UnifeiCTFTime

FTK-Imager

FTK - Imager

O FTK Imager é uma ferramenta de forense digital, desenvolvida pela AccessData, mas atualmente foi comprada e mantida pela Exterro (até o ícone mudou).

Utilizada por profissionais para capturar e analisar evidências digitais, o FTK Imager permite adquirir imagens forenses e realizar análises detalhadas de diferentes tipos de mídia digital, como discos rígidos e RAM, mantendo a integridade dos dados.

Sistemas de arquivo e formatos de imagem suportados

Funcionalidades do FTK Imager

  1. Imagem Forense:

    • Imagem de Disco: O FTK Imager permite criar imagens exatas de dispositivos de armazenamento, como discos rígidos e SSDs.

    • Aquisição de RAM: A ferramenta possibilita a captura de dados da memória volátil (RAM) de sistemas ativos, que são cruciais para identificar processos em execução, conexões de rede e possíveis chaves de criptografia.

      image.png

  2. Análise e Exame:

    • Análise de Arquivos: É possível examinar e extrair arquivos individuais, incluindo arquivos excluídos ou ocultos, dentro das imagens forenses. O FTK Imager suporta diversos formatos de arquivos e permite aos investigadores visualizar e extrair artefatos digitais, como documentos, imagens, e-mails e arquivos de sistema.

    • Extração de Metadados: A ferramenta permite a extração de metadados (informações como data de criação, modificações e detalhes do usuário), fornecendo contexto importante sobre os arquivos analisados.

    • Busca por Palavras-chave: Os investigadores podem buscar palavras-chave específicas na imagem forense, facilitando a localização de informações relevantes.

  3. Verificação e Validação:

    • Cálculo de Hash: Para garantir a integridade dos dados, o FTK Imager calcula valores de hash (MD5, SHA-1, SHA-256) para as imagens forenses, verificando que a imagem é idêntica ao original.

    • Análise de Assinatura: Esta funcionalidade identifica tipos conhecidos de arquivos e sinaliza possíveis arquivos maliciosos ou conteúdos suspeitos.

Aplicações do FTK Imager

  • Investigações Criminais Digitais: Auxilia na coleta e análise de evidências em casos criminais, possibilitando uma documentação sólida para processos judiciais.

  • Resposta a Incidentes: Durante respostas a incidentes de segurança, o FTK Imager ajuda a investigar sistemas comprometidos, identificando possíveis ameaças e fornecendo uma visão detalhada do incidente.

  • E-Discovery: No contexto jurídico, o FTK Imager é usado para extração e análise de dados eletrônicos, contribuindo para a conformidade legal e descoberta de evidências.

  • Recuperação de Dados: Em casos de perda de dados, o FTK Imager permite a recuperação de arquivos apagados, fornecendo informações críticas para investigações forenses.

Considerações e Limitações

  • Compatibilidade: O FTK Imager pode enfrentar problemas de compatibilidade com sistemas de arquivos mais recentes ou métodos de criptografia específicos. É essencial verificar a compatibilidade antes de iniciar uma aquisição.

  • Impacto no Sistema: A criação de imagens ao vivo pode impactar o desempenho do sistema de origem e exige recursos adequados.

  • Considerações Legais: Certifique-se de que as evidências coletadas com o FTK Imager cumpram os requisitos legais para admissibilidade em processos judiciais.

Ref1 Ref2 Ref3

Interface

(resumido para o que realmente usamos)

Painéis

  • Mode

    O menu Mode está diretamente ligado ao painel Viewer o qual irá interpretar o conteúdo do arquivo de acordo com o modo escolhido e mostrar o conteúdo dele.

    image.png

    Alternar entre Hex e Text pode ser útil quando está atrás de alguma string, como flag{ por exemplo.

  • Evidence Tree

    Esse painel da ferramenta exibe as evidências adicionadas de forma hierárquica no formato de árvore, na raiz da árvore estão as fontes da evidência e abaixo da mesma é mostrado as estruturas, pastas e arquivos que ela possui.

    Quando determinado conteúdo é selecionado ele é exibido no painel File List, algumas informações sobre o arquivo podem ser visualizadas no painel Properties, e se possível seu conteúdo será exibido no painel Viewer.

    image.png

Para CTFs

Normalmente lidamos com arquivos grandes, geralmente na casa dos Gb. Para adicionar os arquivos siga o passo a passo:

image.png
image.png
image.png

Selecionando o arquivo, que geralmente é um .aff, .iso, .dd, .img ou .E01 , e então, após clicar em Finish, o FTK Imager irá reconstruir uma partição a ser analisada, que pode ser vista na Evidence Tree.

Para mais detalhes visitar o link abaixo.

AcademiaDeForenseDigital

AnteriorComputação ForensePróximoVolatility

Atualizado