FACULDADE DE JUAZEIRO DO NORTE CURSO DE SISTEMAS DE INFORMAÇÃO MARCELO SANTANA SANTOS DE MELO USO DE TÉCNICAS PARA TER EFICIÊCIA NO PROCESSO DE ANÁLISE EM COMPUTAÇÃO FORENSE COM MÍDIAS SSD REMOVÍVEIS ULTILIZANDO FERRAMENTAS OPEN SOURCE JUAZEIRO DO NORTE – CE 2014
51
Embed
Mono Marcelo Santana Santos de Melo - Considerações Isydório
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
FACULDADE DE JUAZEIRO DO NORTE CURSO DE SISTEMAS DE INFORMAÇÃO
MARCELO SANTANA SANTOS DE MELO
USO DE TÉCNICAS PARA TER EFICIÊCIA NO PROCESSO DE ANÁLISE EM COMPUTAÇÃO FORENSE COM MÍDIAS SSD
REMOVÍVEIS ULTILIZANDO FERRAMENTAS OPEN SOURCE
JUAZEIRO DO NORTE – CE
2014
FACULDADE DE JUAZEIRO DO NORTE CURSO DE SISTEMAS DE INFORMAÇÃO
MARCELO SANTANA SANTOS DE MELO
USO DE TÉCNICAS PARA TER EFICIÊNCIA NO PROCESSO DE ANÁLISE EM COMPUTAÇÃO FORENSE COM MÍDIAS SSD REMOVÍVEIS UTILIZANDO FERRAMENTAS OPEN SOURCE
Monografia apresentada ao curso de Sistema de Informação para a obtenção do Grau de Bacharel em Sistemas de Informação. Orientado por: Cicero Woshington S. Leite
JUAZEIRO DO NORTE 2014
FACULDADE DE JUAZEIR DO NORTE SISTEMAS DE INFORMAÇÃO
MARCELO SANTANA SANTOS DE MELO
USO DE TÉCNICAS PARA TER EFICIÊNCIA NO PROCESSO DE
ANÁLISE EM COMPUTAÇÃO FORENSE COM MÍDIAS SSD
REMOVÍVEIS, UTILIZANDO FERRAMENTAS OPEN SOURCE
Esta Monografia foi julgada adequada para a obtenção do Grau de bacharelado, e aprovada na sua forma final pela Faculdade de Juazeiro do Norte
Data: ____/____/____ Nota: _____________
________________________________________________
Prof.ª Cicero Woshington S. Leite Orientadoror – FJN
Resultado sistemas operacionais (fonte: próprio autor). .................................................... 2219
Resultado ferramenta geração de imagem (fonte: próprio autor). ...................................... 2522 Resultado fase análise ...................................................................................................... 3632 Comentado [I1]: Só deve vir quando houve pelo menos 5
3
LISTA DE FIGURAS Caine Fonte (http://www.caine-live.net/) .......................................................................... 1816
DEFT (fonte: http://www.deftlinux.net/screenshot/). ........................................................ 2017 FDTK (fonte: http://fdtk.com.br/www/sobre/). ................................................................. 2118 resultado do DD (fonte: Proprio Autor) ............................................................................ 2320 Resultado DCFLDD (fonte: Próprio autor) ....................................................................... 2421 Uso do FLS para listar arquivos na mídia ......................................................................... 3127 FLS resultado na tela........................................................................................................ 3227 Usando a ferramenta Icat para recuperação de dados. ....................................................... 3228 Tela inicial do Autopsy. ................................................................................................... 3329 Pagina de analise Autopsy. ............................................................................................... 3430 DFF Tela inicial ............................................................................................................... 3531 Tela de dados DFF ........................................................................................................... 3632
4
LISTA DE SÍMBOLOS, ABREVEAÇÕES E NOMECLATURAS. ASCII ------- AMERICAN STANDARD CODE FOR INFORMATION INTERCHANGE
No Linux os sistemas de arquivos é formado por blocos, diretórios e sub diretórios,
não a atribuição de letras para unidade de disco, mais sim caminho de diretórios,
exemplificado para o Linux o caminho /dev/sda equivale a uma unidade de disco
(NEMENTH, 2007).
Segundo Tanenbaum (2003) o inode representa o apontador de um bloco em um setor
no disco, serve para dar acesso ao determinado arquivos sendo representado por números.
