VISUALIZAÇÃO DE IMAGENS

Por Iago Blambila

AFD TECH

VISUALIZAÇÃO DE IMAGENS ATRAVÉS DE SOFTWARES DE VIRTUALIZAÇÃO

Registro acerca do processo de visualização de arquivos criados a partir de uma aquisição através de softwares de virtualização, para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital

Orientador (a): Renan Cavalheiro

RIO DE JANEIRO – RJ 2020

RESUMO

Este trabalho apresenta de forma prática a elucidação de um dos processos utilizados para que com o software FTK imager, seja possível tornar uma imagem (aceita pelo mesmo) usual a outros softwares que realizem a leitura destes arquivos a fim de obter a visualização do sistema como uma máquina virtual. Registrando assim outras formas que podem ser utilizadas na exploração durante uma investigação.

 

Sumário

RESUMO………………………………………………………………………………………………………………………. 2

OBJETIVO……………………………………………………………………………………………………………………… 4

JUSTIFICATIVA………………………………………………………………………………………………………………… 4

AFD TECH: COMO SUBIR UMA MÁQUINA VIRTUAL COM O FTK IMAGER…………………………………………… 5

1        BIBLIOGRAFIA………………………………………………………………………………………………………… 14

GLOSSÁRIO   15

OBJETIVO

Dissertar de maneira introdutória sobre uma das metodologias utilizadas para tornar imagens obtidas através de uma aquisição forense, em um arquivo que possa ser interpretado por softwares que apresentam os sistemas como uma máquina virtual. Utilizando o software FTK Imager para ilustrar a realização do processo de conversão de forma objetiva.

JUSTIFICATIVA

Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.

AFD TECH: COMO SUBIR UMA MÁQUINA VIRTUAL COM O FTK IMAGER

Durante uma investigação forense, após o procedimento de aquisição física do dispositivo investigado, várias análises distintas podem ser realizadas. Dentre elas, a necessidade de observar as mesmas evidencias através de outras perspectivas. Por exemplo, a observação do volume “shadow copy”, a visualização da área de trabalho como usuário, a visualização de uma possível evidência ao qual não existe um parser efetivo para o processamento, entre outras situações.

Utilizando o FTK imager é possível “subir” a imagem como uma máquina virtual sem a necessidade    de    realizar    uma    conversão    da    imagem     trabalho     do     usuário  para verificar alguma evidência que não exista  o  parser  (no  momento  da  investigação)  sem a necessidade de converter a imagem para o formato “.vmdk”

  • – FTK IMAGER: PROCESSO DE PREPARO

Com o FTK iniciado, vá para:

  • Arquivo > Image ..

 Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 1 – FTK Imager – Image Mouting

Aqui nesta janela, no campo “Image”, selecione a imagem que você deseja utilizar.

 

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 2 – FTK Imager – Image File

Type Mount: Tipo de montagem, selecione a opção Physical Only (Somente Física) Ou seja, o montando a imagem como um disco físico.

 

Mount Method: A opção “Block Device/ Writable” é o método de montagem do disco. Nesta opção, o disco tem bloqueio de escrita habilitado, para que a imagem não seja alterada e uma opção de cache é ativada.

 

Write Cache Folder: É o diretório que o FTK imager utilizará para gerar o cache de utilização. Isso quer dizer que o usuário poderá simular alterações no disco, porém, salvando as alterações no diretório de cache e não diretamente na evidência. Neste caso, será utilizado a pasta de nome cache, criada na área de trabalho, apenas para fins de ilustração do processo.

 

Clicando no botão mount, o FTK Imager montará o arquivo “.vmdk“ como um disco físico.

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 3 – FTK Imager_01

 

O nome da unidade física montada pode variar de acordo com a quantidade de mídias já conectadas no computador utilizado. Neste caso já existem 2 unidades, por isso a unidade criada se chama “PhysicalDrive3”. Após as opções selecionadas, basta clicar no botão “fechar” e seguir para o próximo passo

 

 

Agora, através de um terminal (powershell ou cmd) como administrador, navegue até o diretório do seu VirtualBox e utilize os comandos abaixo. Eles serão utilizados para que o virtualbox interprete o disco físico montado e crie um ponteiro em .vmdk. Não será criado um novo arquivo e não haverá conversão de arquivos. Sintaxe abaixo criará um arquivo de ponteiro para que o próprio VirtualBox possa interpretar o disco montado e subi-lo como uma máquina virtual.

