Como já falamos sobre bloqueio de escrita na duplicação pericial, abordaremos a realização de imagens de dispositivos de prova.

Atualmente contamos com uma quantidade cada vez maior de opções para a realização de imagem pericial ou (imagem forense). Essas opções começam com o dd, que é um programa presente no Unix e no Linux, que copia arquivos ou dispositivos de armazenamento de dados completos, convertendo-os para o formato RAW. O nome dd originou-se de “data/disk duplication” e é a ferramenta de duplicação padrão das distribuições Linux para uso forense, como a brasileira FDTK, Helix da e-fense, Caine, Deft, FCCU, BackTrack, entre tantas outras. O dd também pode ser utiilizado no Windows com o Cygwin.

Existem algumas interfaces gráficas para o dd de forma a facilitar a tarefa de produzir imagens forenses, como o Adepto do Helix, AIR, DD-Gui, Gdiskdump, entre outras.

Figura 1: Adepto 2.1

Figura 2: Air 2.0

A Guidance Software quando lançou o Encase, criou um disco de boot baseado em MS-DOS com uma ferramenta para realização de imagens. O próprio Encase realiza imagens, preferencialmente conectadas através de um bloqueador de escritas. Mais recentemente lançou o Linen que é um disco de boot Linux com o utilitário para a realização de imagem de mídias.

A AccessData disponibiliza gratuitamente o FTK Imager, atualmente na versão 3.1.0, que produz imagens forenses nos formatos E01, Raw(dd), Smart e AFF.

Figura 3: FTK Imager 3.0

Recentemente a Tableau, fabricante de bloqueadores de escrita bastantes conhecidos, lançou o TIM – Tableau Imager, também gratuito, atualmente na versão 1.11, que produz imagens forenses nos formatos E01, Raw(dd), DMG.

Figura 4: Tableau Imager 1.11

Existem outros como o Digital Investigation Manager – Acquisition Module da italiana DFLabs, o Safeback da New Technologies Inc., etc.

Figura 5: DIM AM

Para conhecer os formatos de arquivos de imagens forenses vale a pena visitar a página da Forensicwiki.org.

Em breve publicarei um post onde analisaremos algumas destas ferramentas e sua performance.

Os sistemas operacionais Linux e Windows possuem recursos próprios de bloqueio de escrita. O Linux é mais flexível, pois permite a montagem de dispositivos de mídia em modo somente leitura. Para isso é preciso utilizar uma distribuição em que o SO esteja com o automount desativado, de forma que a montagem seja realizada somente de forma manual. Assim um dispositivo em /dev/hda3, será montado em /mnt/readonly, com as seguintes linha de comando:

# mount -o ro /dev/hda3 /mnt/readonly ou
# mount -r /dev/hda3 /mnt/readonly

No ambiente Windows o processo não é tão simples. Troy Larson, Senior Forensic Investigator do Microsoft’s IT Security Group, criou o Windows Forensic Environment, uma mídia de inicialização construída a partir do Windows 7, que permite anexar dispositivos de mídia protegidos de escrita. Caso queira conhecer o WinFE com mais detalhes recomendo o blog Windows Forensic Environment que contém bastante material a respeito.

O Microsoft Windows permite o bloqueio de escrita em dispositivos de mídia anexados ao SO através de portas USB. Isto pode ser realizado através do registro, conforme vemos a seguir.

Na chave HKLMSYSTEMCurrentControlSetControlStorageDevicePolicies verifique a existência do valor “WriteProtect“. Em caso positivo, edite o valor e coloque “0” (zero) nos dados do valor. Caso o valor não exista, crie um valor DWORD com o nome “WriteProtect” e com o dado do valor “1” (um) para efetuar o bloqueio. Assim se “WriteProtect” tem o dado do valor igual a “0” as portas USB estarão desbloqueadas e se o dado do valor for igual a “1” as portas USB estarão bloquedas.

Observação Importante. O dispositivo só deverá ser conectados às portas USB após o bloqueio das portas. Se for necessário desbloqueá-las para escrita em algum dispositivo, realize o desbloqueio e conecte o dispositivo desejado. Após o desbloqueio, dispositivos que estavam conectados no modo bloqueado, permanecem bloqueados até que sejam removidos e reconectados.

Abaixo o link para download de um pequeno utilitário para bloqueio de escrita em portas USB, criado através AutoPlay Media Studio 8, para uso livre e gratuito. O utilitário permite bloquear ou liberar as portas, informa o status corrente e avisa se não existe o valor “WriteProtect” oferecendo a opção de criá-lo.

USBLock v2.1.zip

1 arquivo(s) 5.59 MB

Download USBLock v2.1

Hash MD5 – [71998EBCBE02E482EA7FD993A27B2F9A]

A análise de mídias suspeitas exige a sua perfeita preservação, que consiste na utilização de recurso de bloqueio de escrita, para permitir o acesso à mídia sem risco de alteração de seu conteúdo. Este bloqueio pode ser realizado através de hardware ou de software, dependendo exclusivamente dos recursos disponíveis para o perito.

Software – No bloqueio por software, normalmente é utilizado uma mídia de inicialização controlada, que permite a colocação do hardware suspeito em modo somente leitura. O Helix da e-fense e o Linen da Guidance, são os dois exemplos de sistema que utilizam o Linux como base para realização de criação de imagem, que permite montar o dispositivo em modo somente leitura. A Digital Inteligence oferece o PDBlock, um utilitário para ambiente DOS com função de bloqueio de escrita.

Hardware – O bloqueio por hardware conta com um grande número dispositivos comerciais, adequados a todos os orçamentos, sendo possível encontrar soluções de baixo custo até dispositvos sofisticados de cópia. A Tableau é uma das empresas mais conhecidas na fabricação de dispositivos de bloqueio escrita, cujos produtos também levam a marca de terceiros.

Obs.: Assim como o Linux permite a montagem de dispositivos no modo somente leitura, o Windows também possui recurso para a montagem de dispositivos USB com escrita bloqueada, conforme veremos em breve.