Phenquestions
Criar cópia de imagem de unidade USB
A primeira coisa que faremos é fazer uma cópia da unidade USB. Neste caso, backups regulares não funcionarão. Este é um passo muito importante e, se for feito de forma errada, todo o trabalho será perdido. Use o seguinte comando para listar todas as unidades conectadas ao sistema:
[email protegido]: ~ $ sudo fdisk -lNo Linux, os nomes das unidades são diferentes do Windows. Em um sistema Linux, hda e hdb são usados (sda, sdb, sdc, etc.) para SCSI, ao contrário do sistema operacional Windows.
Agora que temos o nome da unidade, podemos criar seu .dd imagem bit a bit com o dd utilitário digitando o seguinte comando:
[email protegido]: ~ $ sudo dd if = / dev / sdc1 of = usb.dd bs = 512 contagem = 1E se= a localização da unidade USB
de= o destino onde a imagem copiada será armazenada (pode ser um caminho local em seu sistema, e.g. / home / user / usb.dd)
bs= o número de bytes que serão copiados de cada vez
Para garantir a prova de que temos a cópia da imagem original da unidade, usaremos hashing para manter a integridade da imagem. O hash fornecerá um hash para a unidade USB. Se um único bit de dados for alterado, o hash será alterado completamente e será possível saber se a cópia é falsa ou original. Iremos gerar um hash md5 do drive para que, quando comparado com o hash original do drive, ninguém possa questionar a integridade da cópia.
[email protegido]: ~ $ md5sum usb.ddIsso fornecerá um hash md5 da imagem. Agora, podemos começar nossa análise forense nesta imagem recém-criada da unidade USB, junto com o hash.
Layout do setor de inicialização
A execução do comando file retornará o sistema de arquivos, bem como a geometria da unidade:
[email protegido]: ~ $ file usb.ddOK.dd: Setor de inicialização DOS / MBR, deslocamento de código 0x58 + 2, OEM-ID "MSDOS5.0 ",
setores / cluster 8, setores reservados 4392, descritor de mídia 0xf8,
setores / trilha 63, cabeças 255, setores ocultos 32, setores 1953760 (volumes> 32 MB),
FAT (32 bits), setores / FAT 1900, reservado 0x1, número de série 0x6efa4158, sem etiqueta
Agora, podemos usar o minfo ferramenta para obter o layout do setor de inicialização NTFS e as informações do setor de inicialização por meio do seguinte comando:
[email protegido]: ~ $ minfo -i usb.ddinformação de dispositivo:
=====================
filename = "ok.dd "
setores por trilha: 63
cabeças: 255
cilindros: 122
linha de comando mformat: mformat -T 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
informações do setor de inicialização
========================
banner: "MSDOS5.0 "
tamanho do setor: 512 bytes
tamanho do cluster: 8 setores
setores reservados (inicialização): 4392
gorduras: 2
máximo de slots de diretório raiz disponíveis: 0
tamanho pequeno: 0 setores
byte do descritor de mídia: 0xf8
setores por gordura: 0
setores por trilha: 63
cabeças: 255
setores ocultos: 32
tamanho grande: 1953760 setores
id da unidade física: 0x80
reservado = 0x1
dos4 = 0x29
número de série: 6EFA4158
etiqueta do disco = "SEM NOME"
tipo de disco = "FAT32"
Big fatlen = 1900
Sinalizadores estendidos = 0x0000
Versão FS = 0x0000
rootCluster = 2
infoSector location = 1
setor de inicialização de backup = 6
Infosector:
assinatura = 0x41615252
clusters livres = 243159
último cluster alocado = 15
Outro comando, o fstat comando, pode ser usado para obter informações gerais conhecidas, como estruturas de alocação, layout e blocos de inicialização, sobre a imagem do dispositivo. Usaremos o seguinte comando para fazer isso:
[email protegido]: ~ $ fstat usb.dd--------------------------------------------
Tipo de sistema de arquivos: FAT32
Nome do OEM: MSDOS5.0
ID do volume: 0x6efa4158
