Laboratório FTK Imager

Prévia do material em texto

LABORATÓRIOS 
FTK Imager 
RESUMO 
Atividades relacionadas ao uso do FTK Imager da 
AccessData. 
PROFESSOR 
Gustavo Henrique M. A. da Silva 
 
1 MANIPULANDO EVIDÊNCIAS NO FTK IMAGER 
1.1 ADICIONANDO EVIDÊNCIAS NO FTK IMAGER 
1. Insira um pen drive no computador. 
2. Inicie o FTK Imager. 
3. Selecione o menu File → “Add Evidence Item”. 
 
 
 
4. Adicione o disco rígido local do computador como evidência (utilize a opção “Physical Drive”). 
5. Selecione o menu File → “Add Evidence Item” e adicione um pen drive como evidência (utilize a 
opção “Logical Drive”). 
6. Selecione o menu File → “Add Evidence Item” e adicione o arquivo “Thumbdrive.E01”, que está na 
pasta “Evidências” do Curso, como evidência (utilize a opção “Image File”). 
7. Selecione o menu File → “Add Evidence Item” e adicione a pasta “C:\” como evidência (utilize a 
opção “Contents of a Folder”). 
8. Ao final, a árvore de evidências terá uma aparência como a da figura abaixo. 
 
 
1.2 ENTENDENDO A ESTRUTURA DAS EVIDÊNCIAS NO FTK IMAGER 
1. Expanda cada uma das evidências e perceba sua estrutura. 
2. Veja as características de cada uma das evidências. Qual delas apresenta espaço não particionado 
(Unpartitioned Space)? 
3. A evidência “Thumdrive.E01” é uma imagem originalmente de que tipo (Drive lógico ou drive físico)? 
Por quê? 
4. Por que a evidência “C:” (adicionada como uma pasta) não apresenta informações sobre arquivos 
apagados? 
1.3 NAVEGANDO NA ESTRUTURA DAS EVIDÊNCIAS NO FTK IMAGER 
1. Navegue pelas evidências e encontre arquivos gráficos (GIFs, JPEGs, etc). A evidência 
“Thumbdrive.E01” possui diversos. 
2. Perceba as propriedades de cada arquivo, evidência, partição e pasta. Utilize a aba “Properties”, 
conforme abaixo: 
 
 
3. Perceba as diferenças apresentadas nos diversos arquivos, na aba “Properties”, a depender do tipo 
de evidência (drive físico, drive lógico, imagem ou conteúdo de uma pasta) 
4. Alterne pelos diversos tipos de visualização da lista de arquivos (Menu View → Icons, Menu View → 
List, Menu View → Details) 
 
 
5. Navegue pela evidência “C:” e localize o arquivo de instalação do KFF, na pasta do Curso. Selecione 
o arquivo “autorun.exe”, dentro da pasta KFF_6.0.0. Vá até a posição 60 (decimal) ou 3C (hexa) 
desse arquivo. Qual é o endereço da assinatura do arquivo (50 45 00 00) executável? 
6. No mesmo arquivo, vá até a posição 0x22c e informe quais os valores (Big endien e Litlle endien) do 
conjunto de bytes 0x22c, 0x22d, 0x22e e 0x22f? Utilize a aba “Hex Value Interpreter”. 
 
 
 
1.4 ENTENDENDO MELHOR OS OFFSETS 
 
1. Abra os arquivos PRATICA1 E PRATICA2 
2. Considere o formato little endian para responder Às questões. 
3. Com base no cabeçalho DOS (64 bytes), encontre o endereço inicial (assinatura) do cabeçalho PE 
(Portable Executable). 
4. Com base no conteúdo do COFF HEADER (20 bytes após a assinatura), determine: (a) quais os tipos 
de máquina compatíveis com o aplicativo? (b) quantas seções possui o aplicativo (c) o ano em que o 
arquivo foi compilado (d) o aplicativo é um EXE ou DLL? 
5. Consulte o link https://msdn.microsoft.com/en-
us/library/windows/desktop/ms680547(v=vs.85).aspx#coff_file_header__object_and_image_ 
 
