Estamos na quarta parte do nosso conjunto de artigos sobre Virtualização em Computação Forense. No último artigo, mostrei uma técnica que permite montar o arquivo .vdi, que é o disco virtual para Virtual Box, através de uma série de etapas que tem por objetivo localizar dentro do arquivo .vdi o offset da partição a ser montada.
Reconheço que cada uma das etapas vai dar um certo trabalho e, obviamente, poupa-se um pouco de trabalho comprando o WinMount. Porém, criei uma rotina para poupar nosso tempo e fazer o trabalho sujo daqueles cálculos todos. Em breve darei mais notícias dessa rotina.
Seguindo em frente na série de arquivos, imagino que já estejam se pergunto o que afinal faz o CAINE 2.0 no título. Hoje você saberá.
Segunda Técnica: Usando o Sleuth Kit com arquivos virtuais
O Sleuth Kit (TSK) é uma ferramenta que suporta vários tipos de arquivos de imagens forenses. Em cada utilitário do TSK, é possível usar a option -i list para determinar qual tipo ele foi compilado para aceitar. As versões mais novas estão compiladas com a AFFLib que já suporta trabalhar com arquivos vmdk. Com isso, implementações TSK que tenham como resposta AFFLib ao usar o -i list permitem trabalhar diretamente com um arquivo vmdk, como se fosse um AFF, EWF ou mesmo dd. O único segredo nesse caso é colocar -i afflib e o restante fica da mesma forma como em qualquer outro formato.
Por exemplo:
# mmls -i afflib discovirtual.vmdk
# fls -o 63 -i afflib discovirtual.vmdk
Onde o CAINE 2.0 entra nisso ??
É que, dentro das diversas distros de Computação Forense em Live CDs, a única que já vem com os pré-requisitos necessários e já consegue manipular .vmdk sem problemas é a nova versão do CAINE, a versão 2.0. É só esperar para ver.
E o disco virtual .vdi, da Virtual Box ??
Não consegui, até agora, verificar nenhuma opção para o TSK que permita acesso direto para o .vdi. Caso o uso do TSK seja imperativo, pode-se usar as técnicas comentadas na parte 3 desse artigo para extrair uma imagem .dd de dentro do arquivo/disco virtual.
Comentários ?
Até o próximo post !
Um comentário:
Tudo jóia Tony, fiz um teste com a VM SIFT 2.0 do SANS,e rolou legal, não é um live mas fica a dica!!
Postar um comentário