A essa altura do campeonato, você já deve ter escutado algumas milhares de vezes que não se pode modificar um arquivo de imagem forense, que isso pode ser confirmado calculando o hash do arquivo antes e depois de se trabalhar com ele, etc, etc e etc. Ao trabalhar com uma imagem forense, você já deve ter visto também uma série de options para o -o do mount de forma a se proteger que qualquer alteração indesejada.
Porém, como em um adesivo muito comum em carros americanos, "shit happens" e você pode acabar executando algo fora do esquema, alterando ou até mesmo apagando o arquivo. Lembre-se que pode haver apenas uma maneira de fazer a coisa certa, mas certamente haverá muitas de se fazer trapalhadas. E, em muitas dessas, estaremos como "root".
Antes que alguma coisa aconteça, vale adicionar um pequeno e salvador comando à sua prática forense: chattr.
Esse exemplo, indicado em um dos artigos da SANS, fala de um bit/atributo chamado immutable que, se estiver ligado, nem o root consegue fazer nada no arquivo. Ele não apaga nem altera. Ou seja, perfeito para nós, peritos.
# chattr +i imagem.dd
Depois desse comando, para alterar qualquer coisa no arquivo será necessário antes que o bit-atributo seja desligado (-i). Senão, nada acontece e o arquivo fica protegido contra as mãozadas que às vezes nos assombram. Sabe como é, madrugada, muitas imagens para analisar, desastres batem à porta.
Mãos a obra e mais tranquilidade no dia a dia. Deus abençoe o chattr ...
Até o próximo post !
Um comentário:
Bem interessante o bizu...show de bola!!
Postar um comentário