ANÁLISE DE MÍDIAS UTILIZANDO SOFTWARE LIVRE – Prof.

Pedro Monteiro da Silva Eleutério

Demonstração Prática: Uso do C.A.I.N.E.

PARTE A – COMO FAZER A IMAGEM DE UM DISPOSITIVO (e jogar para o HD interno) – FASE DE

PRESERVAÇÃO
1) Se o computador está no Windows, desligue-o segurando a tecla “SHIFT” enquanto clique em desligar OU utilizando
o comando “shutdown –s –t 0” (windows 8 e10) ou “shutdown /s /t 0” (windows 7).
2) Inicie o computador com o pen drive do CAINE.
3) Abra um terminal com usuário “root”. Para isso, abra um terminal (shell) e digite o comando “sudo su”.
4) Clique com o botão “DIREITO” sobre o ícone do aplicativo “mounter” e escolha a opção “Make WRITEABLE”. O
ícone ficará vermelho, indicando que novos dispositivos que forem montados terão permissão de escrita.
5) Usando o “mounter”, monte uma partição de um disco que irá receber a imagem (disco interno ou externo, por
exemplo). Verifique se conseguiu montá-la com permissão de escrita, usando o comando “mount” no shell (deve
aparecer a letra RW – Read and Write).
6) Plugue o dispositivo EVIDÊNCIA no computador/notebook. NÃO MONTE-O!!! NÃO há necessidade de montar o
dispositivo evidência para fazer a duplicação (por isso não importa qual a política de montagem dos dispositivos,
pois não é necessário montar a evidência para fazer a duplicação).
7) Use o comando “fdisk -l” no shell para saber se o dispositivo foi identificado e qual a letra atribuída.
8) Abra o aplicativo “guymager” e tire a imagem desse dispositivo em formato Expert Witness Format (.EXX), jogando
tal imagem para uma pasta do disco montado com permissão de escrita. Utilizar a opção “Acquire image”. (CUIDADO
E ATENÇÃO!!! NÃO UTILIZAR A OPÇÃO “CLONE DEVICE”, POIS ISSO PODE DANIFICAR O
COMPUTADOR.)
9) Quando o processo da imagem terminar, fechar o GuyMager e, em seguida, desplugar o dispositivo evidência
(guarde-o no cofre!). Posteriormente, verifique o arquivo com extensão “.info” gerado na mesma pasta da imagem
(log).

PARTE B – ALGUMAS FERRAMENTAS DO LADO LINUX DO CAINE

10) Explorando algumas ferramentas forenses do Linux CAINE:
a. QuickHash
b. Fred
c. QPhotoRec

PARTE C – THE SLEUTH KIT (TSK)

11) Explorando algumas ferramentas do TSK, presentes no CAINE:
a. img_stat <imagem>
b. mmls <imagem>
c. fsstat –o <offset> <imagem>
d. istat –o <offset> <imagem> <node>
PARTE D – ALGUMAS FERRAMENTAS DO LADO WINDOWS DO CAINE
12) Plugar o pen drive do CAINE no seu Sistema Windows, simulando uma perícia LIVE. Se quiser desativar seu antivírus,
faça-o.
13) Abrir o programa “NirLauncher.exe”, localizado na raiz do pen drive do CAINE. Explorar por algum tempo algumas
das ferramentas contidas no lado Windows do CAINE, executando-as diretamente no computador os seguintes
programas:
a. BrowsingHistoryView
b. MyLastSearch
c. ChromeCacheView ou MozillaCacheView ou IECacheView
d. USBDeview
e. SkypeLogView
f. WebBrowserPassView
g. PSTPassword
h. Explore outras ferramentas...

14) Abra o “WinAudit.exe” e explore por algum tempo essa ferramenta. Veja os relatórios gerados.