CLONAGEM DE HD
Perito Forense
FAZENDO CLONAGEM DE HD COM GUYMAGER PARA ANÁLISE FORENSE
Olá a todos!
Estarei falando daqui pra frente sobre algumas ferramentas para analistas forenses computacionais. Esse ramo já faz um tempo que existe no mercado de trabalho mas ainda é bem pouco explorado. Gosto por opção.
Quem não conhece sobre, deixarei um link para assistir abaixo:
https://www.youtube.com/watch?v=hFFL0XagYlQ&t=63s
Utilizarei o sistema operacional Kali Linux que contém essa ferramenta inclusa. De fato, existem no mercado ferramentas que rodam no Windows, mas conheço apenas a ferramenta Autopsy que trabalhe legal nele. Pagas existem várias, já instalei (e me arrependi depois) a ferramenta FTK Forensic Tools, porque, imagina, você querer fazer a extração dos registros, e descobrir que ela registra mais de 1200 registros no Windows! Odiei limpar, ela me fez passar duas horas pra identificar os registros, pastas sobressalentes, e se quiser realmente limpar TUDO como eu, vai te custar uma bela paciência…
Autopsy é Open Source. Quem sabe, futuramente, eu tenha mais garra, e poste sobre ela pra vocês. Comentem ! Caso ela seja uma ferramenta que almeje. Assim escrevo sobre.
Essa ferramenta roda somente em sistemas operacionais Linux.
E, no final da postagem, para acrescentar que existe como executar esse serviço via ferramenta CLI, resumidamente, deixo os comandos para clonagem com o comando DD.
SOBRE O GUYMAGER
Guymager é um gerador de imagens forense para aquisição de mídia gratuito. Suas principais caracteristicas são:
• Interface fácil de usar;
• Várias linguagens de escolha;
• Trabalha de maneira realmente rápida devido ao design multi-threaded, pipelined e compressão de dados multi-threaded;
• Faz uso total de máquinas com vários processadores;
• Gera imagens planas (dd), EWF (E01) e AFF, suporta clonagem de disco;
• Gratuito, código-fonte completamente aberto;
• Possui funcionalidades de gerenciamento de caso.
O que mais me chamou atenção para essa ferramenta é a facilidade.
COMEÇANDO A USAR
Uma das maneiras para utilizar o programa Guymager é abrindo-o pelo Terminal. Nesse caso, apenas abra o terminal e digite guymager.
IMAGEM: Do Autor
IMAGEM: Do Autor
Outra maneira é clicando no Icone do Kali 
e pesquisar pelo nome do programa. Em seguida clicar em cima do nome para executar.
Estou rodando o Kali Linux em uma máquina virtual (VirtualBox) . Digo porque na tela do Guymager foram exibidos 3 dispositivos. O primeiro e o segundo deles são HDs Externos, um da marca Seagate (ST9320325AS), e um da marca SAMSUNG (SAMSUNG_HM501II). E o volume VBOX_HARDDISK é equivalente ao drive virtual.
CONFIGURAÇÃO DO GUYMAGER
As configurações do Guymager estão localizadas no arquivo guymager.cfg localizado no diretório /etc/guymager/ . Caso queira ler o arquivo na íntegra, digite no terminal o comando nano /etc/guymager/guymager.cfg .
IMAGEM: Do Autor
IMAGEM: Do Autor
ESSE ARQUIVO NÂO DEVE SER ALTERADO. TODAS AS CONFIGURAÇÔES DEVEM SER LANÇADAS NO ARQUIVO /etc/guymager/local.cfg
O que tiver com a sigla REM na frente dedica apenas a explicações. Leia com calma todos os detalhes. E as linhas aonde não tiver a sigla, servem para conhecer as alterações. Vou trabalhar com as configurações de fábrica, mas para mostrar o quão fácil é, vou mudar a linguagem do guymager para o Chinês.
Digite o comando nano /etc/guymager/local.cfg e escreva Language=’ch’ .