Rótulo do volume (setor de inicialização): SEM NOME
Rótulo do volume (diretório raiz): KINGSTON
Rótulo do tipo de sistema de arquivos: FAT32
Próximo Setor Livre (FS Info): 8296
Contagem do setor livre (FS Info): 1945272
Setores antes do sistema de arquivos: 32
Layout do sistema de arquivos (em setores)
Intervalo total: 0 - 1953759
* Reservado: 0 - 4391
** Setor de inicialização: 0
** Setor de Informação FS: 1
** Setor de inicialização de backup: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Área de dados: 8192 - 1953759
** Área do cluster: 8192 - 1953759
*** Diretório raiz: 8192 - 8199
INFORMAÇÕES DE METADADOS
--------------------------------------------
Intervalo: 2 - 31129094
Diretório raiz: 2
INFORMAÇÕES DE CONTEÚDO
--------------------------------------------
Tamanho do setor: 512
Tamanho do cluster: 4096
Intervalo total do cluster: 2 - 243197
CONTEÚDOS GORDURA (em setores)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Arquivos excluídos
O Kit Detetive fornece o fls ferramenta, que fornece todos os arquivos (especialmente arquivos excluídos recentemente) em cada caminho ou no arquivo de imagem especificado. Qualquer informação sobre arquivos excluídos pode ser encontrada usando o fls Utilitário. Digite o seguinte comando para usar a ferramenta fls:
[email protegido]: ~ $ fls -rp -f fat32 usb.ddr / r 3: KINGSTON (entrada de rótulo de volume)
d / d 6: Informações de volume do sistema
r / r 135: Informações de volume do sistema / configurações WPS.dat
r / r 138: Informações de volume do sistema / IndexerVolumeGuid
r / r * 14: Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: Oceanos Doze (2004)
r / r 45: MINUTOS DE PC-I REALIZADOS EM 23.01.2020.docx
r / r * 49: MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx
r / r * 50: vento.Exe
r / r * 51: _WRL0024.tmp
r / r 55: MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx
d / d * 57: Nova pasta
d / d * 63: edital de licitação para equipamentos de infraestrutura de rede
r / r * 67: CONCURSO (Mega PC-I) Fase-II.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: CONCURSO (Mega PC-I) Fase-II.docx
v / v 31129091: $ MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3
Aqui, obtivemos todos os arquivos relevantes. Os seguintes operadores foram usados com o comando fls:
-p = usado para exibir o caminho completo de cada arquivo recuperado
-r = usado para exibir os caminhos e pastas recursivamente
-f = o tipo de sistema de arquivos usado (FAT16, FAT32, etc.)
A saída acima mostra que a unidade USB contém muitos arquivos. Os arquivos excluídos recuperados são marcados com um “*" assinar. Você pode ver que algo não está normal com os arquivos nomeados $bad_content1, $bad_content2, $bad_content3, e vento.Exe. Windump é uma ferramenta de captura de tráfego de rede. Usando a ferramenta windump, pode-se capturar dados não destinados ao mesmo computador. A intenção é demonstrada no fato de que o windump do software tem o propósito específico de capturar o tráfego da rede e foi usado intencionalmente para obter acesso às comunicações pessoais de um usuário legítimo.
Análise de linha do tempo
Agora que temos uma imagem do sistema de arquivos, podemos realizar a análise da linha do tempo MAC da imagem para gerar uma linha do tempo e colocar o conteúdo com a data e hora em um formato legível e sistemático. Tanto o fls e ils comandos podem ser usados para construir uma análise de linha do tempo do sistema de arquivos. Para o comando fls, precisamos especificar que a saída será no formato de saída da linha do tempo MAC. Para fazer isso, vamos executar o fls comando com o -m sinalizar e redirecionar a saída para um arquivo. Também usaremos o -m bandeira com o ils comando.
