Conceitos básicos de perícia forense em pendrive com Kali Linux

Para O cenário utilizamos uma máquina virtual com 12GB de disco, e 1GB de RAM para iniciar
nossa ISO do Kali Linux 2016 em modo Forense Aonde ao espertar qualquer dispositivo no
mesmo ele não irá montar automaticamente, possibilitando a geração do HASH do pendrive
para validar a integridade do mesmo durante todo processo.

Ao iniciar VM selecionamos a opção 3 “LIVE (FORENSIC MODE)” com isso o sistema irá subir
normalmente com um diferencial.

Para testes foi utilizado um pendrive de 2gb, agora iremos colocar o mesmo na nossa VM.

Primeiramente inserimos o pendrive no computador o Windows ira reconhecê-lo, e com isso é

só selecionar o dispositivo no menu do VirtualBox
Ao clicar no mesmo o proprio windows para de reconhecelo, o dispositivo foi transferido para
VM.

Para confirmar Iremos abrir o terminal e digitar o seguinte comando:

fdisk -l

E com isso confirmar se o pendrive foi reconhecido pelo sistema como sabemos que é um
dispositivo de 2GB fica mais facil de indentificalo.

Como a imagem acima dispositivo é de 1.9GB e foi reconhecido em “dev/sdb” porém não foi
montado ainda.

Com isso iremos gerar um hash de todo o dispositivo para apresentarmos a integridade dos
dados contidos no mesmo esse e o primeiro passo antes de ser feito qualquer alteração ou
visualização das informações no pendrive.

OBS: Como isso é um cenário de uma possível pericia foi utilizado máquina virtual, porem se
fosse uma pericial um simulado real, nunca se deve utilizar sistema virtualizado mais sim
máquina física com sistema adequado para perícia, subir um Live Kali no próprio host.

Para gerar HASH DO dispositivo irei utilizar o md5sum, ferramenta nativa no sistema
operacional Kali com a seguinte sintaxe:

md5sum /dev/sdb >> hashpendrive.txt

Com isso criamos um arquivo de texto contendo o hash do dispositivo completo. Esse processo
pode demorar pois o tamanho do Dispositivo influencia diretamente na criação do seu hash.

Feito isso você pode vizualiar o hash abrindo o arquivo criado geralmente ele criar assim:

{HASMD5} /dev/sdb o caminho do dispositivo

Na perícia um jeito informal de se dizer ”quanto mais informação se obter do dispositivo
investigado e melhor pra Car#$@.”

Pois com isso você tem um número maior de evidencias para demostrar para um advogado
juiz e etc..

Obter informações dispositivos na máquina.

Vamos fazer o seguinte pegar toas as informações possíveis de dispositivos conectados na

máquina como número de série modelo, fabricante e etc. E após verificar informações vamos
pegar tais informações e gravar me um arquivo de texto.

Com o seguinte comando no terminal:

Lsusb irá mostrar dispositivos conectados.

Lsusb -v irá mostrar todos os detalhes dos dispositivos conectados.

Na imagem abaixo estou aplicando os dois comandos acima e o meu dispositivo está
mostrando como primeiro, isso se chama cagada geralmente é o último!
Meu dispositivo é um micro card Reader TOPZERA! E embaixo aplicando o segundo comando
já consigo ver o seu serial o fabricante e etc...

Para jogar essas informações em um arquivo aplicamos:

lsusb -v >> infopendrive.txt

Se quiser filtrar as informações pelo terminal para mostra como é hackudão, só comandos que
voam, pode utilizar o seguinte

Grep <nº id> infopendrive.txt -A 25

o Id do dispositivo está na primeira linha no cenário , ele está como 14cd:1212 o -A é para
mostrar 25 linhas abaixo após encontrar a linha contendo o número do id do dispositivo. Pode
olhar essas informações por qualquer programa de edição de texto só tome cuidado se for
utilizar um bloque de notas para ele não quebrar as linhas ai fica osso!

Gerar imagem pendrive para analise

Como o conceito de perícia forense nunca pode se mexer em um dispositivo em analise oficial
sempre gerar uma imagem do mesmo e trabalhar em cima da imagem para não comprometer
os dados e evidencias.

Para gerar uma cópia do pendrive e gerar o hash do mesmo a ferramenta nativa do Kali
utilizada foi dcfldd. Com a seguinte sintaxe:

dcfldd if=/dev/sdb of=pendrive.raw bs=512 hash=md5 hashlog=pendrive.md5

Onde IF é o input file, arquivo de entrada; OF é o output file arquivo de saída “nossa img” BS
Tamanho do setor geralmente é 512 no fdisk mostra o menor tamanho; HASH é o hash
utilizado para imagem; HASHLOG é o hash gerado em arquivo.
Ele dará início a cópia integra do nosso pendrive de teste, para o arquivo selecionado.

Com isso consegue validar se o hash do dispositivo bate com o hash da imagem gerada

Montando imagem para o Linux reconhecer.

Para montar a imagem e Linux reconhecer primeiramente precisamos pegar algumas

informações como início da partição, FAT pois o pendrive e compostas partições e se o mesmo
tiver mais de alguma com isso iremos seguir com o “enterro da bagaçada”

Como minha máquina virtual morreu perdi a imagem do pendrive porem irei demostrar
como montar o pendrive em si o processo e o mesmo só muda o caminho da imagem ou
device.

Primeiro para identificar o início da partição utilizamos o mmls:

Mmls /dev/sdb

Para imagem gerada seria:

Mmls pendrive.raw

Ira apresentar os inicios e finais de partições aonde estão localizados os metadados do

pendrive.
Para realizarmos a montagem certa do nosso pendrive a partição aonde contém as
informações no caso FAT32 realizamos a multiplicação de 128 início da partição por 512
tamanho do setor 128*512= 65536

Com isso já conseguimos montar nossa imagem ou pendrive para visualização das
informações.

Para isso o comando utilizado será mount:

mount -o ro,loop,offset=65536 /dev/sdb /mnt

-RO =read only somente leitura, para não alterar os dados.

Offset= início da partição no caso a multiplicação feita.

Caminho do pendrive ou imagem gerada após o offset.

/MNT = Será aonde o pendrive ou imagem será criada.

E com isso montamos a nossa imagem/pendrive para uma análise , para demostrar que foi
criado irei listar os arquivos que estão no /mnt

Então é isso o básico para uma cópia de um dispositivo investigado, são procedimentos
seguidos para não comprometer as informações.

Espero ter ajudado😊