# FTK-Imager ## FTK - Imager O **FTK Imager** é uma ferramenta de forense digital, desenvolvida pela AccessData, mas atualmente foi comprada e mantida pela Exterro (até o ícone mudou). Utilizada por profissionais para capturar e analisar evidências digitais, o FTK Imager permite adquirir imagens forenses e realizar análises detalhadas de diferentes tipos de mídia digital, como discos rígidos e RAM, mantendo a integridade dos dados. [**Sistemas de arquivo e formatos de imagem suportados**](https://github.com/HawkSecUnifei/resources-hawksec/blob/main/Investigation/Computa%C3%A7%C3%A3o%20Forense/FTK-Imager/Sistemas_de_arquivo_e_formatos_de_imagem_suportado.md) ## Funcionalidades do FTK Imager 1. **Imagem Forense**: * **Imagem de Disco**: O FTK Imager permite criar imagens exatas de dispositivos de armazenamento, como discos rígidos e SSDs. * **Aquisição de RAM**: A ferramenta possibilita a captura de dados da memória volátil (RAM) de sistemas ativos, que são cruciais para identificar processos em execução, conexões de rede e possíveis chaves de criptografia. ![image.png](https://3136530646-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FsIzz1GS79zTX2bE4IBNm%2Fuploads%2Fgit-blob-8801ecd584753338470e2a05030aaf52a13e79b8%2Fimage.png?alt=media) 2. **Análise e Exame**: * **Análise de Arquivos**: É possível examinar e extrair arquivos individuais, incluindo arquivos excluídos ou ocultos, dentro das imagens forenses. O FTK Imager suporta diversos formatos de arquivos e permite aos investigadores visualizar e extrair artefatos digitais, como documentos, imagens, e-mails e arquivos de sistema. * **Extração de Metadados**: A ferramenta permite a extração de metadados (informações como data de criação, modificações e detalhes do usuário), fornecendo contexto importante sobre os arquivos analisados. * **Busca por Palavras-chave**: Os investigadores podem buscar palavras-chave específicas na imagem forense, facilitando a localização de informações relevantes. 3. **Verificação e Validação**: * **Cálculo de Hash**: Para garantir a integridade dos dados, o FTK Imager calcula valores de hash (MD5, SHA-1, SHA-256) para as imagens forenses, verificando que a imagem é idêntica ao original. * **Análise de Assinatura**: Esta funcionalidade identifica tipos conhecidos de arquivos e sinaliza possíveis arquivos maliciosos ou conteúdos suspeitos. ## Aplicações do FTK Imager * **Investigações Criminais Digitais**: Auxilia na coleta e análise de evidências em casos criminais, possibilitando uma documentação sólida para processos judiciais. * **Resposta a Incidentes**: Durante respostas a incidentes de segurança, o FTK Imager ajuda a investigar sistemas comprometidos, identificando possíveis ameaças e fornecendo uma visão detalhada do incidente. * **E-Discovery**: No contexto jurídico, o FTK Imager é usado para extração e análise de dados eletrônicos, contribuindo para a conformidade legal e descoberta de evidências. * **Recuperação de Dados**: Em casos de perda de dados, o FTK Imager permite a recuperação de arquivos apagados, fornecendo informações críticas para investigações forenses. ## Considerações e Limitações * **Compatibilidade**: O FTK Imager pode enfrentar problemas de compatibilidade com sistemas de arquivos mais recentes ou métodos de criptografia específicos. É essencial verificar a compatibilidade antes de iniciar uma aquisição. * **Impacto no Sistema**: A criação de imagens ao vivo pode impactar o desempenho do sistema de origem e exige recursos adequados. * **Considerações Legais**: Certifique-se de que as evidências coletadas com o FTK Imager cumpram os requisitos legais para admissibilidade em processos judiciais. [Ref1](https://sis.binus.ac.id/2023/09/20/ftk-imager-in-digital-forensic/) [Ref2](https://cyberw1ng.medium.com/ftk-imager-a-comprehensive-guide-to-forensic-imaging-and-analysis-2023-4eca04272614) [Ref3](https://www.exterro.com/digital-forensics-software/ftk-imager) *** ## Interface (resumido para o que realmente usamos) #### Painéis * `Mode` O menu `Mode` está diretamente ligado ao painel `Viewer` o qual irá interpretar o conteúdo do arquivo de acordo com o modo escolhido e mostrar o conteúdo dele. ![image.png](https://3136530646-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FsIzz1GS79zTX2bE4IBNm%2Fuploads%2Fgit-blob-1d4480491de61919086fde34ca22c41202de0f1f%2Fimage%201.png?alt=media) Alternar entre Hex e Text pode ser útil quando está atrás de alguma string, como `flag{` por exemplo. * `Evidence Tree` Esse painel da ferramenta exibe as evidências adicionadas de forma hierárquica no formato de árvore, na raiz da árvore estão as fontes da evidência e abaixo da mesma é mostrado as estruturas, pastas e arquivos que ela possui. Quando determinado conteúdo é selecionado ele é exibido no painel `File List`, algumas informações sobre o arquivo podem ser visualizadas no painel `Properties`, e se possível seu conteúdo será exibido no painel `Viewer`. ![image.png](https://3136530646-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FsIzz1GS79zTX2bE4IBNm%2Fuploads%2Fgit-blob-3d38afa565ca0371b5d8699fbf285625a47e42ce%2Fimage%202.png?alt=media) #### Para CTFs Normalmente lidamos com arquivos grandes, geralmente na casa dos Gb. Para adicionar os arquivos siga o passo a passo: ![image.png](https://3136530646-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FsIzz1GS79zTX2bE4IBNm%2Fuploads%2Fgit-blob-a076725b82d8aabf4a3ea227ec8c1621ad307a96%2Fimage%203.png?alt=media) ![image.png](https://3136530646-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FsIzz1GS79zTX2bE4IBNm%2Fuploads%2Fgit-blob-e6ababdd1e6dbe272e1dd2117dbf49415298d232%2Fimage%204.png?alt=media) ![image.png](https://3136530646-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FsIzz1GS79zTX2bE4IBNm%2Fuploads%2Fgit-blob-abc411445c4e504e29e8473021bd513f07caea87%2Fimage%205.png?alt=media) Selecionando o arquivo, que geralmente é um `.aff`, `.iso`, `.dd`, `.img` ou `.E01` , e então, após clicar em `Finish`, o FTK Imager irá reconstruir uma partição a ser analisada, que pode ser vista na `Evidence Tree`. Para mais detalhes visitar o link abaixo. [AcademiaDeForenseDigital](https://academiadeforensedigital.com.br/ftk-imager-ferramenta-gratuita-de-forense-digital/)