[email protegido]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls[email protegido]: ~ $ cat usb.fls
0 | / KINGSTON (entrada de rótulo de volume) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Informações de volume do sistema | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Informações de volume do sistema / WPSettings.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Informações de volume do sistema / IndexerVolumeGuid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv (excluído) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 ESub - xRG.mkv (excluído) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv (excluído) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv (excluído) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceans Twelve (2004) (excluído) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / MINUTOS DE PC-I REALIZADOS EM 23.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx (excluído) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (excluído) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (excluído) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(excluído) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (excluído) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (excluído) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / CONCURSO (Mega PC-I) Fase II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Nova pasta (excluída) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (excluído) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / AVISO DE CONCURSO (Mega PC-I) Fase II.docx (excluído) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (excluído) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (excluído) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / AVISO DE CONCURSO (Mega PC-I) Fase II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ OrphanFiles | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ bad_content 1 (excluído) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 2 (excluído) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 3 (excluído) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Execute o mactime ferramenta para obter a análise da linha do tempo com o seguinte comando:
[email protegido]: ~ $ cat usb.fls> usb.MacPara converter esta saída mactime em formato legível por humanos, digite o seguinte comando:
[email protegido]: ~ $ mactime -b usb.mac> usb.mactime[email protegido]: ~ $ cat usb.mactime Thu Jul 26 2018 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (excluído)
Qui, 26 de julho de 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (excluído)
47 m… - / rrwxrwxrwx 0 0 22930444 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (excluído)
353 m… - / rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESub - (excluído)
Sex, 27 de julho de 2018 00:00:00 12 .a… r / rrwxrwxrwx 0 0 135 / System Volume Information / WPSettings.dat
76 .a… r / rrwxrwxrwx 0 0 138 / System Volume Information / IndexerVolumeGuid
59 .a… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (excluído)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (excluído)
353 .a… - / rrwxrwxrwx 0 0 22930449 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (excluído)
Sex, 31 de janeiro de 2020 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / MINUTOS DE PC-I REALIZADOS 23.01.2020.docx
Sex. 31 de janeiro de 2020 12:20:38 33180 m… r / rrwxrwxrwx 0 0 45 / MINUTOS DE PC-I REALIZADOS 23.01.2020.docx
Sex. 31 de janeiro de 2020 12:21:03 33180… b r / rrwxrwxrwx 0 0 45 / MINUTOS DE PC-I REALIZADOS EM 23.01.2020.docx
Seg, 17 de fevereiro de 2020 14:36:44 46659 m… r / rrwxrwxrwx 0 0 49 / MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx (excluído)
46659 m… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (excluído)
Ter, 18 de fevereiro de 2020 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Game of Thrones 2 720p x264 DDP 5.1 ESub - (excluído)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (excluído)
Ter, 18 de fevereiro de 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (excluído)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (excluído)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx
Ter, 18 de fevereiro de 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (excluído)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (excluído)
38208 .a… r / rrwxrwxrwx 0 0 55 / MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx
Ter, 18 de fevereiro de 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (excluído)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (excluído)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTOS DE LEC REALIZADOS EM 10.02.2020.docx
Ter, 18 de fevereiro de 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (excluído)
38208 m… r / rrwxrwxrwx 0 0 55 / Game of Thrones 3 720p x264 DDP 5.1 ESub -
Sex, 15 de maio de 2020 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Nova pasta (excluída)
4096 .a… d / drwxrwxrwx 0 0 63 / anúncio de concurso para equipamento de infraestrutura de rede para IIUI (excluído)
56775 .a… r / rrwxrwxrwx 0 0 67 / ANÚNCIO (Mega PC-I) Fase II.docx (excluído)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (excluído)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (excluído)
56783 .a… r / rrwxrwxrwx 0 0 73 / ANÚNCIO (Mega PC-I) Fase II.docx
Sex, 15 de maio de 2020 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / Nova pasta (excluída)
4096… b d / drwxrwxrwx 0 0 63 / anúncio de concurso para equipamento de infraestrutura de rede para IIUI (excluído)
Sex, 15 de maio de 2020 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (excluído)
4096 m… d / drwxrwxrwx 0 0 63 / anúncio de concurso para equipamento de infraestrutura de rede para IIUI (excluído)
Sex, 15 de maio de 2020 12:43:18 56775 m… r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (excluído)
56775 m… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (excluído)
Sex, 15 de maio de 2020 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (excluído)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (excluído)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (excluído)
56783… b r / rrwxrwxrwx 0 0 73 / AVISO DE CONCURSO (Mega PC-I) Fase-II.docx
Sex. 15 de maio de 2020 12:45:36 56783 m… r / rrwxrwxrwx 0 0 68 vento.exe (excluído)
56783 m… r / rrwxrwxrwx 0 0 73 / AVISO DE CONCURSO (Mega PC-I) Fase-II.docx
Todos os arquivos devem ser recuperados com um carimbo de data / hora em um formato legível por humanos no arquivo “USB.mactime.”
