Eu já escrevi aqui no blog por diversas vezes sobre o quanto admiro o formato AFF. É open source, criado desde o começo para ser um formato aberto e abrangente para forense, e tem vantagens sobre os outros formatos mais comuns, incluindo o dd (raw) e o Expert Witness (E01), usado no EnCase. O grande problema que via nesse formato para adotá-lo como padrão eram as limitações dele no ambiente Windows.
O TSK no Windows consegue ler esse formato normalmente, mas não havia como montá-lo no ambiente de janelas. Bem, pelo menos usando ferramentas open/free. Isso até bem pouco tempo.
A novíssima versão do FTK Imager, provida pela AccessData, gigante da nossa área, traz dentre várias modificações e melhorias, a capacidade de montar imagens forenses. Os formatos vão desde o simples .iso (de CDs, DVDs, etc) até o formato AFF, oferecendo também o E01 e os formatos de discos virtuais mais conhecidos (vhd e vmdk). Basta acessar a imagem forense que a interface faz o resto, permitindo inclusive que se monte como read-only com cache de write (todas as escritas vão para um arquivo à parte).
Além dessa excelente novidade, o FTK Imager novo está preparado para exFAT (novo formato de FAT muito usado em pendrives e cartões de memória de grande capacidade) e Ext4. Isso faz do FTK Imager uma ferramenta obrigatória na caixa de ferramentas de qualquer perito ou investigador em Computação Forense. Ele coleta imagens forenses em vários formatos (incluindo agora o AFF), faz dump de RAM, captura arquivos bloqueados pelo sistema (registry) e ainda permite analisar arquivos de imagens forenses e suas estruturas. Um mil-e-uma-utilidades, com certeza.
Alguém já está usando essa ferramenta ou o formato AFF e gostaria de compartilhar suas impressões ?
Até o próximo post !
Nenhum comentário:
Postar um comentário