Queira o Sr. Perito detalhar o procedimento de cópia forense

encase

Depois de apresentarmos informações sobre práticas para preservação de dados, esclarecermos sobre o que é cópia forense e o que é uma cadeia de custódia, trazemos hoje um procedimento técnico para geração de uma cópia forense com o Encase.

Para realizar o seguinte procedimento não é necessário ter a licença da ferramenta, pois a função de duplicação de dados e verificação de integridade está disponível para utilização sem licença (modo “Acquisition”). Existem também outras opções que não abordaremos nesse momento como o EnCase Forensic Imager e FTK, que funcionam basicamente da mesma maneira.

Requisitos Técnicos:

Para a execução desse procedimento de coleta faz-se necessário:

  • Notebook com ENCASE 6 devidamente instalado e atualizado;
  • Interface USB > SATA (Para conexão do disco destino. Se tiver conexões mais rápidas como firewire melhor);
  • Disco rígido virgem e de tamanho superior ao que deve ser duplicado.
  • Bloqueador de disco – Protetor contra escrita em disco (write blocker).

Sobre a ferramenta:

EnCase 6 é um software proprietário. Desenvolvido pela Guidance Software, possui soluções para captura, análise de dados e emissão de relatório.

Permite visualização rápida dos principais formatos de imagem forense, duplicação de dispositivos de armazenamento, conversão de imagens, emulação de disco a partir de imagem, análise de arquivos, montagem de contêineres etc.

Etapa 1 – Preparação dos discos:

Antes de começar, deve-se conectar o disco que será duplicado (evidência) em um protetor contra escrita acidental (write blocker). O disco original jamais deve ser conectado diretamente ao computador duplicador sem esta proteção.

1. Com o sistema operacional ligado, conecte apenas o disco que acondicionará a cópia forense (destino).

O disco que acondicionará a cópia não deve ser protegido com bloqueador de escrita. Do contrário, o sistema operacional não permitirá a gravação do arquivo de Imagem Forense.

2. Clique com o botão direito do mouse em My Computer dentro do menu Start. No menu de contexto que surgirá, clique em Manage. Essa sequência de passos abrirá o Computer Management.

3. Do lado esquerdo da janela, clique em Disk Management para visualizar os discos conectados ao computador.

4. Se o disco que acondicionará a cópia forense for virgem, surgirá a seguinte tela solicitando a inicialização do disco. Nela deve ser escolhida a opção MBR. Caso a tela não apareça automaticamente, clique com botão direito do mouse sobre o disco e clique em Initialize Disk.

Ativação do disco

Caso a cópia tenha que ser acondicionada em um disco criptografado, o disco não deve ser inicializado, e sim montado a partir do programa que o criptografou, tal como o TrueCrypt.

5. Quando o disco destino estiver preparado, o disco original, aquele que será duplicado, deve ser conectado ao computador por meio de um bloqueador de escrita (Atenção para os diferentes tipos de conexões: SATA, SCSI, IDE etc).

Bloqueador de escrita

O descumprimento da etapa anterior acarreta na escrita de dados e propriedades de acesso no disco original. Em casos litigiosos, tais registros podem comprometer a prova e torná-la imprestável.

Etapa 2 – Iniciar cópia forense:

6. INICIALIZAÇÃO DO ENCASE: Abra o ENCASE 6 – não é necessária a utilização do Dongle. Clicar em “File > New” o que fará surgir uma nova janela para preenchimento do “Name” – nome do projeto, “Examiner Name” – nome do examinador, e locais que o ENCASE utilizará para gravação de temporários, exportação de arquivos e cache. Preencha apenas o nome do projeto e o nome do examinador e mantenha as configurações padrões já presentes na tela, então, clique em “Concluir”.

Informações sobre a imagem forense

7. ADIÇÃO DO DISCO ORIGINAL: Em seguida, clique em “Add Device” no menu superior. Na tela seguinte selecione “Local Drives” e, em seguida, clique em “Avançar”.

Seleção do disco a ser copiado

Repare que o Encase mostra cada disco conectado ao computador de duas formas: (i) dispositivos lógicos – representados na figura a seguir pelos nomes ‘C’ e ‘E’, e (ii) dispositivos físicos – representados na figura a seguir pelos nomes ‘0’ e ‘1’.

Selecione o disco físico o qual deverá ser duplicado (imagem forense) e clique em avançar.

Seleção do disco a ser copiado

A tela seguir apresenta os discos que serão lidos pelo ENCASE. Antes de concluir certifique-se que apenas o disco físico que deverá ser duplicado aparece nessa tela. Se outros dispositivos aparecerem nessa tela, selecione os discos que não serão duplicados e aperte o botão “Delete” do teclado.

Confirmação da seleção

Depois de adicionado, o disco físico aparecerá da seguinte forma na ViewEntries > Home” situada no canto superior esquerdo da tela do ENCASE. Note que a tabela de arquivos não foi montada, havendo apenas visualização do disco em formato RAW. Isso acontece devido à ausência do Dongle.

Visualização do disco

8. INÍCIO DA DUPLICAÇÃO: Para iniciar a duplicação clique com o botão direito do mouse no disco adicionado e selecione a opção “Acquire” no menu.

Inicio da aquisição

Na tela “After Acquisition” marque a opção “Do not add” e, em seguida, no botão avançar.

Configurações iniciais

Na tela “Options” defina o nome e a descrição da Imagem Forense. A imagem pode ser particionada (File Segment Size) a partir de um tamanho pré-determinado, em nosso exemplo utilizaremos 1024MB por parte.

O campo “Compression” serve para determinar o nível de compressão da imagem, imagens comprimidas demoram mais para serem adquiridas. No nosso exemplo não utilizaremos compressão (Utilize somente em casos de falta de espaço de disco disponível).

O campo “Password” deve ser preenchido caso a imagem precise ser criptografada (aconselhável). Em seguida, selecione o campo “Acquisition MD5”, defina o local onde a Imagem deverá ser gerada no campo “Output Path” e mantenha as demais configurações. Depois de todos os itens acima devidamente configurados, clique em “Concluir”.

Configuração da imagem forense

O status da duplicação será mostrado no canto inferior direito da tela do ENCASE.

Após o término da captura será exibida uma tela com informações sobre o procedimento (Status, Data e Horário de Início e Fim, Nome da Imagem Forense e Hash Code).

Relatório de finalização da duplicação

Após o término da captura, o EnCase realiza a verificação de integridade da Imagem Forense, calculando seu código Hash e comparado com o código Hash do disco original. Se a Imagem estiver íntegra, surgirá a seguinte tela:

Relatório de verificação de integridade

A figura a seguir mostra o diretório que acondicionou a Imagem Forense. Note que foram gerador arquivos particionados. Cada parte possui o tamanho configurado durante a captura no ENCASE.

Cópia forense recém-gerada

Bem pessoal, esse é o procedimento técnico mais utilizado para cópia forense com a ferramenta EnCase. Em breve traremos  outro procedimento, dessa vez com ferramenta livre (software livre) e também outro post explicando como fazer a sanitização (wipe) de disco. Até a próxima!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s