Guia abrangente sobre o FTK Imager

FTK Imager é um software de código aberto da AccessData que é usado para criar cópias precisas das provas originais sem realmente fazer quaisquer alterações. A Imagem da evidência original permanece a mesma e permite-nos copiar dados a uma velocidade muito mais rápida, que pode ser preservada em breve e pode ser analisada posteriormente.

O gerador de imagens FTK também lhe fornece a função de verificação de integridade embutida que gera um relatório de hash que ajuda a combinar o hash da evidência antes e depois de criar a imagem da evidência original.

Tabela de Conteúdos

Criar uma Imagem Forense
Capturar Memória
Analisando o despejo de Imagem
Montagem de Imagem para Conduzir
Conteúdo Personalizado de Imagem usando AD encriptação
Detectar Encriptação AD
Obter Ficheiros Protegidos
Detectar Encriptação EFS
Exportar Ficheiros

Deixe-nos começar com a criação de uma cópia de imagem da evidência original.

Criar uma imagem forense

A geração de imagens forenses é um dos passos mais cruciais envolvidos na investigação forense digital. É o processo de fazer uma cópia de arquivo ou cópia de segurança de todo o disco rígido. É um arquivo de armazenamento que contém todas as informações necessárias para inicializar o sistema operacional. No entanto, este disco de imagens precisa de ser aplicado ao disco rígido para funcionar. Não é possível restaurar um disco rígido colocando os arquivos de imagem do disco nele, pois ele precisa ser aberto e instalado na unidade usando um programa de imagem. Um único disco rígido pode armazenar muitas imagens de disco nele. As imagens de disco também podem ser armazenadas em unidades flash com maior capacidade.

Open FTK Imager by AccessData após a instalação, e você verá a janela pop-up que é a primeira página para a qual esta ferramenta abre.

Now, para criar uma imagem de disco. Clique em File > Create Disk Image.

Agora, você pode escolher a fonte com base na unidade que você tem. Pode ser uma unidade física ou lógica, dependendo da sua evidência.

A unidade física é o hardware de armazenamento principal ou o componente dentro de um dispositivo, que é usado para armazenar, recuperar e organizar os dados.

Um Drive Lógico é geralmente um espaço de unidade que é criado sobre um disco rígido físico. Uma unidade lógica tem seus parâmetros e funções porque opera independentemente.

Agora escolha a fonte da sua unidade que deseja criar uma cópia da imagem.

Adicionar o caminho de destino da imagem que vai ser criada. Do ponto de vista forense, deve ser copiada em um disco rígido separado e múltiplas cópias da evidência original devem ser criadas para evitar a perda de evidência.

Selecione o formato da imagem que você deseja criar. Os diferentes formatos para criar a imagem são:

Raw(dd): É uma cópia bit a bit da evidência original que é criada sem quaisquer adições e ou exclusões. Eles não contêm metadados.

SMART: É um formato de imagem que foi usado para Linux que não é mais usado popularmente.

E01: Significa EnCase Evidence File, que é um formato comumente usado para imagens e é semelhante a

AFF: Ele significa Advanced Forensic Format que é um formato de código aberto do tipo.

Agora, adicione os detalhes da imagem para prosseguir.

Agora, finalmente adicione o destino do arquivo de imagem, nomeie o arquivo de imagem e depois clique em Finish.

Após ter adicionado o caminho de destino, pode agora começar com a imagem e também clicar na opção verificar para gerar um hash.

Agora esperemos alguns minutos para que a imagem seja criada.

Após a imagem ser criada, é gerado um resultado Hash que verifica o Hash MD5, SHA1 Hash, e a presença de qualquer sector mau.

Capturing Memory

É o método de capturar e despejar o conteúdo de um conteúdo volátil em um dispositivo de armazenamento não volátil para preservá-lo para investigação posterior. Uma análise de ram só pode ser realizada com sucesso quando a aquisição tiver sido realizada com precisão sem corromper a imagem da memória volátil. Nesta fase, o investigador tem que ter cuidado com suas decisões de coletar os dados voláteis, pois eles não existirão depois que o sistema for reiniciado.

Agora, vamos começar com a captura da memória.

Para capturar a memória, clique em File >Capture Memory.

Escolha o caminho de destino e o nome do arquivo de destino, e clique em capture memory.

Agora vamos esperar alguns minutos até o carneiro ser capturado.

Analisando o despejo de imagens

Agora vamos analisar a imagem RAW do despejo uma vez que tenha sido adquirida utilizando o gerador de imagens FTK. Para começar com a análise, clique em File> Add Evidence Item.

Agora seleccione a fonte do ficheiro dump que já criou, por isso aqui tem de seleccionar a opção de ficheiro de imagem e clicar em Next.

Seleccione o caminho do ficheiro de despejo da imagem que captou clicando em Browse.

>Após o despejo da imagem estar anexado à parte de análise, verá uma árvore de evidências que tem o conteúdo dos ficheiros do despejo da imagem. Isto poderia ter apagado bem como sobregravado dados.

Para analisar outras coisas melhor, vamos agora remover este item de evidência clicando com o botão direito do mouse sobre a caixa e clicar em Remove Evidence Item

Mounting Image to Drive

Para montar a imagem como um drive no seu sistema, clique em File > Image Mounting

Após a janela Mount Image to Drive aparecer, você pode adicionar o caminho ao arquivo de imagem que você quer montar e clicar em Mount.

Agora pode ver que o ficheiro de imagem foi agora montado como uma unidade.

Custom Content Image with AD Encryption

FTK imager tem uma funcionalidade que lhe permite encriptar ficheiros de um determinado tipo, de acordo com os requisitos do examinador. Clique nos ficheiros que pretende adicionar à imagem de conteúdo personalizado juntamente com a encriptação AD.

Todos os ficheiros seleccionados serão apresentados numa nova janela e, em seguida, clique em Create Image (Criar imagem) para prosseguir.

Preencha os detalhes necessários para a evidência que será criada.

Agora adicione o destino do arquivo de imagem que será criado, nomeie o arquivo de imagem e então marque a caixa com a criptografia AD, e então clique em Finish.

A nova janela irá aparecer para criptografar a imagem, Agora locatário e digite novamente a senha que você deseja adicionar para a sua imagem.

Agora para ver os ficheiros encriptados, clique em File> Add Evidence Item…

A janela para desencriptar os ficheiros encriptados irá aparecer assim que adicionar a fonte do ficheiro. Digite a senha e clique em OK.

Você agora verá os dois arquivos criptografados ao digitar as senhas válidas.

Decifrar Imagem AD1

Para decifrar a imagem de conteúdo personalizado, clique em File>Decifrar Imagem AD1.

Agora você precisa digitar a senha para o arquivo de imagem que foi criptografado e clique em Ok.

Agora, aguarde alguns minutos até que a imagem desencriptada seja criada.

Para ver a imagem de conteúdo personalizado desencriptada, adicione o caminho do ficheiro desencriptado e clique em Finish.

Pode agora ver os ficheiros encriptados usando a palavra-passe correcta para o desencriptar.

Obtain Protected Files

Determinados arquivos são protegidos na recuperação, para obter esses arquivos, clique em File> Obtain Protected Files

Uma nova janela irá aparecer e clique em browse para adicionar o destino do arquivo que é protegido e clique na opção que diz recuperação de senha e todos os arquivos de registro e clique em OK.