O documento descreve o processo de criação de uma imagem forense de um dispositivo usando o software livre CAINE, incluindo montar partições, identificar dispositivos, criar imagens usando o Guymager e explorar ferramentas forenses no Linux e Windows CAINE como QuickHash, Fred e ferramentas do The Sleuth Kit.
O documento descreve o processo de criação de uma imagem forense de um dispositivo usando o software livre CAINE, incluindo montar partições, identificar dispositivos, criar imagens usando o Guymager e explorar ferramentas forenses no Linux e Windows CAINE como QuickHash, Fred e ferramentas do The Sleuth Kit.
O documento descreve o processo de criação de uma imagem forense de um dispositivo usando o software livre CAINE, incluindo montar partições, identificar dispositivos, criar imagens usando o Guymager e explorar ferramentas forenses no Linux e Windows CAINE como QuickHash, Fred e ferramentas do The Sleuth Kit.
ANÁLISE DE MÍDIAS UTILIZANDO SOFTWARE LIVRE – Prof.
Pedro Monteiro da Silva Eleutério
Demonstração Prática: Uso do C.A.I.N.E.
PARTE A – COMO FAZER A IMAGEM DE UM DISPOSITIVO (e jogar para o HD interno) – FASE DE
PRESERVAÇÃO 1) Se o computador está no Windows, desligue-o segurando a tecla “SHIFT” enquanto clique em desligar OU utilizando o comando “shutdown –s –t 0” (windows 8 e10) ou “shutdown /s /t 0” (windows 7). 2) Inicie o computador com o pen drive do CAINE. 3) Abra um terminal com usuário “root”. Para isso, abra um terminal (shell) e digite o comando “sudo su”. 4) Clique com o botão “DIREITO” sobre o ícone do aplicativo “mounter” e escolha a opção “Make WRITEABLE”. O ícone ficará vermelho, indicando que novos dispositivos que forem montados terão permissão de escrita. 5) Usando o “mounter”, monte uma partição de um disco que irá receber a imagem (disco interno ou externo, por exemplo). Verifique se conseguiu montá-la com permissão de escrita, usando o comando “mount” no shell (deve aparecer a letra RW – Read and Write). 6) Plugue o dispositivo EVIDÊNCIA no computador/notebook. NÃO MONTE-O!!! NÃO há necessidade de montar o dispositivo evidência para fazer a duplicação (por isso não importa qual a política de montagem dos dispositivos, pois não é necessário montar a evidência para fazer a duplicação). 7) Use o comando “fdisk -l” no shell para saber se o dispositivo foi identificado e qual a letra atribuída. 8) Abra o aplicativo “guymager” e tire a imagem desse dispositivo em formato Expert Witness Format (.EXX), jogando tal imagem para uma pasta do disco montado com permissão de escrita. Utilizar a opção “Acquire image”. (CUIDADO E ATENÇÃO!!! NÃO UTILIZAR A OPÇÃO “CLONE DEVICE”, POIS ISSO PODE DANIFICAR O COMPUTADOR.) 9) Quando o processo da imagem terminar, fechar o GuyMager e, em seguida, desplugar o dispositivo evidência (guarde-o no cofre!). Posteriormente, verifique o arquivo com extensão “.info” gerado na mesma pasta da imagem (log).
PARTE B – ALGUMAS FERRAMENTAS DO LADO LINUX DO CAINE
10) Explorando algumas ferramentas forenses do Linux CAINE: a. QuickHash b. Fred c. QPhotoRec
PARTE C – THE SLEUTH KIT (TSK)
11) Explorando algumas ferramentas do TSK, presentes no CAINE: a. img_stat <imagem> b. mmls <imagem> c. fsstat –o <offset> <imagem> d. istat –o <offset> <imagem> <node> PARTE D – ALGUMAS FERRAMENTAS DO LADO WINDOWS DO CAINE 12) Plugar o pen drive do CAINE no seu Sistema Windows, simulando uma perícia LIVE. Se quiser desativar seu antivírus, faça-o. 13) Abrir o programa “NirLauncher.exe”, localizado na raiz do pen drive do CAINE. Explorar por algum tempo algumas das ferramentas contidas no lado Windows do CAINE, executando-as diretamente no computador os seguintes programas: a. BrowsingHistoryView b. MyLastSearch c. ChromeCacheView ou MozillaCacheView ou IECacheView d. USBDeview e. SkypeLogView f. WebBrowserPassView g. PSTPassword h. Explore outras ferramentas...
14) Abra o “WinAudit.exe” e explore por algum tempo essa ferramenta. Veja os relatórios gerados.