Análise forense de discos rígidos e partições com autópsia

Índice

Autopsy é um software usado para análise forense de imagens de discos rígidos. É uma interface gratuita e de código aberto que permite pesquisar e analisar partições ou imagens de disco.

A ferramenta de autópsia pode funcionar em diferentes sistemas operacionais, como:

  • Linux
  • janelas
  • Mac OS X
  • BSD grátis
Foi originalmente escrito em linguagem Perl e seu código agora foi alterado para Java com interface gráfica, embora esta versão só rode em Windows, em outras plataformas possui interface web.

Autopsy é uma plataforma de análise forense digital e a interface gráfica Sleuthkit e outras ferramentas forenses digitais. É utilizado por governos e entidades públicas e privadas, por forças de segurança como policiais e militares, além de profissionais e especialistas em informática para investigar o que aconteceu em um computador. Após um incidente, como um ataque ou falha, você pode navegar pelos dispositivos de armazenamento para recuperar arquivos, pesquisar manipulações do sistema, recuperar fotos, imagens ou vídeos.

Primeiro devemos instalar o Autopsy no Linux, ele vem nos repositórios, no Windows você pode baixá-lo aqui:

BAIXAR AUTOPSY

Neste tutorial, veremos o Instalação de autópsia no Linux. Abrimos uma janela de terminal e digitamos os seguintes comandos:

1. Instalamos a estrutura TSK

 sudo apt-get install sleuthkit
2. Em seguida, instalamos a autópsia
 apt-get autópsia
A estrutura TSK contém o conjunto de bibliotecas e módulos que podem ser usados ​​para desenvolver plug-ins e comandos para habilidades de computação forense. A estrutura TSK é uma interface de linha de comando que usa módulos diferentes para analisar imagens de disco.

Em seguida, podemos iniciar o aplicativo a partir de uma janela de terminal usando o comando:

 sudo autópsia

Em seguida, vamos a qualquer navegador e escrevemos o URL http: // localhost: 9999 / autopsy essa autópsia nos diz que funcionará como um servidor enquanto estiver em execução.

Antes de continuar, precisamos ter a imagem de alguns dispositivos, podemos fazer uma imagem do nosso disco ou podemos obter imagens de exemplo na Internet, por exemplo no site http://dftt.sourceforge.net/ podemos baixar vários imagens que apresentam diferentes problemas de análise.

Podemos baixar, por exemplo, algumas das seguintes imagens.

Pesquisa JPEG.webp: Esta imagem de teste é um sistema de arquivos Windwos XP NTFS com 10 imagens jpg.webp em diretórios diferentes. As imagens incluem arquivos com extensões incorretas, imagens incorporadas em zip e arquivos do Word. Aqui podemos trabalhar na recuperação de imagens. Podemos fazer o download do JPEG.webp Search aqui.

NTFS Undelete: Esta imagem de teste é um sistema de arquivos NTFS de 6 MB com oito arquivos excluídos, dois diretórios excluídos e um fluxo de dados alternativo excluído. Os arquivos variam de arquivos residentes, arquivos de cluster individuais e vários shards. Nenhuma estrutura de dados foi modificada neste processo para impedir a recuperação. Eles foram criados no Windows XP, removidos no XP e a imagem no Linux. Podemos baixar NTFS Undelete aqui.

Também podemos criar uma imagem de disco do Linux, descobrimos quais são as partições com os seguintes comandos:

 sudo fdisk -l

Por exemplo, para fazer uma cópia exata da partição de inicialização, que podemos usar como arquivo de backup, usamos os seguintes comandos:

 dd if = / dev / partição para salvar de = /home/directory/copy-partition.img
Neste caso, será a partição principal:
 dd if = / dev / sda1 de = / home / myuser / partition-sda1-HDD.img
Também podemos usar softwares como o Clonezilla, que é um programa para criar partições e imagens de disco, cópias de backup e recuperação do sistema a partir de um backup.

Assim que tivermos a imagem para realizar nossa investigação forense, vamos para a autópsia, para este tutorial usaremos NTSF Undelete.

A interface da Autópsia permite analisar vários casos com imagens diferentes e até vários pesquisadores, a seguir clicamos no botão Novo caso ou Novo caso.

A tela abrirá para criar um caso onde atribuiremos o nome do caso, sem espaços, pois este nome passará a ser uma pasta onde serão armazenadas as informações coletadas na investigação. Neste caso o nome será EmpresaSA, então adicionaremos uma descrição do caso, adicionaremos também os nomes dos investigadores responsáveis ​​pelo caso, a seguir clicaremos em Novo Caso.

Veremos uma tela onde somos informados de que foi criada uma pasta para o caso e um diretório de configuração.

A seguir criaremos o host, ou seja, cadastraremos os dados do equipamento ou imagem a ser investigada.

Vamos adicionar o nome do host, uma descrição, a hora gmt no caso de ser de outro país, podemos adicionar a hora de deslocamento em relação ao computador também e existem bancos de dados que contêm hashes de arquivos maliciosos conhecidos.

Se quisermos usar um banco de dados, podemos usar o NIST NSRL para detectar arquivos conhecidos. O banco de dados da National Software Reference Library que contém hashes que podem ser bons ou ruins, dependendo de como são classificados.

Por exemplo, a existência de um determinado software pode ser reconhecida e o Autopsy trata os arquivos encontrados no NSRL como conhecidos e bons ou não os reconhece e não especifica se é bom ou ruim. Também podemos implementar um banco de dados que ignora arquivos conhecidos.

No final, clicamos em ADICIONE HOST e vamos para a tela que nos mostra, o diretório desse host, no mesmo caso podemos ter vários hosts para analisar.

