Baixe o app para aproveitar ainda mais
Prévia do material em texto
LABORATÓRIOS FTK Imager RESUMO Atividades relacionadas ao uso do FTK Imager da AccessData. PROFESSOR Gustavo Henrique M. A. da Silva 1 MANIPULANDO EVIDÊNCIAS NO FTK IMAGER 1.1 ADICIONANDO EVIDÊNCIAS NO FTK IMAGER 1. Insira um pen drive no computador. 2. Inicie o FTK Imager. 3. Selecione o menu File → “Add Evidence Item”. 4. Adicione o disco rígido local do computador como evidência (utilize a opção “Physical Drive”). 5. Selecione o menu File → “Add Evidence Item” e adicione um pen drive como evidência (utilize a opção “Logical Drive”). 6. Selecione o menu File → “Add Evidence Item” e adicione o arquivo “Thumbdrive.E01”, que está na pasta “Evidências” do Curso, como evidência (utilize a opção “Image File”). 7. Selecione o menu File → “Add Evidence Item” e adicione a pasta “C:\” como evidência (utilize a opção “Contents of a Folder”). 8. Ao final, a árvore de evidências terá uma aparência como a da figura abaixo. 1.2 ENTENDENDO A ESTRUTURA DAS EVIDÊNCIAS NO FTK IMAGER 1. Expanda cada uma das evidências e perceba sua estrutura. 2. Veja as características de cada uma das evidências. Qual delas apresenta espaço não particionado (Unpartitioned Space)? 3. A evidência “Thumdrive.E01” é uma imagem originalmente de que tipo (Drive lógico ou drive físico)? Por quê? 4. Por que a evidência “C:” (adicionada como uma pasta) não apresenta informações sobre arquivos apagados? 1.3 NAVEGANDO NA ESTRUTURA DAS EVIDÊNCIAS NO FTK IMAGER 1. Navegue pelas evidências e encontre arquivos gráficos (GIFs, JPEGs, etc). A evidência “Thumbdrive.E01” possui diversos. 2. Perceba as propriedades de cada arquivo, evidência, partição e pasta. Utilize a aba “Properties”, conforme abaixo: 3. Perceba as diferenças apresentadas nos diversos arquivos, na aba “Properties”, a depender do tipo de evidência (drive físico, drive lógico, imagem ou conteúdo de uma pasta) 4. Alterne pelos diversos tipos de visualização da lista de arquivos (Menu View → Icons, Menu View → List, Menu View → Details) 5. Navegue pela evidência “C:” e localize o arquivo de instalação do KFF, na pasta do Curso. Selecione o arquivo “autorun.exe”, dentro da pasta KFF_6.0.0. Vá até a posição 60 (decimal) ou 3C (hexa) desse arquivo. Qual é o endereço da assinatura do arquivo (50 45 00 00) executável? 6. No mesmo arquivo, vá até a posição 0x22c e informe quais os valores (Big endien e Litlle endien) do conjunto de bytes 0x22c, 0x22d, 0x22e e 0x22f? Utilize a aba “Hex Value Interpreter”. 1.4 ENTENDENDO MELHOR OS OFFSETS 1. Abra os arquivos PRATICA1 E PRATICA2 2. Considere o formato little endian para responder Às questões. 3. Com base no cabeçalho DOS (64 bytes), encontre o endereço inicial (assinatura) do cabeçalho PE (Portable Executable). 