FTK Imager, é um software usado para criar arquivos de imagem de disco ou montar imagens de disco ou dispositivos de armazenamento e então podemos executar análise de estrutura de disco, recuperação de dadosetc. Este software permite localize arquivos perdidos ou pesquise dados escaneando a imagem do disco usando palavras-chave.
Usando o software, uma imagem é obtida ou criada de um disco rígido em um arquivo de formato:
- dd
- img
- ed01
- cru
Podemos criar uma imagem com partes do disco ou com a partição inteira que pode ser reconstruída posteriormente.
Uma das vantagens é que ao final da captura da imagem, o software calcula e gera uma chave hash MD5 que será utilizada para confirmar a integridade dos dados e que a imagem que criamos não foi alterada, desde que mínimas alterações no arquivo de imagem alterará o código de segurança e não corresponderá ao original.
FTK Imager é amplamente utilizado por especialistas em computação forense pois permite que você capture dados de um dispositivo, crie uma imagem dos dados e, em seguida, avalie a evidência digital para determinar se uma análise mais detalhada é necessária.
FTK Imager permite que você faça várias tarefas, algumas delas são as seguintes:
- Crie imagens forenses de discos rígidos discos locais, lógicos, dispositivos de armazenamento remoto, dispositivos móveis, unidades flash, discos Zip, CDs e DVDs, pastas inteiras ou arquivos individuais de vários locais.
- Nós também podemos visualizar e extrair conteúdo de imagens forenses armazenados em um computador local ou em uma unidade de rede.
- O FTK Imager também nos permite exportar arquivos e pastas para tratá-los individualmente, visualize e recupere arquivos que foram apagados do disco ou da lixeira, mas ainda não foram sobrescritos na unidade.
- Crie hashes MD5 e SHA-1 para garantir e preservar a integridade dos arquivos e da imagem que geramos. Criamos uma imagem como vimos no tutorial Hard Drives and Partitions Forensics with Autopsy. Também podemos usar o mesmo FTK Imager para criar uma imagem de um dispositivo de armazenamento.
Uma imagem é uma cópia de todo ou parte do dispositivo de armazenamento para evitar a modificação acidental ou intencional dos dados que existem no dispositivo de armazenamento, FTK Imager faz uma imagem copiando pouco a pouco, a imagem resultante em um arquivo, é idêntica à estrutura original do dispositivo, incluindo espaço, configuração da unidade e qualquer arquivo que contenha a unidade, mesmo que seja temporário. Isso permite que esses dados sejam armazenados em um local seguro para investigação posterior usando a imagem do dispositivo.
Depois de baixar o instalador do site oficial da AccessData e prosseguir com a instalação do programa que funciona apenas no Windows.
Criar imagem de um dispositivo
Podemos criar a imagem com o mesmo software a partir da opção Criar imagem de disco.
No Linux, podemos usar o comando dd para criar uma imagem de uma determinada unidade ou pasta, da seguinte maneira:
sudo dd if = / dev / partition of = / home / myuser / file copy.ddQuando tivermos a imagem criada a partir do FTK Imager devemos adicionar o arquivo de evidência, a partir do menu Arquivo, Adicionar Evidência.
Para este tutorial teremos uma imagem pertencente a uma memória flash.
A seguir devemos indicar a que tipo de unidade a imagem pertence, se é uma unidade física, unidade lógica ou arquivo de imagem, neste caso selecionamos o arquivo de imagem e clica em Próximo.
Então veremos a imagem e poderemos navegar em seus diretórios e arquivos, conhecer suas características, qual sistema operacional ela instalou.
Então podemos analisar o disco virtual como um disco físico, desta forma tudo o que ele contém, incluindo arquivos excluídos, pode ser visto ou recuperado.
No exemplo podemos ver como podemos recuperar alguns arquivos de planilha. Podemos até montar a unidade a partir da opção Arquivo> Montar imagem, uma vez montada, a imagem será como mais uma unidade de disco.
Aqui podemos ver que ao montar a unidade ela aparece na unidade F:, agora a temos disponível como uma unidade de disco virtual e podemos usar um software como o PhotoRec (você tem na posição 7 deste artigo), que podemos baixar de seu site oficial para recuperar arquivos excluídos.
PhotoREc É muito simples de usar, não necessita de instalação, basta indicar qual o drive ou partição que queremos recuperar.
Aqui podemos ver que nosso drive virtual F: aparece com o conteúdo da imagem do disco. Selecionamos a unidade e a seguir indicamos em qual diretório os arquivos recuperados serão copiados por padrão. recup_dir.
Podemos ver as extensões dos arquivos recuperados do drive virtual que criamos, este diretório recuperado é físico, não é virtual nem lógico, portanto teremos os arquivos à nossa disposição permanentemente. Este software também recuperou arquivos exe, para que possamos analisá-los para ver se algum é um vírus ou software perigoso para o sistema, por isso é melhor executar este tipo de análise em um máquina virtual como VirtualBox.
