Você está na página 1de 5

Atividade Prtica em Laboratrio

O objetivo deste laboratrio ser criar um ambiente simples para que o iniciante na forense computacional possa aprender a utilizar as ferramentas do Sleuth Kit. Insira em um pendrive alguns arquivos e diretrios. Apague alguns arquivos e diretrios desse pendrive, e em seguida, crie outros arquivos e diretrios. Com isso, h a possibilidade de alguma rea do Pendrive com arquivos apagados ter sido sobreposta. Para resolver este exerccio voc necessitar do The Sleuth Kit (TSK) e da ferramenta Autopsy, ambas disponveis em http://www.sleuthkit.org. No Ubuntu, voc pode instal-los atravs dos comandos : # sudo apt-get install sleuthkit # sudo apt-get install autopsy O Sleuth Kit, tambm conhecido como (TSK) uma ferramenta de anlise forense, gratuita, de cdigo fonte aberto, para plataformas Windows e UNIX, com suporte a vrios sistemas de arquivo (FAT32, NTFS, UFS, Ext2 e Ext3). O Autopsy Forensic Browser (tambm chamado, simplesmente, de Autopsy) uma interface web para o The Sleuth Kit, que baseado em programas de linha de comando, que tem como objetivo facilitar o uso do TSK. Agora vamos criar uma imagem para armazenar o volume. Para isso, usaremos o comando dcfldd. Para instal-lo, digite : # sudo apt-get install dcfldd Aps sua instalao, digite o seguinte comando : # sudo dcfldd if=/dev/sdb1 of=/media/USB.dd. Este commando cria uma imagem de disco no volume. Aps a instalao das ferramentas Sleuthkit e Autopsy e do comando dcfldd, necessrio inicializar o Autopsy, atravs do comando : # sudo autopsy A seguinte tela sera exibida :

___________________________________________________________________________ www.fatecguaratingueta.edu.br Av. Prof. Joo Rodrigues Alckmin, 1501 Jd. Esperana - Guaratinguet - SP CEP 12517-475 Tel. (12)3126-3921 / 3125-7785 / 3126-4849

Aps inicializar o Autopsy, vamos abrir o Browser Firefox e digitar o seguinte endereo: HTTP://localhost:9999/autopsy

Nesta primeira tela, clique na opo Open Case. Vamos criar um novo caso : Preencha os campos Case name e Investigator name com nomes que voc queira, e depois clique em New Case.

___________________________________________________________________________ www.fatecguaratingueta.edu.br Av. Prof. Joo Rodrigues Alckmin, 1501 Jd. Esperana - Guaratinguet - SP CEP 12517-475 Tel. (12)3126-3921 / 3125-7785 / 3126-4849

Em seguida, necessrio apontar onde se encontra o arquivo de imagem criado. Normalmente a imagem montada dentro do diretrio /media/. Vamos coolocar em Locationo volume criado anteriormente /media/USB.dd.

Agora vamos analisar a imagem do disco. Conforme figura abaixo, clique no boto Analyze.

___________________________________________________________________________ www.fatecguaratingueta.edu.br Av. Prof. Joo Rodrigues Alckmin, 1501 Jd. Esperana - Guaratinguet - SP CEP 12517-475 Tel. (12)3126-3921 / 3125-7785 / 3126-4849

Logo aps clicar no boto Analyze, clique na opo File Analyzes. Ento, sero exibidos todos os arquivos contidos nesta imagem. Os arquivos marcados em vermelho so os arquivos que esto excludos. Para recuper-los, basta clicar sobre o arquivo e export-lo para outro local.

___________________________________________________________________________ www.fatecguaratingueta.edu.br Av. Prof. Joo Rodrigues Alckmin, 1501 Jd. Esperana - Guaratinguet - SP CEP 12517-475 Tel. (12)3126-3921 / 3125-7785 / 3126-4849

___________________________________________________________________________ www.fatecguaratingueta.edu.br Av. Prof. Joo Rodrigues Alckmin, 1501 Jd. Esperana - Guaratinguet - SP CEP 12517-475 Tel. (12)3126-3921 / 3125-7785 / 3126-4849