GRAVAÇÃO DE ARQUIVOS E RECUPERAÇÃO DE DADOS (pt. 3) – ANÁLISE FORENSE
Olá!
Bem-vindo à postagem 3 da série Gravação de Arquivos e Recuperação de Dados. Na postagem anterior, vimos como recuperar arquivos excluídos usando as principais ferramentas de escultura de código aberto que vêm instaladas no Kali Linux: Foremost, Scalpel e Photorec. Se você não leu as duas últimas postagens que falam sobre o tema, abaixo estão os links para que não se perca na linha de raciocínio:
- Postagem pt.1
- Postagem pt.2
Agora vou apresentar outra ferramenta de carving, a ferramenta Bulk Extractor (ou Extrator de Massa). Falarei sobre suas principais características, destacando as diferenças entre outras ferramentas de escultura. Vou cobrir como usar e as opções principais, mostrando um exemplo de extração em massa de dados de uma imagem de disco RAW.
INTRODUÇÃO AO BULK EXTRACTOR
Bulk Extractor é uma ferramenta da Dana Carvey desenvolvida por Simpson Garfinkle e outros para atender à necessidade dos peritos digitais de uma ferramenta altamente automatizada para encontrar o máximo de informações de interesse possível a partir de uma mídia suspeita.
Bulk Extractor é um programa escrito principalmente em C ++. Ele pode ser executado em diferentes plataformas, como Windows, Linux, Mac, etc. Como a outra ferramenta de escultura que vi na postagem anterior, ela escaneia uma imagem de disco contornando o sistema de arquivos, mas em vez de recuperar arquivos excluídos, extrai dados como e-mail e endereço IP, URL’s, números de cartão de crédito e assim por diante.
Esta ferramenta salva os dados em arquivos de texto e também cria arquivos de histograma com uma contagem das ocorrências para cada dado encontrado. Além disso, o Bulk Extractor usa massivamente multi-threading. Normalmente divide o disco em até 16 páginas de megabit e processa uma página em cada núcleo disponível, de modo que pode ser muito rápido, especialmente em máquinas com vários núcleos. O Bulk Extractor também produz um relatório XML para cada execução. A aplicação dessa ferramenta foi desenvolvida para correlacionar relatórios de execuções em unidades diferentes, realizando uma chamada análise Cross-Drive (Unidade Cruzada).
BULK-EXTRACTOR EM FUNCIONAMENTO
Agora que apresentei o Bulk Extractor, vou demonstrar um exemplo prático. Primeiramente vamos dar uma olhada nas opções dos programas executando o comando bulk_extractor -h | less.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Os parâmetros necessários são o arquivo de imagem e a opção -o que especifica o diretório de saída para salvar os dados extraídos.
IMAGEM: Do Autor
Outras opções interessantes são a opção -r que permite especificar a lista de alertas. A opção -w especifica a chamada lista de parada ou lista de permissão. Se for encontrado, ele será colocado em um arquivo stop especial.
IMAGEM: Do Autor
O Bulk Extractor também permite especificar uma expressão regular ou um arquivo de expressões regulares a serem usados como termos de pesquisa com as opções -F em maiúsculas e minúsculas (-f), respectivamente.
IMAGEM: Do Autor
Também, para habilitar ou desabilitar scanners específicos, temos as opções -e e -x respectivamente.
IMAGEM: Do Autor
Abaixo, há também uma lista de scanners que são desativados por padrão, mas podem ser ativados com a opção -e e os scanners que são ativados por padrão e podem ser desativados com a opção -x.
IMAGEM: Do Autor
Neste exemplo, uso bulk_extractor da maneira mais direta, simplesmente executando o comando em uma imagem de amostra com os parâmetros necessários. O arquivo de imagem de amostra que usei é o mesmo explanado na postagem anterior.
O diretório de saída a ferramenta criará, caso ele não exista, mas há necessidade de pelo menos cogitar o nome. Criei um diretório chamado bulk1 (a escolha é do investigador). Sintaxe:
bulk_extractor –o {DIRETORIO} {ARQUIVO_DE_IMAGEM}
Nesse caso:
bulk_extractor –o bulk1 11-carve-fat.dd
IMAGEM: Do Autor
IMAGEM: Do Autor
Neste caso, o Bulk Extractor usa 1 thread para cada linha na máquina. Agora que a execução foi concluída, podemos dar uma olhada no diretório de saída:
IMAGEM: Do Autor
IMAGEM: Do Autor
Percebemos que existem vários arquivos de texto, cada um para diferentes categorias de dados. Algumas das categorias de dados também possuem um arquivo de histograma associado. Por exemplo, analisei o arquivo email.txt que relata os e-mails extraídos da imagem, um por um.
IMAGEM: Do Autor
Nesse caso ocorreu de se apresentar apenas um e-mail. Cada linha começa com o deslocamento em bytes onde o e-mail correspondente foi encontrado.
Também podemos ver que o arquivo associado ao visto (o arquivo de histograma) que relata o número de ocorrências de cada e-mail.
IMAGEM: Do Autor
Nessa imagem utilizada nada consa. Recomendo que agora que seguiu o passo-a-passo repita com uma outra imagem, e explore os recursos do Bulk-Extractor.
Ótimo. Nesta série de postagens, apresentei o processo de criação de arquivos e conceitos importantes, como espaço livre não alocado e arquivos excluídos. Também cobri a Lixeira do Windows e uma ferramenta para examiná-la chamada Rifiuti2. Abordei ferramentas de escultura de arquivo para recuperar automaticamente arquivos excluídos de uma imagem de disco que chamadas Foremost, Scalpel e PhotoRec. Finalmente, explanei como utilizar a ferramenta Bulk Extractor, uma ferramenta que permite extrair muitas informações excluídas de uma imagem de disco!
Deixe seu like! Comente o que achou, e quais dessas ferramentas você preferiu. Diga sobre suas dificuldades.
Até breve!
Nenhum comentário:
Postar um comentário