… BlogMind … Where open minds meet …

Dados:

Pendrive em /dev/sdb1

Duas pastas com diversos arquivos em diferentes formatos

Total de 63 mb

Ferramentas Analisadas

• AIMAGE:

a) Pode ser utlizada para gerar imagem desde um device, arquivo ou stdin (standard input) até mesmo para ouvir em uma porta (listen em porta TCP).

b) Fornece um report ao final da execução;

c) Fornece o Hash em md5 e sha1 da imagem

e) Relativamente rápido

f) Criou um arquivo aimage.aff de 24K

****************************** IMAGING REPORT ******************************
Input: /media/XPORTER_/Imagem/

AFF Output file: aimage.aff
Bytes read: 0
Bytes written: 0

raw image md5: D41D 8CD9 8F00 B204 E980 0998 ECF8 427E
raw image sha1: DA39 A3EE 5E6B 4B0D 3255 BFEF 9560 1890 AFD8 0709
Free space remaining on capture drive: 1,231 MB

real 0m1.607s
user 0m0.012s
sys 0m0.044s

• AIR

a) Interface feita em GTK;

b) Utiliza uma série de ferramentas por trás como: netcat, md5sum, dplit, bzip, cryptcat …

c) Mas não funcionou …

godoy@Forense:~$ sudo air

• DCFLDD

a) Uma versão melhorada do dd pelo departamento de Defesa Americano

b) Mostra o progresso da execução enquanto faz a imagem.

c) Não faz imagem de Diretório, somente de arquivo e device

d) Permite várias opções de ajustes

e) Logs podem ser direcionados para arquivos ou aplicações

root@Forense:~/Artefatos# dcfldd if=/media/XPORTER_/imagem.tar hash=md5,sha256 of=dcfldd.image
1792 blocks (56Mb) written.Total (md5): 573d8a740608e196132e5253bf63a359
Total (sha256): 3d1933fe4e134217b44ee2b4177a38b941433d65ccba719b5138cb685d0ebd7a

2011+1 records in
2011+1 records out

• DD

a) Padrão para copia de arquivos e imagens;

b) Não fornece estatísticas enquanto faz a imagem;

c) Não gera Hash dos arquivos;

d) Não permite compactação dos arquivos;

e) Não faz copia de Diretorios, somente de arquivos e devices.

root@Forense:~/Artefatos# dd if=/media/XPORTER_/imagem.tar of=dd.image
128760+0 registros entrando
128760+0 registros saindo
65925120 bytes (66 MB) copiados, 0,970591 segundo, 67,9 MB/s

• RDD

a) Versão melhorada do dd;

b) Faz o que falta ao dd: Estatistica e Log.

c) Permite gerar Imagens/Copias pela Rede;

d) Não faz imagem de Diretorio

root@Forense:~/Artefatos# rdd-copy –md5 –sha1 /media/XPORTER_/imagem.tar rdd2.image2008-09-04

2008-09-04 16:40:31 BRT
rdd version 2.0.7
Copyright (c) 2002 Nederlands Forensisch Instituut
Compile-time flag RDD_RAW is set
zlib version 1.2.3
Copyright (c) 1995-2002 Jean-loup Gailly and Mark Adler
openssl version OpenSSL 0.9.8c 05 Sep 2006
Copyright (c) 1995-1998 Eric Young
rdd-copy –md5 –sha1 /media/XPORTER_/imagem.tar rdd2.image
========== Parameter settings ==========
mode: local
verbose: no
quiet: no
server host: <none>
server port: 4832
input file: /media/XPORTER_/imagem.tar
log file: <none>
output file: rdd2.image
CRC32 file: <none>
Adler32 file: <none>
Statistics file: <none>
Block MD5 file: <none>
raw-device input: no
compress network data: no
use (x)inetd: no
force overwrite: no
compute MD5: yes
compute SHA1: yes
max #retries: 1
block size: 262144
minimum block size: 32768
Adler32 block size: 32768
CRC32 block size: 32768
statistics block size: 262144
MD5 block size: 4096
input offset: 0
input count: 0
segment size: 0
progress reporting interval: 0
max #errors to tolerate: 0
========================================

Continue without logging (yes/no)? yes
=== done ***
seconds: 9.390
bytes written: 65925120
bytes lost: 0
read errors: 0
zero-block substitutions: 0
MD5: 573d8a740608e196132e5253bf63a359
SHA-1: 2b551c5113768fb367f9236e30423c5a28363569