER
Durante uma investigação forense, após o procedimento de aquisição física do dispositivo investigado, várias análises distintas podem ser realizadas. Dentre elas, a necessidade de observar as mesmas evidencias através de outras perspectivas. Por exemplo, a observação do volume “shadow copy”, a visualização da área de trabalho como usuário, a visualização de uma possível evidência ao qual não existe um parser efetivo para o processamento, entre outras situações.
Utilizando o FTK imager é possível “subir” a imagem como uma máquina virtual sem a necessidade de realizar uma conversão da imagem trabalho do usuário
para verificar alguma evidência que não exista o parser (no momento da investigação)
1. FTK IMAGER: PROCESSO DE PREPARO
Com o FTK iniciado, vá para:
• Arquivo > Image Mouting…
Figura 1 – FTK Imager – Image Mouting
Aqui nesta janela, no campo “Image”, selecione a imagem que você deseja utilizar.
Figura 2 – FTK Imager – Image File
Type Mount: Tipo de montagem, selecione a opção Physical Only (Somente Física)
Ou seja, o montando a imagem como um disco físico.
Mount Method: A opção “Block Device/ Writable” é o método de montagem do disco. Nesta opção, o disco tem bloqueio de escrita habilitado, para que a imagem não seja alterada e uma opção de cache é ativada.
Write Cache Folder: É o diretório que o FTK imager utilizará para gerar o cache de utilização. Isso quer dizer que o usuário poderá simular alterações no disco, porém, salvando as alterações no diretório de cache e não diretamente na evidência. Neste caso, será utilizado a pasta de nome cache, criada na área de trabalho, apenas para fins de ilustração do processo.
Clicando no botão mount, o FTK Imager montará o arquivo “.vmdk“ como um disco físico.
Figura 3 – FTK Imager_01
Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
O nome da unidade física montada pode variar de acordo com a quantidade de mídias já conectadas no computador utilizado. Neste caso já existem 2 unidades, por isso a unidade criada se chama “PhysicalDrive3”. Após as opções selecionadas, basta clicar no botão “fechar” e seguir para o próximo passo
Agora, através de um terminal (powershell ou cmd) como administrador, navegue até o diretório do seu VirtualBox e utilize os comandos abaixo. Eles serão utilizados para que o virtualbox interprete o disco físico montado e crie um ponteiro em .vmdk. Não será criado um novo arquivo e não haverá conversão de arquivos. Sintaxe abaixo criará um arquivo de ponteiro para que o próprio VirtualBox possa interpretar o disco montado e subi-lo como uma máquina virtual.
Observando então a sintaxe:
Figura 4 – Terminal
Iniciando a sintaxe:
• .\VBoxManage.exe internalcommands createrawvmdk:
Sintaxe inicial para a criação do ponteiro que será utilizado para subir a VM
• filename: diretório e nome do arquivo criado
• rawdisk: diretório físico do qual será feito o ponteiro (em outras palavras, o disco físico que montamos com o FTK Imager)
Após a conclusão, uma mensagem de confirmação é exibida no terminal.
2. SUBINDO A IMAGEM
Utilizando agora o VirtualBox, criaremos uma nova máquina virtual. Escolha o nome, selecione o seu diretório da máquina e o tipo de sistema. No nosso exemplo, o arquivo de imagem se trata de um sistema Windows 10 x64.
Figura 5 – VBox_Creat_01
Lembrando que a quantidade de memória e outras opções são relativas a cada sistema.
Após escolha da memória, nas opções de seleção para a criação da VM, selecione a opção: “Utilizar um disco rígido virtual existente”. Apenas com esta opção será possível utilizar o ponteiro criado.
Figura 6 – VBox_Creat_02
Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
O virtual box criará uma máquina virtual a partir do ponteiro criado no terminal, que aponta para a unidade física ao qual o FTK Imager está emulando.
Selecione o ícone pasta marcado na imagem acima e aponte para o diretório do ponteiro que foi criado:
Figura 6 – VBox_Creat_03
Com o ponteiro selecionado, a VM já pode ser criada e utilizada como pelo VirtualBox normalmente.
Figura 7 – VBox_Creat_04
Com esse simples processo, a máquina virtual pode ser visualizada normalmente através do VirtualBox:
Figura 8 – VBox_open
Porém, existem alguns pontos a serem observar com relação as dificuldades que podem ser encontradas ao utilizar esse método:
• Compatibilidade:
A performance da máquina virtual depende do desempenho do VirtualBox com a compatibilidade de drivers do sistema em questão, softwares presentes, entre outros.
• Atenção a visualização:
Por se tratar de uma visualização em tempo real, o manipulador da máquina virtual pode causar alterações durante o uso e mesmo que as alterações sejam armazenadas no cache (como visto no momento do FTK imager), deve-se ter atenção para que o investigador não confunda algo gerado no momento da observação com uma evidência existente de fato na imagem no momento da aquisição. Por isso este método não substitui de forma alguma a análise forense realizada através do processamento das evidências de forma tradicional, observando a imagem e realizando a extração dos dados necessários para observação e processamento.
Após o termino da utilização, basta encerrar a máquina virtual no VirtualBox e fazer desmontar a imagem no FTK Imager.
Figura 9 – FTK Imager – Unmount
A pasta de cache criada também pode ser excluída caso não haja mais necessidade de visualização do sistema.
GLOSSÁRIO
Relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, utilizadas no texto, acompanhadas das respectivas definições.