2 EXPORTANDO ARQUIVOS E PASTAS NO FTK IMAGER 
2.1 EXPORTANDO ARQUIVOS EM PASTAS ESPECÍFICAS 
1. Selecione a pasta “Family Pix” da evidência “Thumbdrive.E01” e, com o botão direito do mouse, 
escolha a opção Exportar uma imagem lógica (“Export Logical Image”). Preencha as opções 
conforme as figuras abaixo: 
 
 
 
 
2. Grave em uma pasta de trabalho a imagem com o nome “FamilyPix1.AD1”. 
 
https://msdn.microsoft.com/en-us/library/windows/desktop/ms680547(v=vs.85).aspx
https://msdn.microsoft.com/en-us/library/windows/desktop/ms680547(v=vs.85).aspx
 
 
2.2 EXPORTANDO ARQUIVOS CUSTOMIZADOS 
 
1. Selecione 3 arquivos da pasta “Family Pix” (Family Pic.jpg, My sister.jpg e Wes.jpg) da evidência 
“Thumbdrive.E01” e, com o botão direito do mouse, escolha a opção para Exportar para um 
conteúdo customizado (Add to Custom Content Imager”). 
 
 
2. Vá até o painel Custom Content Sources e crie a imagem, por meio da opção “Create Image”. 
 
 
3. Grave a imagem com o nome “FamilyPix2.AD1”. Qual o tamanho do arquivo? 
2.3 CRIANDO HASHES 
1. Adicione a imagem FamilyPix1.AD1 como uma evidência. Utilize o menu File → “Add Evidence 
Item” (utilize a opção Image File). 
2. Exporte os hashes de todos os arquivos por meio da opção “Export File Hash List” (Botão direito do 
mouse). 
3. Grave em uma pasta de trabalho o arquivo com o nome “FamilyPix1.csv”. 
4. Abra o arquivo “FamilyPix1.csv” e note as informações. 
3 CRIANDO E CONVERTENDO EVIDÊNCIAS NO FTK IMAGER 
3.1 CONVERTENDO FORMATOS DE ARQUIVOS DE IMAGENS 
1. Converta a imagem “Clampet18.aff” para o formato Raw/dd. 
2. Vá ao Menu File → Create Disk Image e escolha a opção “Image File”. Selecione o arquivo 
“Clampet18.aff” no repositório de arquivos do curso. 
 
3. Na tela seguinte adicione as informações da imagem de destino convertida (botão Add) e escolha 
a opção Raw (dd). 
 
4. Preencha os dados conforme abaixo: 
 
 
5. Escolha a pasta de trabalho do Curso para gravar sua imagem. Nomeie o arquivo como 
“Clampet18-convertida”. 
 
 
 
 
4 MONTANDO IMAGENS NO FTK IMAGER 
4.1 MONTANDO IMAGENS NO FTK 
1. Exclua todas as evidências do FTKImager. Utilize o botão ‘Remove All Evidence Items” 
 
2. Monte a imagem Mantooth.E01, localizada na pasta “Evidências” do Curso. Menu File → Image 
Mounting e escolha o arquivo da imagem. 
3. Selecione o modo “File System / Read Only” e clique no botão “Mount”. Navegue pelos drivers 
montados no Windows Explore e perceba como o FTK Imager monta a imagem. 
 
 
 
5 CAPTURANDO DADOS DA MEMÓRIA NO FTK IMAGER 
5.1 CAPTURANDO INFORMAÇÕES 
1. Abra um navegador da internet e entre na tela de login de sua conta de e-mail. 
2. Digite a senha, mas não entre na conta, conforme figura abaixo. 
 
3. No FTK Imager, vá no Menu File → Capture Memory e preencha as opções conforme abaixo. Na 
pasta de destino, coloque a pasta de trabalho do curso. 
 
4. Capture a memória. 
 
5.2 VERIFICANDO ARQUIVO MEMDUMP.MEM 
1. Adicione a pasta de trabalho do Curso como uma evidência. File → “Add Evidence Item” como 
evidência (utilize a opção “Contents of a Folder”) 
2. Selecione o arquivo memdump.mem (criado na seção anterior) 
3. Utilizando as opções de busca em conteúdo, procure a senha digitada no navegador no conteúdo 
do arquivo memdump.mem, conforme figura abaixo (Clique no conteúdo do arquivo com o botão 
direito e escolha “Find”: 
 
4. Confirme a presença da senha no conteúdo da memória.