Criando imagens Forense

De Peotta-Wiki
Ir para: navegação, pesquisa

Existem muitas discussões sobre como criar uma imagem forense. A melhor ferramenta a ser utilizada é a que você domina. Nesse pensamento o especialista forense deve constantemente buscar novas técnicas e ferramentas, testando em laboratório a que melhor produz o trabalho.

Neste artigo vou apresentar alguns conceitos simples sobre duplicação de mídias.

Conteúdo

Conhecendo o Fdisk

o Fdisk é um comando utilizado para se trabalhar discos e partições, na área de forense é importante para identificar quantidade e tipos de discos e partições.

root@localhost:~# fdisk -l

Disk /dev/sda: 80.0 GB, 80026361856 bytes
255 heads, 63 sectors/track, 9729 cylinders, total 156301488 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000a609b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *        2048   152147967    76072960   83  Linux
/dev/sda2       152150014   156301311     2075649    5  Extended
/dev/sda5       152150016   156301311     2075648   82  Linux swap / Solaris

Disk /dev/sdb: 4022 MB, 4022337024 bytes
255 heads, 63 sectors/track, 489 cylinders, total 7856127 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1              38     7839719     3919841    b  W95 FAT32

Cópia Forense

Uma imagem forense é uma cópia exata do original, conhecido como "bit-a-bit". Ferramentas linha de comando tendem a ser mais rápidas e diretas que outras de interface gráfica, mas ai cabe ao especialista a escolha, por esse motivo vamos entender e usar a ferramenta mais conhecida, o disk dump ou simplesmente DD.

Usando o Disk Dump

o DD é uma ferramenta que está presente em praticamente todas as distribuições Linux.

Criando uma imagem do disco

dd if=/dev/sda of=/mnt/forense/sda.img

Duplicando um disco inteiro

Nesse caso o disco destino deve ter tamanho igual ou superior ao original

dd if=/dev/sda of=/dev/sdb

Criando uma imagem de uma partição

Nesse caso apenas a partição será copiada, deixando de lado informações sobre o disco e também dados dos primeiros 63 setores.

dd if=/dev/sda1 of=/mnt/forense/sda1.img
Ferramentas pessoais
Espaços nominais

Variantes
Ações
Navegação
Ferramentas