Analise a imagem do disco com o FTK Imager

Analise a imagem do disco com o FTK Imager | Segurança 2024
Analise a imagem do disco com o FTK Imager | Segurança 2024

FTK Imager, é um software usado para criar arquivos de imagem de disco ou montar imagens de disco ou dispositivos de armazenamento e então podemos executar análise de estrutura de disco, recuperação de dadosetc. Este software permite localize arquivos perdidos ou pesquise dados escaneando a imagem do disco usando palavras-chave.

Usando o software, uma imagem é obtida ou criada de um disco rígido em um arquivo de formato:

  • dd
  • img
  • ed01
  • cru

Podemos criar uma imagem com partes do disco ou com a partição inteira que pode ser reconstruída posteriormente.

Uma das vantagens é que ao final da captura da imagem, o software calcula e gera uma chave hash MD5 que será utilizada para confirmar a integridade dos dados e que a imagem que criamos não foi alterada, desde que mínimas alterações no arquivo de imagem alterará o código de segurança e não corresponderá ao original.

FTK Imager é amplamente utilizado por especialistas em computação forense pois permite que você capture dados de um dispositivo, crie uma imagem dos dados e, em seguida, avalie a evidência digital para determinar se uma análise mais detalhada é necessária.

FTK Imager permite que você faça várias tarefas, algumas delas são as seguintes:

  • Crie imagens forenses de discos rígidos discos locais, lógicos, dispositivos de armazenamento remoto, dispositivos móveis, unidades flash, discos Zip, CDs e DVDs, pastas inteiras ou arquivos individuais de vários locais.
  • Nós também podemos visualizar e extrair conteúdo de imagens forenses armazenados em um computador local ou em uma unidade de rede.
  • O FTK Imager também nos permite exportar arquivos e pastas para tratá-los individualmente, visualize e recupere arquivos que foram apagados do disco ou da lixeira, mas ainda não foram sobrescritos na unidade.
  • Crie hashes MD5 e SHA-1 para garantir e preservar a integridade dos arquivos e da imagem que geramos. Criamos uma imagem como vimos no tutorial Hard Drives and Partitions Forensics with Autopsy. Também podemos usar o mesmo FTK Imager para criar uma imagem de um dispositivo de armazenamento.

Uma imagem é uma cópia de todo ou parte do dispositivo de armazenamento para evitar a modificação acidental ou intencional dos dados que existem no dispositivo de armazenamento, FTK Imager faz uma imagem copiando pouco a pouco, a imagem resultante em um arquivo, é idêntica à estrutura original do dispositivo, incluindo espaço, configuração da unidade e qualquer arquivo que contenha a unidade, mesmo que seja temporário. Isso permite que esses dados sejam armazenados em um local seguro para investigação posterior usando a imagem do dispositivo.

Depois de baixar o instalador do site oficial da AccessData e prosseguir com a instalação do programa que funciona apenas no Windows.

Criar imagem de um dispositivo


Podemos criar a imagem com o mesmo software a partir da opção Criar imagem de disco.

No Linux, podemos usar o comando dd para criar uma imagem de uma determinada unidade ou pasta, da seguinte maneira: 

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
Quando tivermos a imagem criada a partir do FTK Imager devemos adicionar o arquivo de evidência, a partir do menu Arquivo, Adicionar Evidência.

Para este tutorial teremos uma imagem pertencente a uma memória flash.

A seguir devemos indicar a que tipo de unidade a imagem pertence, se é uma unidade física, unidade lógica ou arquivo de imagem, neste caso selecionamos o arquivo de imagem e clica em Próximo.

Então veremos a imagem e poderemos navegar em seus diretórios e arquivos, conhecer suas características, qual sistema operacional ela instalou.

Então podemos analisar o disco virtual como um disco físico, desta forma tudo o que ele contém, incluindo arquivos excluídos, pode ser visto ou recuperado.

No exemplo podemos ver como podemos recuperar alguns arquivos de planilha. Podemos até montar a unidade a partir da opção Arquivo> Montar imagem, uma vez montada, a imagem será como mais uma unidade de disco.

Aqui podemos ver que ao montar a unidade ela aparece na unidade F:, agora a temos disponível como uma unidade de disco virtual e podemos usar um software como o PhotoRec (você tem na posição 7 deste artigo), que podemos baixar de seu site oficial para recuperar arquivos excluídos.

PhotoREc É muito simples de usar, não necessita de instalação, basta indicar qual o drive ou partição que queremos recuperar.

Aqui podemos ver que nosso drive virtual F: aparece com o conteúdo da imagem do disco. Selecionamos a unidade e a seguir indicamos em qual diretório os arquivos recuperados serão copiados por padrão. recup_dir.

Podemos ver as extensões dos arquivos recuperados do drive virtual que criamos, este diretório recuperado é físico, não é virtual nem lógico, portanto teremos os arquivos à nossa disposição permanentemente. Este software também recuperou arquivos exe, para que possamos analisá-los para ver se algum é um vírus ou software perigoso para o sistema, por isso é melhor executar este tipo de análise em um máquina virtual como VirtualBox.

wave wave wave wave wave

Publicações Populares

wave
1
post-title
Como melhorar a vida útil da bateria macbook macOS Mojave
2
post-title
▷ Como ENVIAR ARQUIVOS PESADOS pelo Gmail
3
post-title
Como ativar ou desativar a vibração no iPhone Xs ou iPhone Xs Max
4
post-title
Teste automatizado com ASP.NET MVC
5
post-title
Como definir o papel de parede do Windows via GPO

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -