Imagem forense e preservação de mídias
Categoria: HD, SSD, imagem forense, sistemas de arquivos e recuperação
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre imagem forense e preservação de mídias no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, FTK, Tableau, FileVault, WhatsApp. Os termos mais recorrentes neste tema incluem: mas, imagem, tableau, ele, esta, e01, criptografado, assinatura, arquivos, alguma. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Preservar mídia original com bloqueio de escrita quando aplicável.
- Registrar hash da imagem e da mídia quando possível.
- Manter logs de aquisição e validação.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDFTKTableauFileVaultWhatsAppPalavras-chave recorrentes
masimagemtableaueleestae01criptografadoassinaturaarquivosalgumatipossdrawondehddh264essecriptografiaDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 03/04/2019 09:36 a 11:10 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
IMG-20190403-WA0006.jpg (arquivo anexado)
Pessoal, bom dia! Alguém sabe que no Tableau tem algum adaptador pra leitura desse SSD?
Pessoal, bom dia! Alguém sabe que no Tableau tem algum adaptador pra leitura desse SSD?
Se não me engano tem alguns sim, e acho que para esse tipo tem sim
Achei um mas não cabe por pouco
Apple com suas idiosincrasias
vc precisa de um adaptador apple mac book air (12/16) para sata. Uns 150 reais no ML
Tinha esperança de ter no Tableau, mas pelo jeito.... Valeu pessoal 👍🏻
ou boota um S.O. e faz DD
é o que eu tenho feito
IMG-20190403-WA0008.jpg (arquivo anexado)
Possivelmente, deste tipo.
Possivelmente, deste tipo.
Por alternativa, o Sumuri Paladin pode resolver, se o FileVault estiver desabilitado.
Deft por vezes funciona tb, mas ele não trabalha direito com alguns displays (principalmente, se for Retina).
Deft por vezes funciona tb, mas ele não trabalha direito com alguns displays (principalmente, se for Retina).
Acho que esse não serve pq aparentemente é para outra pinagem.
olha aí a variedade, no caso, aparenta ser o 12/16
Bacana este comparativo!
Apple sempre "facilitando" a perícia criminal
Obsolescência programada...
<Mídia oculta>
Aparenta o 12+16Pin
Aparenta o 12+16Pin
O próprio😬
O que tenho aqui é o 6+12, parece.
O que tenho aqui é o 6+12, parece.
Alguém possui o Tableau Tx-1? Sabem dizer se ele com esses adaptadores tb?
acho que é esse adaptador da guidance:
https://www.guidancesoftware.com/tableau/hardware/tda7-3
Mas agora, com o SSD soldado na placa mãe, este problema “acabou”😬
Origem 002 — 27/12/2019 20:59 a 21:22 — Segue, para o padrão da Intelbrás. / / Ajustar o config.h. Compilar com
Por gentileza, [EMAIL]!
Segue o tutorial que ele mandou
Segue, para o padrão da Intelbrás.
Ajustar o config.h. Compilar com g++. O programa pede dois parâmetros: a
imagem raw (dd, por exemplo) do disco e uma pasta base destino onde os
arquivos serão gravados. O programa produz um relatório de atividades,
bastante útil, que costumo redirecionar, através de tee, para um arquivo.
Há, também, alguns utilitários shell script, que realizam algumas
junções e conversões.
O prejuntar.sh, que irá utilizar o juntar.sh, pede três parâmetros:
pasta base onde os arquivos estão, pasta destino, onde os resultados
serão gravados e um filtro de data, que costumo utilizar somente o ano,
ou o ano e o mês, ou o ano e o dia, ou o ano, mês, dia e alguma hora.
Esse último parâmetro é que, à vezes, a gente só quer juntar alguma
parte do resultado.
prejuntar.sh é útil pois, pela forma como os arquivos são guardados no
disco, o meu programa retorna um monte de pequenos arquivos, que fica
chato de acompanhar.
Em seguida, costumo utilizar os conversores, que, pelo nome, são bem
intuitivos, que pedem, somente, a pasta base onde os arquivos juntados
foram gravados. Um converte para mpg, que, às vezes, não consegue
realizar com sucesso por ausências de algumas informações nos arquivos.
O outro converte para AVI, que nunca me produziu erros. Fica à escolha.
Ah! Ambos utilizam o ffmpeg. Ou seja: o ffmpeg deve estar instalado.
Sucesso,
[NOME]
Ajustar o config.h. Compilar com g++. O programa pede dois parâmetros: a
imagem raw (dd, por exemplo) do disco e uma pasta base destino onde os
arquivos serão gravados. O programa produz um relatório de atividades,
bastante útil, que costumo redirecionar, através de tee, para um arquivo.
Há, também, alguns utilitários shell script, que realizam algumas
junções e conversões.
O prejuntar.sh, que irá utilizar o juntar.sh, pede três parâmetros:
pasta base onde os arquivos estão, pasta destino, onde os resultados
serão gravados e um filtro de data, que costumo utilizar somente o ano,
ou o ano e o mês, ou o ano e o dia, ou o ano, mês, dia e alguma hora.