IMAGEM: Do Autor
Abra novamente o Guymager e observe sua tela principal:
IMAGEM: Do Autor
Para retornar, apenas apague o conteúdo do arquivo local.cfg e reinicie o programa. Automaticamente ele entra com a configuração da lingua nativa do seu sistema operacional.
CLONANDO UM DISPOSITIVO
Decidi fazer uma alteração. Como o dispositivo da Seagate estava me apresentando alguns problemas, o substitui por um Pendrive.
IMAGEM: Do Autor
Primeiro passo é clicar com o botão direito do mouse em cima do dispositivo a ser clonado (SanDisk Cruzer_Blade) e selecionar info
IMAGEM: Do Autor
Aqui você consegue informações da ferramenta SMART. Mais informações sobre ela é só acessar o site www.smartmontools.org.
Tudo OK por enquanto.
Agora, clicar novamente com o botão direito em cima do dispositivo a ser clonado e selecionar Clone device.
IMAGEM: Do Autor
No botão … ao lado de Info directory, após clicar, selecionar uma pasta. Eu criei uma pasta dentro de / que chamei de Clone. Se quiser fazer o mesmo, clicar no botão Criar Nova Pasta nas funções acima e renomear. Depois clicar em Choose.
IMAGEM: Do Autor
Em Info filename (without extension) dê um nome ao arquivo. Eu chamarei de clone. Não deve ser posto extensão no nome. Automaticamente será salvo como .info .
O algoritmo Hash é de sua escolha. Afim apenas de estudos, deixei como Calculate MD5, por ser mais curto.
A função Verify image after acquisition mantive como o padrão.
E, finalmente, o dispositivo selecionado para receber a clonagem será o SAMSUNG_HM501II. Após selecionado só clicar em Start.
IMAGEM: Do Autor
IMAGEM: Do Autor
No meu caso, após 01:17:18 horas, o processo finalizou.
IMAGEM: Do Autor
O processo de clonagem espelha com detalhes o que tem gravado no dispositivo a ser clonado. A fins de testar a eficácia do programa utilizei uma HD Externa com alguns arquivos gravados. Nela, ocorreu formatação pois a HD estava como NTFS e o Pendrive como Boot do Kali.
CLONANDO DISCOS USANDO O COMANDO DD
O comando dd é capaz de clonar qualquer disco, criando uma réplica idêntica ao disco de origem. Se você precisa migrar um disco inteiro, incluindo o sistema operacional, o comando dd é uma excelente alternativa para clonar um disco.
Primeiramente, precisamos localizar o disco de origem e o disco de destino. Execute o seguinte comando no terminal:
lsblk -io KNAME,TYPE,SIZE,MODEL
O resultado é semelhante a:
KNAME TYPE SIZE MODEL
loop0 loop 2.3G
sda disk 149.1G WDC_WD1600BECVT-60ZCT1
sda1 part 100M
sda2 part 149G
sdb disk 7.2G DataTraveler_2.0
sdb1 part 2.6G
sdb2 part 736K
sdc disk 465.8G SAMSUNG_HM501II
sdc1 part 465.8G
sr0 rom 1024M Optiarc_DVD_RW_AD-7561S
Agora que já sabemos a nomenclatura do disco de origem e de destino, vamos iniciar a cópia. Execute o comando a seguir:
dd if=/dev/{disco de origem} of=/dev/{disco de destino} bs={tamanho do bloco do sistema de arquivos} status=progress
Simulando um exemplo onde o disco de origem fosse o sda, o disco de destino fosse o sdc e o sistema de arquivos utilizado pelo disco de origem é NTFS, ficaria assim:
dd if=/dev/sda of=/dev/sdc bs=4096 status=progress
Caso apareça mensagens de erro, talvez o disco contenha bad blocks. Nesse caso utilize o comando a seguir: (seguindo o exemplo)
dd if=/dev/sda of=/dev/sdc bs=4096 conv=sync,noerror
FINALIZANDO…
E, se não quiser clonar? Existe outra maneira de extrair uma cópia integral do dispositivo criando uma imagem.
Mas esse assunto fica para a postagem seguinte.
Até mais.
Comentários
Postar um comentário