Ferramentas para análise forense de USB
Existem várias ferramentas que podem ser usadas para realizar análises forenses em uma unidade USB, como Autópsia do kit de detetive, FTK Imager, Em primeiro lugar, etc. Primeiro, vamos dar uma olhada na ferramenta de autópsia.
Autópsia
Autópsia é usado para extrair e analisar dados de diferentes tipos de imagens, como imagens AFF (Advance Forensic Format), .imagens dd, imagens brutas, etc. Este programa é uma ferramenta poderosa usada por investigadores forenses e diferentes agências de aplicação da lei. A autópsia consiste em muitas ferramentas que podem ajudar os investigadores a realizar o trabalho com eficiência e sem problemas. A ferramenta de autópsia está disponível para plataformas Windows e UNIX gratuitamente.
Para analisar uma imagem USB usando a autópsia, você deve primeiro criar um caso, incluindo escrever os nomes dos investigadores, registrar o nome do caso e outras tarefas informativas. A próxima etapa é importar a imagem de origem da unidade USB obtida no início do processo usando o dd Utilitário. Então, vamos deixar a ferramenta de autópsia fazer o que faz melhor.
A quantidade de informações fornecidas por Autópsia é enorme. A autópsia fornece os nomes dos arquivos originais e também permite que você examine os diretórios e caminhos com todas as informações sobre os arquivos relevantes, como acessado, modificado, mudado, data, e Tempo. As informações de metadados também são recuperadas e todas as informações são classificadas de maneira profissional. Para tornar a pesquisa de arquivos mais fácil, a autópsia fornece Pesquisa por palavra-chave opção, que permite ao usuário pesquisar de forma rápida e eficiente uma string ou número entre os conteúdos recuperados.
No painel esquerdo da subcategoria de Tipos de arquivo, você verá uma categoria chamada “Arquivos excluídos”Contendo os arquivos excluídos da imagem da unidade desejada com todos os metadados e informações de análise de linha do tempo.
Autópsia é a interface gráfica do usuário (GUI) para a ferramenta de linha de comando Kit Detetive e está no nível mais alto no mundo forense devido à sua integridade, versatilidade, natureza fácil de usar e capacidade de produzir resultados rápidos. A análise forense do dispositivo USB pode ser realizada com a mesma facilidade no Autópsia como em qualquer outra ferramenta paga.
FTK Imager
FTK Imager é outra ótima ferramenta usada para a recuperação e aquisição de dados de diferentes tipos de imagens fornecidas. FTK Imager também tem a capacidade de fazer uma cópia de imagem bit a bit, de forma que nenhuma outra ferramenta como dd ou dcfldd é necessário para este propósito. Esta cópia da unidade inclui todos os arquivos e pastas, o espaço livre e não alocado e os arquivos excluídos deixados em um espaço ocioso ou não alocado. O objetivo básico aqui ao realizar análise forense em drives USB é reconstruir ou recriar o cenário de ataque.
Vamos agora dar uma olhada na realização de análise forense de USB em uma imagem USB usando a ferramenta FTK Imager.
Primeiro, adicione o arquivo de imagem ao FTK Imager Clicando Arquivo >> Adicionar item de evidência.
Agora, selecione o tipo de arquivo que deseja importar. Neste caso, é um arquivo de imagem de uma unidade USB.
Agora, insira a localização completa do arquivo de imagem. Lembre-se, você deve fornecer um caminho completo para esta etapa. Clique Terminar para começar a aquisição de dados, e deixe o FTK Imager faça o trabalho. Depois de algum tempo, a ferramenta fornecerá os resultados desejados.