Esse último parâmetro é que, à vezes, a gente só quer juntar alguma
parte do resultado.
prejuntar.sh é útil pois, pela forma como os arquivos são guardados no
disco, o meu programa retorna um monte de pequenos arquivos, que fica
chato de acompanhar.
Em seguida, costumo utilizar os conversores, que, pelo nome, são bem
intuitivos, que pedem, somente, a pasta base onde os arquivos juntados
foram gravados. Um converte para mpg, que, às vezes, não consegue
realizar com sucesso por ausências de algumas informações nos arquivos.
O outro converte para AVI, que nunca me produziu erros. Fica à escolha.
Ah! Ambos utilizam o ffmpeg. Ou seja: o ffmpeg deve estar instalado.
Sucesso,
[NOME]
https://drive.google.com/folderview?id=1lP9SjpnP6wfpk-8IIe1hfj-1e3F8hKBE
Esta funcionando.😉
Também confirmo o funcionamento do link.
Agora, não vi nos arquivos tar os scripts "juntar.sh" e "prejuntar.sh", alguém poderia disponibilizar?
Agora, não vi nos arquivos tar os scripts "juntar.sh" e "prejuntar.sh", alguém poderia disponibilizar?
Eles não estão na pasta h264?
Vixi... Não tenho a vm que uso disponível agora, posso checar e enviar semana que vem....
Origem 003 — 03/08/2021 10:16 a 10:33 — Existe um ftkimager para linux de linha de comando. Dá para dar boot
Era o [NOME] 10? Ou estava criptografado
Existe um ftkimager para linux de linha de comando. Dá para dar boot com um linux qualquer e usar ele para fazer imagem
https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1
Foi esse que usei na última vez
sudo ftkimager --list-drives
sudo ftkimager /dev/sba nome_arquivo_imagem --e01 --verify
sudo ftkimager /dev/sba nome_arquivo_imagem --e01 --verify
Origem 004 — 10/12/2021 09:15 a 09:37 — Triagem visual de imagens e vídeos no IPED
Colegas, muito bom dia!
Estou usando pela primeira vez o WinFE. Utilizando a ferramenta existente para obter a imagem do disco, ele
Só me gera uma imagem em formato .img.
Alguém tem alguma ideia ou sabe de alguma outra forma de gerar essa imagem em outro formato?
Estou usando pela primeira vez o WinFE. Utilizando a ferramenta existente para obter a imagem do disco, ele
Só me gera uma imagem em formato .img.
Alguém tem alguma ideia ou sabe de alguma outra forma de gerar essa imagem em outro formato?
Bom dia!
Qual disco você está fazendo imagem e onde você abrir essa imagem?
Qual disco você está fazendo imagem e onde você abrir essa imagem?
é um macbook. quero utilizar no IPED, que só aceita DD, E01 ou 001
se trocar o .img para .dd é possível que dê certo
caso o contrário, pode abrir no ftk imager e exportar para e01
Entendi. Fiz a cópia dd da memória de um macbook usando uma distribuição Linux.
img e dd ambos são extensões de formato raw, então só trocar a extensão pode funcionar
opa.... tentarei essas opções.
Tentei no [NOME], mas ele não montou o disco... deve ser devido à criptografia. A imagem criptografada não vai adiantar muito também se não tiver um programa de quebra de senha né?
Depende ser for apfs criptografado com ou sem t2
Então você não vai conseguir abrir com essa imagem.
É necessário desabilitar a criptografia. O macbook está desbloqueado?
É necessário desabilitar a criptografia. O macbook está desbloqueado?
sem senha, impossível ou tem algo a fazer ainda?
caso estivesse desbloqueado, seria possível desabilitar a cripto?
Origem 005 — 21/04/2023 11:41 a 12:00 — Imagem forense e preservação de mídias
Pessoal, alguém está por dentro ou está sabendo de casos de clonagem de assinatura digital ou algo semelhante?
A delegacia de estelionatário daqui está investigando vários casos e pediram nosso auxílio.
Vixi, não sabia disso.
Cabuloso.
Cabuloso.
Fiquei até curioso. Chave privada geralmente está protegida por pkcs's. Se clonaram tem uma falha grave na infraestrutura de chaves
Essa assinatura é sobre a PKI da ICP-BR?
Exatamente! Tem que ter muito cuidado com isso.
Então, é isso que não sei. Por isso perguntei aos senhores.
Numa PKI (infra de chaves públicas) vc tem vários mecanismos de segurança para evitar esse risco aí
Creio que a assinatura eletrônica tem mais vulnerabilidades que a assinatura digital, mas não sei qual o caso investigado pela delegacia. Segunda pegarei mais informações. Era mais para ter uma noção de algo em nível nacional.
Agora tem que ver qual o sistema de assinatura etc...
Já ouvi falar de casos envolvendo abertura de empresa com certificados válidos.
Mas a fraude começava em outro ponto.
A parte de TI estava Ok. Mas o criminoso criava uma pessoa nova, desde a emissão da certidão de nascimento, até a emissão do certificado.
Mas a fraude começava em outro ponto.