9
Formatado: Justificado, Recuo: Primeira linha: 1,25 cm,Espaçamento entre linhas: 1,5 linhas, Não hifenizar, Nãopermitir pontuação deslocada, Não ajustar espaço entreo texto latino e asiático, Alinhamento da fonte: Linha debase
10
2.3 SEGURANÇA DE INFORMAÇÃO.
A informação dever conter confiabilidade, integridade e disponibilidade, aonde
confiabilidade esta quando ele só é acessível por autorização, integral quando não há erros e
disponível para quem tenha acesso a mesma. (COSTA, 2010).
Conforme Marcacini (2010) Hash Code são sequências de bits representados por um
algoritmo, no que retorna uma chave criptografada (Informação não legível), três exemplos de
Hash é MD4, MD5, e SHA-1.
De acordo Eleutério (2010) a função do Hash é garantir a legitimidade da informação,
pois ele é responsável para mostrar, a partir de algoritmos, se a imagem gerada de uma mídia
é igual a outra ou não.
Formatado: Recuo: Primeira linha: 1,25 cm
11
3. CONCEITOS BASICOS SOBRE FORENSE E TÉCNICAS
Para compreender o trabalho proposto no projeto, e a sua contribuição, um estudo em
todos os pré-requisitos é obrigatório, e quais as ferramentas utilizadas no trabalho. Neste
capítulo estaremos apresentando os conceitos básicos de forense, e quais áreas são utilizadas.
Dar uma abordagem em crime de informática, qual legislação é aplicada, sistemas
operacionais com ferramentas forense, tipos de análises técnicas relacionadas para cada caso
de investigação, e por fim os métodos usados.
3.1 FORENSE.
Segundo Chamello (2006) a ciência forense é atuante em várias disciplinas como,
química, biologia, matemática, computação, telefonia, entre algumas outras, para ter como
objetivo, a contribuição em análise civil e criminal.
Já Martinelli (apud SAFERTEIN 2001) em resumo, a forense está na aplicação das
áreas da ciência de acordo com a lei.
3.2 COMPUTAÇÃO FORENSE.
A computação forense analisa o homem no uso de equipamentos eletrônicos
computacionais, nos quais envolvam dados relativos ao seu crime, estes dados podem ser
utilizados no meio ou fim como prova judicial, assim se tornando um laudo técnico pericial
judicial (COSTA,2011).
Portanto, a computação forense tem como objetivo principal determinar a dinâmica, a
materialidade e autoria dos fatos ilícitos ligados à área de informática, tendo como questão
principal a identificação e o processamentos de evidências digitais, em provas científicas,
conferindo-lhe validade probatória em juízo (ELEUTÉRIO, 2010).
3.3 O PERITO DE COMPUTAÇÃO FORENSE.
Conforme Mota Filho (2014) para ser perito em forense deve ser paciente, detalhista,
ser especialista em sistemas operacionais e file systems (sistemas de arquivos), ser conhecedor
12
de várias ferramentas para análise pericial, estar em constante atualização e o imprescindível,
gostar de aprender.
Já Vargas e Queiroz (2010) o perito em computação forense tem que ser uma pessoa
especializada na área computacional, ter paciência, pois uma análise pode durar vários dias ou
meses, ser perceptivo e ter interesse em vários assuntos, ter boa escrita e estudar sobre a
legislação criminalista.
Para Martinelli, Victor (2013, p, 23):
Dentre as principais atribuições do perito computacional podemos citar: a
identificação de suspeitos e fontes que evidenciam os ilícitos, obtenção e preservação
das evidências digitais análise de tais evidências e a apresentação das mesmas em um
relatório com todas conclusões da análise - sempre por meio da utilização de
procedimentos padronizados e aceitos pela comunidade científica, com objetivo de
que todas as evidências sejam aceitas pelos tribunais, servindo como prova legalmente
válida
O perito no Brasil é atuante em cargo público como especialista em tecnologia da
informação, é nomeado pela polícia federal de acordo com artigo Lei Nº 7.270, 10 dezembro
1984 no código civil. Também pode atuar como técnico nos processos extra jurídicos.
(Martinelli, Victor, 2013).
13
3.4 TERMINOLOGIA PERICIAL E CONCEITOS BÁSICOS.
De acordo com Costa (2011), prova digital é a informação apresentada em binário
como prova do crime, mídia digital é o dispositivo original obtido na coleta e duplicação
pericial é a cópia precisa da mídia coletada para análise.
