Existem muitas maneiras de adquirir dados em
computação forense. E aquisição estática é uma das formas mais básicas e comuns delas.
A aquisição estática adquire dados de uma fonte não volátil, por exemplo, uma unidade USB. Em uma fonte não volátil de dados, os dados ainda permanecem armazenados depois que um dispositivo é desligado.
Há ferramentas comerciais que você pode usar para obter uma imagem de uma unidade USB, ou quaisquer outros tipos de unidades, mas também há uma abundância de utilitários de código aberto que você pode usar. Para este artigo, iremos usar uma ferramenta de código aberto chamada
dd para obter uma imagem de uma unidade USB.
Para começar, iremos ver o nome da unidade USB conectada a esta máquina. Usando o comando no terminal:
# fdisk -l
A nossa unidade USB é a "sdb1". Neste caso, nosso objetivo é obter uma imagem de uma unidade física inteira, ao invés de uma partição na unidade física. Portanto, usaremos "sdb", ao invés de "sdb1" em referência à nossa unidade USB. O comando é muito simples, basta digitar
dd, IF significa arquivo de entrada (input file) e o destino
of, informando o nome do arquivo de destino da imagem.
Após pressionar
Enter novamente, o processo de criação de imagens já começou e até que ele esteja concluído, você verá apenas este cursor piscando.
Uma maneira de verificar se o arquivo está sendo realmente criado, é abrir outra janela de terminal, para ver o nome do arquivo exibido em seu diretório. Então vamos fazer isso. E, em seguida, basta digitar:
ls -l
E como você pode ver, o arquivo foi criado. O arquivo vai ficar maior e maior conforme a imagem está sendo criada.
O processo de imagem terminou, volte para a janela anterior. E como podemos ver, a imagem está agora acabada.
Agora podemos trabalhar com a imagem, sem correr o risco de comprometer o drive que é uma evidência. Para montar a imagem, não podemos simplesmente rodar o comando
mount, porque este arquivo não contém apenas uma partição, mas sim um disco inteiro.
Teremos que encontrar o offset da partição e montar usando a opção offset do comando
mount. Para descobrir o offset há duas formas, usando o comando
file ou
fdisk.
Em ambos os comandos, nós descobrimos que o setor inicial é o 128, como também pode ser visto no comando
fdisk, cada setor tem 512 bytes, então precisaremos utilizar um offset de 65536 bytes (512 * 128). Vamos fazer o
mount passando esta informação.
Está montado o drive.
Conclusão
O
dd é uma dessas ferramentas mais básicas disponíveis, você pode usar para obter sua imagem de forma simples e direta. Mas existem ferramentas mais avançadas para criação de imagens que você pode usar para tornar seu trabalho, como um investigador forense, mais fácil.
Algumas dessas ferramentas incluem DCFLDD, uma versão forense de
dd, e há também um software de qualidade profissional chamado FDK Imager, baseado em Windows.
Espero que tenham gostado do artigo.
Um abraço,
André Milke