FTK-Imager
Atualizado
Atualizado
O FTK Imager é uma ferramenta de forense digital, desenvolvida pela AccessData, mas atualmente foi comprada e mantida pela Exterro (até o ícone mudou).
Utilizada por profissionais para capturar e analisar evidências digitais, o FTK Imager permite adquirir imagens forenses e realizar análises detalhadas de diferentes tipos de mídia digital, como discos rígidos e RAM, mantendo a integridade dos dados.
Sistemas de arquivo e formatos de imagem suportados
Imagem Forense:
Imagem de Disco: O FTK Imager permite criar imagens exatas de dispositivos de armazenamento, como discos rígidos e SSDs.
Aquisição de RAM: A ferramenta possibilita a captura de dados da memória volátil (RAM) de sistemas ativos, que são cruciais para identificar processos em execução, conexões de rede e possíveis chaves de criptografia.
Análise e Exame:
Análise de Arquivos: É possível examinar e extrair arquivos individuais, incluindo arquivos excluídos ou ocultos, dentro das imagens forenses. O FTK Imager suporta diversos formatos de arquivos e permite aos investigadores visualizar e extrair artefatos digitais, como documentos, imagens, e-mails e arquivos de sistema.
Extração de Metadados: A ferramenta permite a extração de metadados (informações como data de criação, modificações e detalhes do usuário), fornecendo contexto importante sobre os arquivos analisados.
Busca por Palavras-chave: Os investigadores podem buscar palavras-chave específicas na imagem forense, facilitando a localização de informações relevantes.
Verificação e Validação:
Cálculo de Hash: Para garantir a integridade dos dados, o FTK Imager calcula valores de hash (MD5, SHA-1, SHA-256) para as imagens forenses, verificando que a imagem é idêntica ao original.
Análise de Assinatura: Esta funcionalidade identifica tipos conhecidos de arquivos e sinaliza possíveis arquivos maliciosos ou conteúdos suspeitos.
Investigações Criminais Digitais: Auxilia na coleta e análise de evidências em casos criminais, possibilitando uma documentação sólida para processos judiciais.
Resposta a Incidentes: Durante respostas a incidentes de segurança, o FTK Imager ajuda a investigar sistemas comprometidos, identificando possíveis ameaças e fornecendo uma visão detalhada do incidente.
E-Discovery: No contexto jurídico, o FTK Imager é usado para extração e análise de dados eletrônicos, contribuindo para a conformidade legal e descoberta de evidências.
Recuperação de Dados: Em casos de perda de dados, o FTK Imager permite a recuperação de arquivos apagados, fornecendo informações críticas para investigações forenses.
Compatibilidade: O FTK Imager pode enfrentar problemas de compatibilidade com sistemas de arquivos mais recentes ou métodos de criptografia específicos. É essencial verificar a compatibilidade antes de iniciar uma aquisição.
Impacto no Sistema: A criação de imagens ao vivo pode impactar o desempenho do sistema de origem e exige recursos adequados.
Considerações Legais: Certifique-se de que as evidências coletadas com o FTK Imager cumpram os requisitos legais para admissibilidade em processos judiciais.
(resumido para o que realmente usamos)
Mode
O menu Mode está diretamente ligado ao painel Viewer o qual irá interpretar o conteúdo do arquivo de acordo com o modo escolhido e mostrar o conteúdo dele.
Alternar entre Hex e Text pode ser útil quando está atrás de alguma string, como flag{ por exemplo.
Evidence Tree
Esse painel da ferramenta exibe as evidências adicionadas de forma hierárquica no formato de árvore, na raiz da árvore estão as fontes da evidência e abaixo da mesma é mostrado as estruturas, pastas e arquivos que ela possui.
Quando determinado conteúdo é selecionado ele é exibido no painel File List, algumas informações sobre o arquivo podem ser visualizadas no painel Properties, e se possível seu conteúdo será exibido no painel Viewer.
Normalmente lidamos com arquivos grandes, geralmente na casa dos Gb. Para adicionar os arquivos siga o passo a passo:
Selecionando o arquivo, que geralmente é um .aff, .iso, .dd, .img ou .E01 , e então, após clicar em Finish, o FTK Imager irá reconstruir uma partição a ser analisada, que pode ser vista na Evidence Tree.
Para mais detalhes visitar o link abaixo.