 

Observando então a sintaxe:

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 4 – Terminal

Iniciando a sintaxe:

  • .\VBoxManage.exe internalcommands createrawvmdk:

Sintaxe inicial para a criação do ponteiro que será utilizado para subir a VM

  • filename: diretório e nome do arquivo criado
  • rawdisk: diretório físico do qual será feito o ponteiro (em outras palavras, o disco físico que montamos com o FTK Imager)

Após a conclusão, uma mensagem de confirmação é exibida no terminal.

  • – SUBINDO A IMAGEM

Utilizando agora o VirtualBox, criaremos uma nova máquina virtual. Escolha o nome, selecione o seu diretório da máquina e o tipo de sistema. No nosso exemplo, o arquivo de imagem se trata de um sistema Windows 10 x64.

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 5 – VBox_Creat_01

 

Lembrando que a quantidade de memória e outras opções são relativas a cada sistema.

 

Após escolha da memória, nas opções de seleção para a criação da VM, selecione a opção: “Utilizar um disco rígido virtual existente”. Apenas com esta opção será possível utilizar o ponteiro criado.

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 6 – VBox_Creat_02

 

O virtual box criará uma máquina virtual a partir do ponteiro criado no terminal, que aponta para a unidade física ao qual o FTK Imager está emulando.

 

Selecione o ícone pasta marcado na imagem acima e aponte para o diretório do ponteiro que foi criado:

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 6 – VBox_Creat_03

Com o ponteiro selecionado, a VM já pode ser criada e utilizada como pelo VirtualBox normalmente.

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 7 – VBox_Creat_04

 

Com esse simples processo, a máquina virtual pode ser visualizada normalmente através do VirtualBox:

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE
Figura 8 – VBox_open

Porém, existem alguns pontos a serem observar com relação as dificuldades que podem ser encontradas ao utilizar esse método:

 

  • Compatibilidade:

A performance da máquina virtual depende do desempenho do VirtualBox com a compatibilidade de drivers do sistema em questão, softwares presentes, entre outros.

 

  • Atenção a visualização:

Por se tratar de uma visualização em tempo real, o manipulador da máquina virtual pode causar alterações durante o uso e mesmo que as alterações sejam armazenadas no cache (como visto no momento do FTK imager), deve-se ter atenção para que o investigador não confunda algo gerado no momento da observação com uma evidência existente de fato na imagem no momento da aquisição. Por isso este método não substitui de forma alguma a análise forense realizada através do processamento das evidências de forma tradicional, observando a imagem e realizando a extração dos dados necessários para observação e processamento.

 

Após o termino da utilização, basta encerrar a máquina virtual no VirtualBox e fazer desmontar a imagem no FTK Imager.

 

Figura 9 – FTK Imager – Unmount

Fonte: https://www.youtube.com/watch?v=1VQaqyd9xHE

A pasta de cache criada também pode ser excluída caso não haja mais necessidade de visualização do sistema.

Conclui-se então o tópico sobre um dos métodos utilizados para visualizar de forma prática uma imagem adquirida por uma aquisição forense, afim de auxiliar a investigação em cenários aos quais este método pode proporcionar uma melhor visualização do que está em análise ou mesmo, tornar possível a visualização de uma evidência ao qual ainda não exista um parser eficiente.

1    BIBLIOGRAFIA

 

1. ACADEMIA DE FORENSE DIGITAL. Subindo uma VM a partir de uma imagem forense (Passo a

Passo)

Disponivel em: <https://www.youtube.com/watch?v=1VQaqyd9xHE>. Acesso em: 2021.

 

GLOSSÁRIO

Relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, utilizadas no texto, acompanhadas das respectivas definições.

 



Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

error: O conteúdo está protegido !!