Escolar Documentos
Profissional Documentos
Cultura Documentos
Para O cenário utilizamos uma máquina virtual com 12GB de disco, e 1GB de RAM para iniciar
nossa ISO do Kali Linux 2016 em modo Forense Aonde ao espertar qualquer dispositivo no
mesmo ele não irá montar automaticamente, possibilitando a geração do HASH do pendrive
para validar a integridade do mesmo durante todo processo.
Ao iniciar VM selecionamos a opção 3 “LIVE (FORENSIC MODE)” com isso o sistema irá subir
normalmente com um diferencial.
Para testes foi utilizado um pendrive de 2gb, agora iremos colocar o mesmo na nossa VM.
fdisk -l
E com isso confirmar se o pendrive foi reconhecido pelo sistema como sabemos que é um
dispositivo de 2GB fica mais facil de indentificalo.
Como a imagem acima dispositivo é de 1.9GB e foi reconhecido em “dev/sdb” porém não foi
montado ainda.
Com isso iremos gerar um hash de todo o dispositivo para apresentarmos a integridade dos
dados contidos no mesmo esse e o primeiro passo antes de ser feito qualquer alteração ou
visualização das informações no pendrive.
OBS: Como isso é um cenário de uma possível pericia foi utilizado máquina virtual, porem se
fosse uma pericial um simulado real, nunca se deve utilizar sistema virtualizado mais sim
máquina física com sistema adequado para perícia, subir um Live Kali no próprio host.
Para gerar HASH DO dispositivo irei utilizar o md5sum, ferramenta nativa no sistema
operacional Kali com a seguinte sintaxe:
Com isso criamos um arquivo de texto contendo o hash do dispositivo completo. Esse processo
pode demorar pois o tamanho do Dispositivo influencia diretamente na criação do seu hash.
Feito isso você pode vizualiar o hash abrindo o arquivo criado geralmente ele criar assim:
Pois com isso você tem um número maior de evidencias para demostrar para um advogado
juiz e etc..
Na imagem abaixo estou aplicando os dois comandos acima e o meu dispositivo está
mostrando como primeiro, isso se chama cagada geralmente é o último!
Meu dispositivo é um micro card Reader TOPZERA! E embaixo aplicando o segundo comando
já consigo ver o seu serial o fabricante e etc...
Se quiser filtrar as informações pelo terminal para mostra como é hackudão, só comandos que
voam, pode utilizar o seguinte
o Id do dispositivo está na primeira linha no cenário , ele está como 14cd:1212 o -A é para
mostrar 25 linhas abaixo após encontrar a linha contendo o número do id do dispositivo. Pode
olhar essas informações por qualquer programa de edição de texto só tome cuidado se for
utilizar um bloque de notas para ele não quebrar as linhas ai fica osso!
Como o conceito de perícia forense nunca pode se mexer em um dispositivo em analise oficial
sempre gerar uma imagem do mesmo e trabalhar em cima da imagem para não comprometer
os dados e evidencias.
Para gerar uma cópia do pendrive e gerar o hash do mesmo a ferramenta nativa do Kali
utilizada foi dcfldd. Com a seguinte sintaxe:
Onde IF é o input file, arquivo de entrada; OF é o output file arquivo de saída “nossa img” BS
Tamanho do setor geralmente é 512 no fdisk mostra o menor tamanho; HASH é o hash
utilizado para imagem; HASHLOG é o hash gerado em arquivo.
Ele dará início a cópia integra do nosso pendrive de teste, para o arquivo selecionado.
Com isso consegue validar se o hash do dispositivo bate com o hash da imagem gerada
Como minha máquina virtual morreu perdi a imagem do pendrive porem irei demostrar
como montar o pendrive em si o processo e o mesmo só muda o caminho da imagem ou
device.
Mmls /dev/sdb
Mmls pendrive.raw
Com isso já conseguimos montar nossa imagem ou pendrive para visualização das
informações.
Então é isso o básico para uma cópia de um dispositivo investigado, são procedimentos
seguidos para não comprometer as informações.