3.5 PROCESSOS E TIPOS ANÁLISES EM COMPUTAÇÃO FORENSE.
Para Eleutério (2010), os principais exames em informática são: exame feito no local
do crime, em dispositivos de armazenamento com HD e SSD, exames em telefonia e exames
feitos em sites de internet ou acesso nos mesmos.
A análise em dispositivo computacional deve ser feita por um perito especializado,
com certificação na área indicada, o caso citado refere-se ao perito em computação forense.
Dentre as atribuições exigidas na legislação brasileira podemos citar as seguintes:
(MARTINELLI, 2013).
Em todas as fases de um processo na computação forense, obrigatoriamente a
documentação de todas, também deve ser incluída nomes dos equipamentos recolhidos em
custódia pelo perito, forma de manuseio, conter as assinaturas das testemunhas e do perito
(QUEIROZ, CLAUDEMIR, 2010).
Para Freitas (2006, p, 2), a perícia forense possui quatro procedimentos básicos: todas
a evidências devem ser identificadas, preservadas, analisadas e apresentadas.
Já Eleutério (2010) apresenta as fases desta forma: preservação, extração análise e
formalização dos dados.
Martinelli (2013) cita a existência de dois tipos de exames, que são os seguintes: live
forensics e post-mortem forensics, onde a primeira se trata da análise ao vivo, ou seja, quando
o sistema se encontra ainda ligado no ato da apreensão, e a segunda sendo a coleta e análise
posteriormente.
Já Costa (2011), nomeia as análises como a quente ou on line, onde é feita a coleta dos
dados na memória RAM (Random Acess Memory), com o dispositivo ainda ligado, e a análise
a frio ou off line, onde faz a apreensão dos equipamentos e feita a extração dos dados em
laboratório.
14
3.6 O QUE ANALISAR.
Segundo Rosa (2005), para todas as análises de dados ou sistemas, deve ser seguido
uma ordem ou ciclo para o processamento das informações, tendo o devido cuidado para que
não seja feito ou deixe algum registro nos dados originais, isto deve ser feito com o auxílio de
ferramentas de apoio.
De Acordo com Micheloni, Marelli e Eshghi (2012)
Uma unidade de estado sólido (SSD) é um dispositivo de armazenamento que
incorpora memória de estado sólido e emula um disco rígido para armazenar dados.
Porque um SSD emula uma unidade de disco rígido HD, que normalmente utiliza
interfaces de disco rígido e protocolos, como Parallel ATA, Serial ATA, Serial
Attached SCSI e Fibre Channel e podem facilmente substituí-lo a maioria das
aplicações da ONU.
3.7 FERRAMENTAS E TÉCNICAS DE APOIO AO PERITO.
Sleuth Kit é um conjunto de ferramentas para análise forense computacional, criado e
mantido por Brian Carrier. Dentre as ferramentas estão as seguintes, ILS, BLKLS, FLS,
FSSTAT, FFIND, MACTIME, DISK, STAT e Autopsy, que é a interface gráfica das
ferramentas anteriores. (CARRIER, 2014).
Para MELLO e Sandro (2009), DD é uma ferramenta da distribuição Unix, que tem
como principal objetivo converter mídia em imagem.
DCFLDD (DEFENSE COMPUTER FORENSICS LAB) é uma versão melhorada do
DD, esta ferramenta tem como principais utilidades a geração de imagem em mídia e o
cálculo de hash da imagem junto com a mídia no processo, também mostra o progresso da
tarefa. (HARBOUR, 2006).
MAC TIME é a forma abreviada de três atributos referente a tempo de acesso em uma
arquivo que são: modificação, acesso e alteração de estados, onde o primeiro é a data de
modificação, o seguindo data de acesso e o terceiro data de alteração (MARTINELLI, 2013)
Metadados são dados de um arquivo aonde contem data e hora, sobre acesso e
modificação (COSTA, 2011).
Busca por palavra-chave é um tipo de técnica que utiliza código binário, fazendo
pesquisa por string com o padrão ASCII, tendo como vantagens fazer a varredura em todos os
sistemas de arquivos (NG, REYNALDO, 2007).
