Já é de conhecimento de muitos, que os procedimentos de coleta e análise são de extrema criticidade e por sua vez demandam muito cuidado por parte do perito. O profissional necessita conhecimento em ferramentas de cópia forense como dd, dc3dd, dcfldd, FTK Imager entre outras, no entanto ainda assim não basta, pois de nada adianta conhecer as ferramentas se não possuir extrema atenção no momento da coleta, além é claro de seguir à risca determinadas rotinas.

O perito pode montar seus próprios scripts e programas para facilitar seu trabalho, mas isso demanda tempo e às vezes conhecimentos mais específicos em programação, neste caso como nem todos possuem esse conhecimento e mesmo que possuam na maioria das vezes o tempo é limitado devido ao acúmulo de trabalho entre outros afazeres, foram surgindo ferramentas que automatizavam esse processo, como por exemplo o MantaRay (http://sift.readthedocs.io/en/latest/tools/mantaray.html) e o Paladin ToolBox da distribuição Linux Paladin, baseada no Ubuntu.

Nosso objeto de estudo será a distribuição PALADIN versão 7, essa distribuição demonstra-se bem eficiente e completa, visto que pode ser usada tanto em campo como em laboratório, já que a mesma possui várias ferramentas de análise forense, como o Autopsy por exemplo. Outro ponto interessante desta distribuição é que ela não monta os discos para escrita nem os dispositivos de rede, evitando assim qualquer alteração indevida no objeto da perícia.

Imaginando um cenário de coleta forense, sem a intenção de esgotar o assunto neste artigo e sim, exemplificar alguns passos do perito na fase de coleta, pode-se observar nos passos descritos a seguir.

Fase 1 – Wipe (ou sanitização) da mídia de destino.

1-wipe

Obrigatoriamente a primeira ação a ser tomada no momento em que for identificado o tamanho do disco de origem, é preciso usar uma mídia de destino com o mesmo número de blocos ou um número superior. Feito o boot no PALADIN e inserido a mídia de destino, o perito deverá abrir a ferramenta Paladin ToolBox, navegar até a opção “Disk Manager”, selecionar o disco de destino e clicar em Wipe, conforme consta na imagem acima.

 

Fase 2 – Cópia bit a bit.

2-image-dd

Nesta fase não há grandes dificuldades, pois, o processo é automatizado, como pode ser observado na imagem acima, basta apenas informar as opções desejadas e clicar em Start. Podemos ver que na aba inferior Task Logs o comando utilizado foi o dc3dd e já são geradas as Hashes em MD5 e SHA1. É também definido o tamanho do buffer e gerado o log de toda a operação. Na aba Imager 1 podemos acompanhar o status da cópia.

3-status

Ao final da coleta será aberto uma janela com o log da operação, na mídia de destino será criada uma pasta com o mesmo nome do label informado que neste caso foi pendrive-dd, contendo todos os demais logs de toda a operação efetuada, inclusive os Hashes.

Sendo assim o Perito tem mais tempo para detalhar melhor a cadeia de custódia e uma maior garantia de que o processo foi efetuado corretamente.

Abaixo um exemplo de log do procedimento.

*************************

Imager Command Line

*************************

dc3dd if=/dev/sdc hash=md5 hash=sha1 of=/media/pComputational/pendrive-dd/pendrive-dd.000 log=/media/pComputational/pendrive-dd/pendrive-dd.log hlog=/media/pComputational/pendrive-dd/pendrive-dd.log.hashes bufsz=512k

 

 

*************************

Time

*************************

Start Time : Sep-20-2016 17:22:48

End Time : Sep-20-2016 17:27:08

 

 

 

*************************

Source Device Info

*************************

 

 

 

*************************

Imager Logs

*************************

 

dc3dd 7.2.641 started at 2016-09-20 17:22:48 +0000

compiled options:

command line: dc3dd if=/dev/sdc hash=md5 hash=sha1 of=/media/pComputational/pendrive-dd/pendrive-dd.000 log=/media/pComputational/pendrive-dd/pendrive-dd.log hlog=/media/pComputational/pendrive-dd/pendrive-dd.log.hashes bufsz=512k

device size: 7890944 sectors (probed),    4,040,163,328 bytes

sector size: 512 bytes (probed)

4040163328 bytes ( 3.8 G ) copied ( 100% ), 259.24 s, 15 M/s

 

input results for device `/dev/sdc’:

7890944 sectors in

0 bad sectors replaced by zeros

ccb17b830f79ac4ae657aa451f97bb9a (md5)

885fae0bf36b368212d351e8f293e4e76a5df2ce (sha1)

 

output results for file `/media/pComputational/pendrive-dd/pendrive-dd.000′:

7890944 sectors out

 

dc3dd completed at 2016-09-20 17:27:07 +0000

 

 

 

 

*************************

Hashes

*************************

 

dc3dd 7.2.641 started at 2016-09-20 17:22:48 +0000

compiled options:

command line: dc3dd if=/dev/sdc hash=md5 hash=sha1 of=/media/pComputational/pendrive-dd/pendrive-dd.000 log=/media/pComputational/pendrive-dd/pendrive-dd.log hlog=/media/pComputational/pendrive-dd/pendrive-dd.log.hashes bufsz=512k

 

input results for device `/dev/sdc’:

ccb17b830f79ac4ae657aa451f97bb9a (md5)

885fae0bf36b368212d351e8f293e4e76a5df2ce (sha1)

 

output results for file `/media/pComputational/pendrive-dd/pendrive-dd.000′:

 

dc3dd completed at 2016-09-20 17:27:07 +0000