Em seguida, acessamos a lista de hosts para este caso particular e, portanto, comece a pesquisa em algum host ou verifique algum host.

Clicamos em nosso host PC031 e, em seguida, clicamos em OK, se abrirá uma tela onde adicionaremos a imagem do host, para isso clicamos em ADICIONE ARQUIVO DE IMAGEM.

A seguir procuraremos a imagem de acordo com a pasta onde a encontramos:

Podemos clicar com o botão direito e selecionar a opção cópia de, então vamos para a tela adicionar hospedeiro e clicamos com o botão direito e a opção Colar isso adicionará o caminho do arquivo de imagem, também podemos escrevê-lo.

Além disso, indicaremos o tipo de imagem se é um disco ou partição e o método de importação, a imagem pode ser importada para a autópsia de sua localização atual usando um link simbólico, copiando-a ou movendo-a.

O arquivo de imagem deve ter permissão de leitura, caso contrário, ocorrerá um erro quando clicarmos em PRÓXIMO (Próximo)
Neste caso usamos a imagem criando uma cópia, se usarmos o Symlink que é o link para onde a imagem está, podemos ter o problema de danificar a imagem, se a copiarmos, será feita uma cópia em o diretório do caso, mas vamos ocupar mais lugar, lembre-se que os arquivos que usamos são demos que ocupam cerca de 150 Megabytes, uma imagem real de um computador ou de um servidor pode ocupar vários Gigabytes.

Abaixo nos mostra alguns detalhes da imagem que adicionamos e nos permite calcular ou ignorar a integridade por meio de checksum MD5.

Finalmente clicamos em ADICIONAR o Adicionar para ir para a tela final onde nos informa que o processo terminou e pressionamos OK para ir para a tela do host neste caso.

Em seguida, selecionamos o host, neste caso, temos um e clicamos em Analisar para iniciar a análise da imagem. A tela de análise abre e vamos Detalhes da imagem para ver as informações do sistema.

Neste caso, podemos ver que é uma partição Windwos XP NTFS, e outros dados sobre o tamanho do disco e setores. Então podemos ir para Análise de Arquivo, para visualizar a estrutura de arquivos e diretórios.

Vemos dentro dos diretórios o diretório de inicialização que contém os logs de inicialização dessa partição, se clicarmos, veremos o log e podemos vê-lo em diferentes formatos como ASCII, Hexadecimal e texto, neste caso vemos o seguinte erro:

Ocorreu um erro de leitura de disco - falta NTLDR

O arquivo NTLDR do Windows XP é um componente essencial do setor de inicialização e inicialização do Windows XP. O computador não iniciará, não terminará a inicialização se o arquivo estiver danificado.

Então, se clicarmos no link dir na coluna Modelo, podemos navegar pelos diretórios e ver os arquivos excluídos para tentar recuperá-los.

A computação forense permite a identificação e descoberta de informações relevantes em fontes de dados como imagens de discos rígidos, pen drives, instantâneos de tráfego de rede ou despejos de memória de computador.

Resumindo tudo o que foi feito com a Autópsia podemos reabrir um caso, pois o que fazemos é ser salvo ou criar um novo caso, onde um caso contenha vários hosts ou computadores ou partições de uma unidade lógica que conterá tudo relacionado à investigação.

Portanto, ao criar um caso, informações como seu nome de identificação e a pessoa que irá investigar os dados são inseridos. O próximo passo consiste em associar um ou mais hosts ao caso, que correspondem às imagens que vamos submeter à análise, ou uma imagem forense que foi previamente adquirida do computador ou servidor a ser analisado.

Em seguida, fechamos este caso clicando em Fechar e depois em Fechar host, e adicionaremos um novo host dentro do caso, para isso precisamos da imagem Pesquisa JPEG.webp, imagem que mencionamos anteriormente.

Nós clicamos em ADICIONE HOST Para adicionar um novo host que vamos analisar, neste caso procuraremos imagens perdidas ou danificadas em um computador na área de design gráfico.

Depois de adicionar o host, devemos adicionar a imagem como fizemos antes.

Depois de finalizado o processo, vamos para a lista de hosts disponíveis para este caso.

Em seguida, selecionamos o host a ser investigado e clicamos em OK.

Então clicamos em Analisar para iniciar a visualização da partição. Neste caso, é uma partição do Windows XP, com um sistema de arquivos NTFS com um total de 10 imagens JPG.webp nele. As imagens incluem arquivos com extensões incorretas, imagens incorporadas em arquivos zip e Word e bugs que devemos encontrar e reparar para recuperar esses arquivos.

O objetivo desta imagem de partição é testar os recursos de ferramentas automatizadas que procuram imagens JPG.webp.

Percorremos os diretórios e podemos ver um botão na coluna esquerda abaixo TODOS OS ARQUIVOS EXCLUÍDOS para nos mostrar todos os arquivos excluídos.

Também podemos exportar e baixar arquivos para analisá-los ou recuperá-los clicando no link que queremos baixar e, em seguida, clicamos em Exportar

Dentro, encontraremos uma imagem e alguns arquivos de dados. Também podemos pesquisar palavras de Pesquisa de palavras-chave como extensões de arquivo como doc ou programas que podem funcionar como crack, vírus ou qualquer coisa que possa parecer estranha.

Tudo os resultados obtidos podem ser exportados para documentos HTML clicando nos links Relatório de cada tipo de ASCI, hexadecimal ou text view, para a apresentação de um relatório aos nossos clientes ou para manter uma base de dados de incidentes.

Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo
wave wave wave wave wave