15
Indicio de arquivo apagados. Sistemas operacionais não apaga um arquivos, ele
apenas remove sua referência em um bloco, passando de ocupado para livre, esta técnica
consiste em localizar os arquivos deletados nessas referencias (QUEIROZ, 2010).
DFF (Digital Forensics Framework) um distribuição open source para analise em
computação forense em todas a fase de uma perícia. (FRATEPIETRO e ROSSETTI, 2012)
3.7.1 SISTEMAS OPERACIONAIS FORENSE OPEN SOURCE
Caine (Computer Aided INvestigative Environment) é uma distribuição italiana para
análise ao vivo. Atualmente está na versão 5.0 juntamente com a versão 12.04 do Sistema
operacional Ubuntu Linux, ele é gerenciado por Nanni Bassetti (LEHR, 2014).
DEFT (Digital Evidence & Forensic Toolkit) é uma distribuição usada para análise em
computação forense, baseado no GNU Linux. Atualmente está na versão 8.2, lançado em
agosto de 2014. (FRATEPIETRO e ROSSETTI, 2012)
FTDK O projeto FDTK-UbuntuBr
É uma distribuição Linux criada a partir da já consagrada distribuição Ubuntu, e reúne
mais de 100 ferramentas capazes de atender a todas as etapas de um investigação em
Forense Computacional, oferecendo a possiblidade de ser utilizada como Live CD e
também ser instalada em um equipamento transformando-o em uma estação Forense.
Essa distribuição está em constante desenvolvimento e caracteriza-se não apenas pela
quantidade de ferramentas, mas também por uma interface amigável, estruturada
conforme as etapas do processo de perícia e, ainda pela preocupação por ser
distribuída no idioma português. (Disponível em (http://fdtk.com.br/www/sobre/
acesso 17 setembro 2014).
3.5 CRIMES DE INFORMÁTICA
Segundo Mello (2007), o crime de informática é todo aquele procedimento que atenta
contra os dados, que faz na forma em que estejam armazenados, compilados, transmissíveis
ou em transmissão.
16
Para Eleutério (apud CROCE 2010) pedofilia é o “desvio sexual caracterizado pela
atração por crianças ou adolescentes sexualmente imaturos, com os quais os portadores dão
vazão ao erotismo pela prática de obscenidades ou de ato libidinosos”.
Conforme NG (2007), no Brasil não existem normas específicas para crimes virtuais.
Os aspectos legislativos estão em discussão desde 1995.
Um fator desafiador que apresenta é o próprio campo jurídico. Não existem normas especificas para enquadrar certos delitos que ocorrem neste grande mundo virtual, sem contar as ações realizadas em jurisdições internacionais, que dependem de acordos entre os países envolvidos’. (NG, 2007, p60).
Segundo Eleutério (2010, p.16), o código de processo penal (CPP) determina em seu
artigo 158 que: “Quando a infração deixar vestígios, será indispensável o exame de corpo de
delito, direto ou indireto, não podendo supri-lo a confissão do acusado”.
Os principais exames forenses em informáticas são: Exames e procedimentos em de crime de informática, Exames em dispositivos de armazenamentos computacional CD, DVD, PEN DRIVES E HD, exames em aparelhos de telefonia, exames em sites de internet e exames em mensagens eletrônicas (e-mails) (ELEUTÉRIO, 2010, p19).
17
4. ESTUDO DE CASO
Tendo como objetivo a escolha de ferramentas na qual melhor se adequa a terem
eficiência nos processos de análise em computação forense, cabe ser feita a divisão das
exposições dos dados para cada uma das fases. Este capítulo será divido de acordo com as
fases de uma perícia forense, baseado com o modelo exposto por (MARTINELLI, 2013).
O estudo de caso que está sendo abordado, tem como material evidenciado a extração
de dados em um dispositivo SSD, obtido a partir de um Tablet, e o crime relacionado para
esta perícia enquadrará pedofilia, lembrando que a mídia e os resultados obtidos não tem
nenhuma ligação com um caso real, os mesmos apenas são referências para fins acadêmicos,
assim os dados exposto na última fase não terá valor jurídico.
4.1 OBTENÇÃO E COLETA DOS DADOS
Nesta fase dá início a perícia digital, estando imprescindível a escolha das ferramentas
certas, para cada uma das etapas. De acordo com Eleutério (2010), o perito deve estar
acompanhado por duas testemunhas que até o fim da perícia fará parte de todas as etapas, e
tendo as assinaturas na documentação da evidência.