4. Com base no conteúdo do COFF HEADER (20 bytes após a assinatura), determine: (a) quais os tipos de máquina compatíveis com o aplicativo? (b) quantas seções possui o aplicativo (c) o ano em que o arquivo foi compilado (d) o aplicativo é um EXE ou DLL? 5. Consulte o link https://msdn.microsoft.com/en- us/library/windows/desktop/ms680547(v=vs.85).aspx#coff_file_header__object_and_image_ 2 EXPORTANDO ARQUIVOS E PASTAS NO FTK IMAGER 2.1 EXPORTANDO ARQUIVOS EM PASTAS ESPECÍFICAS 1. Selecione a pasta “Family Pix” da evidência “Thumbdrive.E01” e, com o botão direito do mouse, escolha a opção Exportar uma imagem lógica (“Export Logical Image”). Preencha as opções conforme as figuras abaixo: 2. Grave em uma pasta de trabalho a imagem com o nome “FamilyPix1.AD1”. https://msdn.microsoft.com/en-us/library/windows/desktop/ms680547(v=vs.85).aspx https://msdn.microsoft.com/en-us/library/windows/desktop/ms680547(v=vs.85).aspx 2.2 EXPORTANDO ARQUIVOS CUSTOMIZADOS 1. Selecione 3 arquivos da pasta “Family Pix” (Family Pic.jpg, My sister.jpg e Wes.jpg) da evidência “Thumbdrive.E01” e, com o botão direito do mouse, escolha a opção para Exportar para um conteúdo customizado (Add to Custom Content Imager”). 2. Vá até o painel Custom Content Sources e crie a imagem, por meio da opção “Create Image”. 3. Grave a imagem com o nome “FamilyPix2.AD1”. Qual o tamanho do arquivo? 2.3 CRIANDO HASHES 1. Adicione a imagem FamilyPix1.AD1 como uma evidência. Utilize o menu File → “Add Evidence Item” (utilize a opção Image File). 2. Exporte os hashes de todos os arquivos por meio da opção “Export File Hash List” (Botão direito do mouse). 3. Grave em uma pasta de trabalho o arquivo com o nome “FamilyPix1.csv”. 4. Abra o arquivo “FamilyPix1.csv” e note as informações. 3 CRIANDO E CONVERTENDO EVIDÊNCIAS NO FTK IMAGER 3.1 CONVERTENDO FORMATOS DE ARQUIVOS DE IMAGENS 1. Converta a imagem “Clampet18.aff” para o formato Raw/dd. 2. Vá ao Menu File → Create Disk Image e escolha a opção “Image File”. Selecione o arquivo “Clampet18.aff” no repositório de arquivos do curso. 3. Na tela seguinte adicione as informações da imagem de destino convertida (botão Add) e escolha a opção Raw (dd). 4. Preencha os dados conforme abaixo: 5. Escolha a pasta de trabalho do Curso para gravar sua imagem. Nomeie o arquivo como “Clampet18-convertida”. 4 MONTANDO IMAGENS NO FTK IMAGER 4.1 MONTANDO IMAGENS NO FTK 1. Exclua todas as evidências do FTKImager. Utilize o botão ‘Remove All Evidence Items” 2. Monte a imagem Mantooth.E01, localizada na pasta “Evidências” do Curso. Menu File → Image Mounting e escolha o arquivo da imagem. 3. Selecione o modo “File System / Read Only” e clique no botão “Mount”. Navegue pelos drivers montados no Windows Explore e perceba como o FTK Imager monta a imagem. 5 CAPTURANDO DADOS DA MEMÓRIA NO FTK IMAGER 5.1 CAPTURANDO INFORMAÇÕES 1. Abra um navegador da internet e entre na tela de login de sua conta de e-mail. 2. Digite a senha, mas não entre na conta, conforme figura abaixo. 3. No FTK Imager, vá no Menu File → Capture Memory e preencha as opções conforme abaixo. Na pasta de destino, coloque a pasta de trabalho do curso. 4. Capture a memória. 5.2 VERIFICANDO ARQUIVO MEMDUMP.MEM 1. Adicione a pasta de trabalho do Curso como uma evidência. File → “Add Evidence Item” como evidência (utilize a opção “Contents of a Folder”) 2. Selecione o arquivo memdump.mem (criado na seção anterior) 3. Utilizando as opções de busca em conteúdo, procure a senha digitada no navegador no conteúdo do arquivo memdump.mem, conforme figura abaixo (Clique no conteúdo do arquivo com o botão direito e escolha “Find”: 4. Confirme a presença da senha no conteúdo da memória.
Compartilhar