A parte de TI estava Ok. Mas o criminoso criava uma pessoa nova, desde a emissão da certidão de nascimento, até a emissão do certificado.
Tem aqueles da adobe online, tem usando pki, tem até aqueles que usam um gif da assinatura fisica, tem de tudo
Interessante. Vale um estudo
Tem até mais simples, do cara copiar o rodapé com código de autenticação que raramente se confere 😄
Hahahahahahaha boaaaaa
Origem 006 — 22/05/2023 11:51 a 12:01 — Imagem forense e preservação de mídias
<Mídia oculta>
Ssd de MacBook pro, essa interface é PCI Express? Alguma forma de clonar pelo Tableau?
Ssd de MacBook pro, essa interface é PCI Express? Alguma forma de clonar pelo Tableau?
está criptografado, mas como é um caso sensível, pensei em clonar por precaução
Tableau tem um adaptador
opa! Obrigado. Acho q o nosso Tableau é uma versão anterior, mas vou procurar novamente aqui
Origem 007 — 21/12/2023 11:10 a 11:16 — Ai tem q ajustar o comando certinho para o formato que deseja
ai tem q ajustar o comando certinho para o formato que deseja
ja fiz de .001 pra vdi
Poderia compartilhar o procedimento [MENCAO]
https://arquivogabrielfernandes.wordpress.com/2011/11/16/como-converter-clonar-maquina-real-para-virtual-no-oracle-virtualbox-em-linux/
o comando que usei nao tenho mais
Origem 008 — 09/07/2024 16:45 a 16:45 — Root e extração em dispositivo Positivo
Pessoal, como vocês realizam a cópia forense de MacBooks?
Retiram a criptografia e fazem um DD via recovery?
Fazem cópia lógica (CPIO ou similar)?
Inicializam no "target device mode" e utilizam outro dispositivo?
Ajuda ae!! Precisando de dicas!
Retiram a criptografia e fazem um DD via recovery?
Fazem cópia lógica (CPIO ou similar)?
Inicializam no "target device mode" e utilizam outro dispositivo?
Ajuda ae!! Precisando de dicas!
Origem 009 — 18/10/2024 09:45 a 10:09 — Extração e análise de mensagens do WhatsApp
Pessoal, bom dia. Será que funciona com o Dump00.bin que resultou do UFED?
Queria ver se conseguia fazer o carving da chave do WhatsApp
Eu acho a funciona mas tb pode ver alguma ferramenta pra converter pra dd
será que se exportar pelo ftkimager é suficiente?
até rodei a ferramenta, ele analisou e disse que não encontrou chaves... mas fiquei na dúvida se, por ser BIN e não DD, ele fez certinho
até onde me lembro, o .bin resultante do UFED é uma cópia do tipo raw, basicamente o mesmo que o dd.
vdd, mas é pq nos exemplos do script ele passa dd como arquivo
eu ja usei ele uma vez mas n lembro qual era o tipo de arquivo
Origem 010 — 06/05/2026 13:12 a 13:20 — Imagem forense e preservação de mídias
Boa tarde, pessoal.
Alguém aqui já lidou com HDD do tipo SED (Self-Encrypting Drive)?
Estou analisando um caso em que o pedófilo investigado, com formação em TI, utilizava um computador com 5 unidades de armazenamento. A maior delas (3 TB) é um HDD do tipo SED e estava fisicamente desconectada da placa-mãe no momento da apreensão.
Nos demais discos, foram encontrados diversos arquivos relevantes. Observou-se também que o investigado adotava práticas para dificultar a identificação do conteúdo, como uso de nomes de pastas não sugestivos (ex.: nomes de drivers) e utilização de software como o “lockdir”.
Ao tentar acessar o HDD SED em ambiente Linux para aquisição via dd, o sistema retorna erros de I/O. Inicialmente considerei a possibilidade de defeito físico, mas agora levanto a hipótese de que o comportamento esteja relacionado ao mecanismo de criptografia do próprio SED.
Alguém já enfrentou situação semelhante ou tem alguma sugestão de abordagem nesse tipo de mídia?
Alguém aqui já lidou com HDD do tipo SED (Self-Encrypting Drive)?
Estou analisando um caso em que o pedófilo investigado, com formação em TI, utilizava um computador com 5 unidades de armazenamento. A maior delas (3 TB) é um HDD do tipo SED e estava fisicamente desconectada da placa-mãe no momento da apreensão.
Nos demais discos, foram encontrados diversos arquivos relevantes. Observou-se também que o investigado adotava práticas para dificultar a identificação do conteúdo, como uso de nomes de pastas não sugestivos (ex.: nomes de drivers) e utilização de software como o “lockdir”.
Ao tentar acessar o HDD SED em ambiente Linux para aquisição via dd, o sistema retorna erros de I/O. Inicialmente considerei a possibilidade de defeito físico, mas agora levanto a hipótese de que o comportamento esteja relacionado ao mecanismo de criptografia do próprio SED.
Alguém já enfrentou situação semelhante ou tem alguma sugestão de abordagem nesse tipo de mídia?
e se tentar clonar no Tableau ?