O estudo de caso que será proposto na perícia, estará sendo feito de modo post-mortem
forensics ou seja os materiais são apreendidos e feito a perícia em laboratório.
Agora está sendo feita uma análise na qual o sistema operacional forense open source,
contenha ferramentas básicas, que melhor se adéqua a análise digital em casos de pedofilia e,
em relação as técnicas utilizadas para a resolução deste tipo de caso.
A escolha dos sistemas operacionais serão realizadas das seguintes formas:
Qual sistema operacional é instalável, live CD e contém ferramentas para
análise live forensics e post-mortem forensics em todos os tipos de sistemas de
arquivos, e em cada fase da perícia, assim não sendo preciso a instalação de
pacotes adicionais;
Qual sistema operacional tem ferramenta para análise sobre linha do tempo e
recuperação de dados;
Qual sistema não faz montagem de unidade SDD de modo leitura e escrita
automaticamente, pois se for feito será prejudicado a segunda fase na qual se
dá a preservação dos dados;
18
Qual sistema está mais atualizado com o conjunto de ferramentas Sleuth Kit,
que são o conjunto de ferramentas básicas para perícia digital.
4.1.2 ESCOLHA DO SISTEMA OPERACIONAL FORENSE
Os sistemas operacionais foram escolhidos, a partir de matérias publicadas em fontes
da internet, onde são artigos publicados com amostras das utilidades de cada um dos sistemas.
Uma das fontes de pesquisa, foi de uma publicação no blog de Diego Macedo em 23 de
outubro de 2012, na qual faz um breve resumo dos sistemas operacionais Caine, DEFT e
FTDK. As outras fontes de pesquisa são os sites da distribuição dos sistemas operacionais
expostos. À partir disto, será feita uma relação do conjunto de ferramentas de cada sistema
operacional pré-instalado, juntamente com a comparação do requisitos expostos no capítulo
4.1.
Caine (Computer Aided Investigative Environment) é uma distribuição italiana mais
voltada para a análise ao vivo, ou seja, em dispositivos ainda ligados. Baseado no Ubuntu
12.04, sua última versão atualizada foi a 5.0.
Figura 1Caine Fonte (http://www.caine-live.net/)
O Caine tem um ambiente agradável e de fácil operabilidade, as principais
características deste sistema operacional forense são:
Ter ferramentas acessíveis para todas as quatro fases de uma perícia digital;
19
Montagem de mídia por padrão em modo só de leitura;
Possuir pacotes adicionais para análise on line como a ferramenta Win – Ufo
utilizada para análise em sistema operacional Windows.
Sendo feito um resumo sobre o sistema operacional Caine, ele é bastante eficiente para
análise on line, por conter ferramentas compatíveis para vários sistemas operacionais, sendo
eles em computador ou smartphone, exemplificando Windows, MAC e Linux para
computador e Android, IOS e Blackberry para smartphone. Mas no fator análise off line, a
instalação do mesmo em alguns modelos de hardware entra em incompatibilidade.
20
DEFT (Digital Evidence & Forensic Toolkit)
Figura 2 DEFT (fonte: http://www.deftlinux.net/screenshot/).
É um sistema operacional de origem italiana, ambiente gráfico de fácil usabilidade,
possui todas a ferramentas básicas para perícia em computação forense online e off-line, em
sistemas operacionais Windows, Linux, Android, e IOS, dentre as ferramentas estão as
seguintes:
Para análise em Windows o DART (Digital Advanced Response Toolkit), é um
conjunto de ferramenta para análise online, onde possui recursos como dump
de memória, aonde é feita a imagem da mesma, recuperação de dados,
antivírus e análise em rede;
No Linux dispõe ferramentas para todas as fases da perícia, entre as existentes,
o Autopsy é responsável por análise de arquivos onde podem serem utilizadas
técnicas como: Mac time; indícios de arquivos apagados, esta mesma
ferramenta tem suporte para utilização em Windows;
Para perícia em Smartphone o DEFT contém ferramentas que auxiliam no
dump de memória em Iphone, análise de banco de dados em Android e tráfico
de rede.
FDTK (Forense Digital ToolKit).
21
Figura 3 FDTK (fonte: http://fdtk.com.br/www/sobre/).