Aqui, a primeira coisa a fazer é verificar Integridade da imagem clicando com o botão direito no nome da imagem e selecionando Verificar imagem. A ferramenta verificará se há hashes MD5 ou SHA1 correspondentes fornecidos com as informações da imagem e também informará se a imagem foi adulterada antes de ser importada para o FTK Imager ferramenta.
Agora, Exportar os resultados fornecidos para o caminho de sua escolha clicando com o botão direito no nome da imagem e selecionando o Exportar opção de analisá-lo. O FTK Imager irá criar um registro de dados completo do processo forense e irá colocar esses registros na mesma pasta que o arquivo de imagem.
Análise
Os dados recuperados podem estar em qualquer formato, como tar, zip (para arquivos compactados), png, jpeg, jpg (para arquivos de imagem), mp4, formato avi (para arquivos de vídeo), códigos de barras, pdfs e outros formatos de arquivo. Você deve analisar os metadados dos arquivos fornecidos e verificar se há códigos de barras na forma de um Código QR. Isso pode estar em um arquivo png e pode ser recuperado usando o ZBAR ferramenta. Na maioria dos casos, os arquivos docx e pdf são usados para ocultar dados estatísticos, então eles devem ser descompactados. Kdbx os arquivos podem ser abertos através de Keepass; a senha pode ter sido armazenada em outros arquivos recuperados, ou podemos executar força bruta a qualquer momento.
Em primeiro lugar
Foremost é uma ferramenta usada para recuperar arquivos e pastas excluídos de uma imagem de unidade usando cabeçalhos e rodapés. Vamos dar uma olhada na página de manual do Foremost para explorar alguns comandos poderosos contidos nesta ferramenta:
[email protegido]: ~ $ man principalmente-a Permite gravar todos os cabeçalhos, sem realizar detecção de erros nos termos
de arquivos corrompidos.
-número b
Permite que você especifique o tamanho do bloco usado principalmente. Isso é
relevante para nomenclatura de arquivos e pesquisas rápidas. O padrão é
512. ie. imagem -b 1024 mais importante.dd
-q (modo rápido):
Ativa o modo rápido. No modo rápido, apenas o início de cada setor
é pesquisado por cabeçalhos correspondentes. Ou seja, o cabeçalho é
pesquisado apenas até o comprimento do cabeçalho mais longo. O resto
do setor, geralmente cerca de 500 bytes, é ignorado. Este modo
faz com que tudo funcione consideravelmente mais rápido, mas pode fazer você
perder arquivos que estão incorporados em outros arquivos. Por exemplo, usando
modo rápido, você não será capaz de encontrar imagens JPEG incorporadas em
Documentos do Microsoft Word.
O modo rápido não deve ser usado ao examinar sistemas de arquivos NTFS.
Porque o NTFS irá armazenar pequenos arquivos dentro do Master File Ta‐
ble, esses arquivos serão perdidos durante o modo rápido.
-a Ativa a gravação de todos os cabeçalhos, não realiza detecção de erros nos termos
de arquivos corrompidos.
-i (entrada) arquivo:
O arquivo usado com a opção i é usado como arquivo de entrada.
No caso de nenhum arquivo de entrada ser especificado, stdin é usado para c.
O arquivo usado com a opção i é usado como arquivo de entrada.
No caso de nenhum arquivo de entrada ser especificado, stdin é usado para c.
Para realizar o trabalho, usaremos o seguinte comando:
[email protegido]: ~ $ primeiro usb.ddApós a conclusão do processo, haverá um arquivo no /resultado pasta chamada texto contendo os resultados.
Conclusão
A perícia forense da unidade USB é uma boa habilidade para recuperar evidências e recuperar arquivos excluídos de um dispositivo USB, bem como para identificar e examinar quais programas de computador podem ter sido usados no ataque. Em seguida, você pode reunir as etapas que o invasor pode ter realizado para provar ou refutar as alegações feitas pelo usuário legítimo ou vítima. Para garantir que ninguém saia ileso de um crime cibernético envolvendo dados USB, a perícia forense de USB é uma ferramenta essencial. Dispositivos USB contêm evidências importantes na maioria dos casos forenses e, às vezes, os dados forenses obtidos de uma unidade USB podem ajudar na recuperação de dados pessoais importantes e valiosos.
