A turma decidiu mesmo inovar nesse fim de ano. Duas novas ferramentas/versões de ferramentas chegaram para ajudar.
A Paraben disponibilizou mais uma nova versão do free P2 Explorer. Com ele, é possível montar uma série de imagens forenses, incluindo formatos E01 (Encase) e SMART. O FTK Imager, comentado há alguns dias, acaba sendo mais versátil, mas é sempre bom ter opções.
Outra ferramenta excelente recém lançada é a Tableau Imager. TIM, como é chamado, também é uma ferramenta free e usa interface gráfica para coletar imagens forenses no formato dd (raw) ou no formato Expert Witness (.E01). A interface é bem semelhante ao GuyMager e, de acordo com o site da Tableau, seu código é optimizado para trabalhar com seus write blockers. Ainda assim, o utilitário funciona normalmente com ele. Está disponível em 32-bit ou 64-bit. O ponto ruim é que não faz (pelo menos eu não achei em nenhum lugar) imagem lógica (imagem forense de partição).
Um outro ponto que ocorreu nesse fim de ano e que pode não ser tão bom assim foi a retirada do suporte ao aimage. Parte da AFFLib, o aimage é o utilitário de linha de comando que executa a imagem de mídias no formato AFF. De acordo com o autor, o aimage não é mais necessário, já que tanto o Guymager quanto o FTK Imager dão suporte à captura em formato AFF, tanto para Windows quanto para Linux. O que contexto, nesse caso, é o fato de que pode ser necessário para alguém usar linha de comando, talvez em um script, e ambos citados pelo Simson são GUI. Isso pode fazer falta ...
Comentários ?
Até o próximo post !
quarta-feira, 12 de janeiro de 2011
segunda-feira, 10 de janeiro de 2011
Enfim, AFF no Windows
Eu já escrevi aqui no blog por diversas vezes sobre o quanto admiro o formato AFF. É open source, criado desde o começo para ser um formato aberto e abrangente para forense, e tem vantagens sobre os outros formatos mais comuns, incluindo o dd (raw) e o Expert Witness (E01), usado no EnCase. O grande problema que via nesse formato para adotá-lo como padrão eram as limitações dele no ambiente Windows.
O TSK no Windows consegue ler esse formato normalmente, mas não havia como montá-lo no ambiente de janelas. Bem, pelo menos usando ferramentas open/free. Isso até bem pouco tempo.
A novíssima versão do FTK Imager, provida pela AccessData, gigante da nossa área, traz dentre várias modificações e melhorias, a capacidade de montar imagens forenses. Os formatos vão desde o simples .iso (de CDs, DVDs, etc) até o formato AFF, oferecendo também o E01 e os formatos de discos virtuais mais conhecidos (vhd e vmdk). Basta acessar a imagem forense que a interface faz o resto, permitindo inclusive que se monte como read-only com cache de write (todas as escritas vão para um arquivo à parte).
Além dessa excelente novidade, o FTK Imager novo está preparado para exFAT (novo formato de FAT muito usado em pendrives e cartões de memória de grande capacidade) e Ext4. Isso faz do FTK Imager uma ferramenta obrigatória na caixa de ferramentas de qualquer perito ou investigador em Computação Forense. Ele coleta imagens forenses em vários formatos (incluindo agora o AFF), faz dump de RAM, captura arquivos bloqueados pelo sistema (registry) e ainda permite analisar arquivos de imagens forenses e suas estruturas. Um mil-e-uma-utilidades, com certeza.
Alguém já está usando essa ferramenta ou o formato AFF e gostaria de compartilhar suas impressões ?
Até o próximo post !
O TSK no Windows consegue ler esse formato normalmente, mas não havia como montá-lo no ambiente de janelas. Bem, pelo menos usando ferramentas open/free. Isso até bem pouco tempo.
A novíssima versão do FTK Imager, provida pela AccessData, gigante da nossa área, traz dentre várias modificações e melhorias, a capacidade de montar imagens forenses. Os formatos vão desde o simples .iso (de CDs, DVDs, etc) até o formato AFF, oferecendo também o E01 e os formatos de discos virtuais mais conhecidos (vhd e vmdk). Basta acessar a imagem forense que a interface faz o resto, permitindo inclusive que se monte como read-only com cache de write (todas as escritas vão para um arquivo à parte).
Além dessa excelente novidade, o FTK Imager novo está preparado para exFAT (novo formato de FAT muito usado em pendrives e cartões de memória de grande capacidade) e Ext4. Isso faz do FTK Imager uma ferramenta obrigatória na caixa de ferramentas de qualquer perito ou investigador em Computação Forense. Ele coleta imagens forenses em vários formatos (incluindo agora o AFF), faz dump de RAM, captura arquivos bloqueados pelo sistema (registry) e ainda permite analisar arquivos de imagens forenses e suas estruturas. Um mil-e-uma-utilidades, com certeza.
Alguém já está usando essa ferramenta ou o formato AFF e gostaria de compartilhar suas impressões ?
Até o próximo post !
domingo, 2 de janeiro de 2011
Ano Novo, Cara Nova
Novo Design para marcar 2011. Afinal de contas, cara nova não é só para a turma que gosta de botox.
Um bom 2011 e que tenhamos muitos avanços em Computação Forense nesse ano !
Saúde e até o próximo post !
Assinar:
Postagens (Atom)