Sistema operacional criado por Paulo Neukamp para trabalhado de conclusão, o FDTK
se torna diferenciado em dois pontos. O primeiro é a relação das ferramentas instaladas no
sistema, elas são divididas de acordo com cada fase da perícia e o segundo ponto, consiste
implementação de um manual em português com o passo a passo de cada uma, assim
ajudando na utilização das técnicas por usuários iniciantes.
No Sistemas Operacional FDTK disponibiliza para a fase inicial, um modelo de
formulário cadeia e custódia em formato Excel. O ponto falho no sistema operacional é não
conter ferramentas para análise em Windows de modo online, e além disto, a versão
UBUNTU 9.04 não atualizada, assim quando a instalação do sistema operacional é em
computador mais atual, tende a ser incompatível com o sistema.
Tabela Quadro com os resultados dos requisitos obtidos pelos sistemas operacionais
CAINE DEFT FDTK Live CD e INSTALAVEL/FERRAMENTA LIVE FORENSICS E POST-MORTEM FORENSICS
MAC TIME MAC TIME Mac Time, FLS MAC TIMR, MACROUBER
Recupera dados PHOTO REC, PROTO REC, RECOVER
22
FORESMOST, FLS
RECOVER, FORESMOST, FLS
PROTO REC, FORESMOST, FLS
Data de atualização 17 janeiro 2014 10 agosto 2014 11 julho 2011 Sistema operacional UBUNTU 12.04 UBUNTU 12.04 UBUNTU 9.04 Tabela Quadro 1 Resultado sistemas operacionais (fonte: próprio autor).
Na tabela Quadro 1 expõe uma comparação entre os sistemas operacionais Caine,
DEFT e FDTK, aonde os resultados foram os seguinte: Todos os sistemas operacionais analisados tem opção de instalação e, rodam
por live cd. Já na questão ferramenta de análise em sistema operacional, sem
ser preciso ter da boot pelo live cd, o Caine contém o Win – Ufo, que é um
pacote de ferramentas para análise em Windows, caso o PC está ligado no ato
da apreensão. O DEFT disponibiliza o DART que contém várias ferramentas
voltada para iniciante em uma perícia Windows com o mesmo propósito do
Win -Ufo.
O FDTK não disponibiliza nenhuma ferramenta para este tipo de análise;
Caine, DEFT e FDTK contém instalado Autopsy juntamente Sleuth kit;
Montagem de modo automático dos três sistemas operacionais analisados, o
FDTK foi o único que faz montagem de modo leitura e escrita automático,
assim se for feita uma perícia em um dispositivo a partir da porta USB
(Universal Serial Bus) terá que ser configurado, pois não feito isto, prejudicará
a fase seguinte;
Mac Time: todos os sistemas operacionais analisados vem com ferramenta para
análise de linha do tempo, técnica para resolução de casos como pedofilia.
Recuperação de dados: todos tem várias ferramentas para recuperação de
dados.
Atualização do S.O.: o Caine e DEFT tem como Ubuntu distribuição GUI
12.04 e versões atualizadas deste ano da própria distribuição Caine 5.0 e DEFT
8.2. Já o FDTK está com Ubuntu 9.04 e sua última atualização foi no ano de
2011, com a versão 3.0.
Partindo dos resultados expostos, chega à conclusão que o DEFT é o sistema
operacional forense que será utilizado para as exposições na análise forense computacional,
pois ele é o que mais se enquadra nos requisitos definidos. A próxima seção mostra a
Comentado [I11]: Fechar
Comentado [I12]: Corrigir nos demais
23
comparação, que tem como objetivo definir a melhor ferramenta para obtenção e coleta dos
dados.
4.1.3 ANÁLISE DE FERRAMENTA GERAÇÃO DE IMAGEM
Levando em conta a eficiência como objetivo, as ferramentas analisadas fazem parte
do sistema operacional DEFT, deste modo não perdendo tempo na instalação de ferramentas
adicionais. Feito o levantamento das ferramentas contidas no sistema operacional DEFT para
a geração de imagem a partir do manual disponível no site http://www.deftlinux.net/doc/EN-
deft7.pdf. Foram extraídas duas ferramentas para os testes, resultando em uma que fará parte
do processo investigativo. As mesmas são DD e DCFLDD.
Seguindo o critério abaixo, teremos a escolha de uma das duas ferramentas citadas:
1. Ferramenta que tenha sua linha de comandos, simples e objetiva;
2. Tenha precisão na cópia da imagem;
3. Ferramenta com melhor desempenho;
4. Seja prática, ajudando em uma ou mais fases do processo.
Os testes feitos a seguir foram com um tablet, onde o armazenamento interno é SSD.
As imagens geradas a partir dele, serão utilizadas no decorrer do processo, lembrando que os
resultados adquiridos na análise do dispositivo, não tem nenhuma relação com caso real,
apenas estão sendo feito para fins acadêmicos. As configurações do dispositivo evidenciado e
também do computador usado para a extração dos dados estão nos apêndices A e B.
A figura abaixo mostra a linha de comando básica, juntamente com o resultado usando
a ferramenta DD para extração da imagem na mídia interna do dispositivo.
Figura 4 resultado do DD (fonte: Próprio Autor)
O comando time colocado antes do DD, apresenta o tempo utilizado na geração da
imagem que foi de 9 minutos e 21 segundos. Seguido do comando dd if=/dev/sdb onde o dd é
a ferramenta utilizada e if=/dev/sdb é o caminho que aponta para a mídia SSD, logo após
24
of=/dev/root/Desktop/evidence/caso01/ssd_imagem.img que será aonde armazenará a
imagem coletada.
Em seguida foi feita o processo com o DCFLDD e chegaram no seguinte resultado:
Figura 5 Resultado DCFLDD (fonte: Próprio autor)
Foi utilizado o mesmo dispositivo para a comparação com o DCFLDD, modificando
só o nome da imagem e acrescentando o comando hash=md5,sha1,shal512, resultando no
hash da mídia e imagem ssd_interno.img coletado.
25
Com isto a tabela quadro de comparação expõe os seguintes resultados:
devices-in-connected-world-master-ti/> acesso 20 de ago de 2014.
TANENBAUM, Andrew S. Sistemas operacionais modernos. 2. ed. São Paulo: Prentice
Hall, 2003. 672 p. Tradução: Ronaldo A. L. Gonçalves.
VARGAS, Rafael; QUEIROZ, Claudemir. Investigação e pericia Forense Computacional:
certificações, leis processuais e estudo de caso. Rio de Janeiro: Brasport, 2010. 156 p.
43
APÊNDICE
A – EQUIPAMENTO ULTILIZADO NO PROCESSO
O equipamento utilizado foi um Netbook da marcada Asus, com as configurações de fábrica modifica para o experimento.
Tipo de computador portátil pessoal. Fabricante Asus. Sistema Operacional DEFT. Processador Intel Aton N550 Dual Core. Memória RAM 2GB DD3 10600. Disco Rígido Toshiba MK7559GSXF = 750GB (LBA 1465149168 SETORES)
LINUX. Monitor LED 10.1 Polegadas.
Foi utilizado um cabo USB 2.0 de marca Samsung para a conexão do dispositivo
periciado e o Netbook. B – EQUIPAMENTO ANALISADO. O equipamento recolhido para análise se encontra com as seguintes características:
Tipo de dispositivo: Tablet portátil. Fabricante: CCE. Sistema operacional: Android versão 4.0. Processador: single-core Cortex A8 de 1,2 GHz Memória RAM: 1GB Armazenamento interno: SSD 5.1GB.
44
ANEXO
A – FORMULARIO DE CADEIA E CUSTODIA O formulário usado para a apresentação dos dispositivos analisado foi baseado com o modelo exposto por (COSTA,2011).
Data Hora
partes Driver
Data:Hora:Data:Hora:
Data:Hora:Data:Hora:
Data:Hora:
Data:Hora:
CADEIA E CUSTÓDIA
DESTINO DATA/HORA SAIDA DATA/HO RA CHEGADA MOTIVO
Hash
numero de série
FOMULÁRIO DE CADEIA E CUSTODIA
IMAGEM DOS DADOSCriado por
Nome da imagem
Fabricante Modelo
CASO NUMERO.: NUMERO DE PAGINAS:
DETALHE DE EQUIPAMENTO E MÍDIANumero do item: Descrição
Metodo Usado
Assinatura Tetesmunha Assinatura Tetesmunha
Assinatura perito Assinatura Tetesmunha
Formulário cadeia e custodia 1 (fonte: COSTA, 2013).