Vamos matar dois coelhos com uma só paulada.
Quem teve a oportunidade de participar do YSTS4 deve ter assistido a minha palestra sobre Virtualizacão. Vamos conversar neste post sobre dois pontos que citei na palestra.
O primeiro deles é sobre a facilidade que as máquinas virtual trazem no contexto da Computação Forense. É muito mais fácil criar uma duplicação forense de um disco virtual do que de um disco real.
Tomando por referencia uma duplicação post-mortem, a duplicação de um HD real pode ser tão simples quanto usar um software de aquisição forense diretamente na mídia desligada, ou então tão complicado quanto encarar um monte de discos em um RAID xxx. Dessa forma, mesmo o caso mais simples dá um certo trabalho. Porém, quando se trata de duplicar um disco virtual, todo o trabalho se reduz em realizar a cópia e o hash do arquivo que representa o tal disco (um .vmdk para VMWare ou .vdi para VirtualBox).
Outro ponto que citei na palestra é uma nova possibilidade de aquisição. Colocando de maneira bem simplificada, podemos fazer a aquisição post mortem e ter uma visão estática dos dados do HD, ou então podemos fazer uma aquisição conhecida como Live, onde o computador continua ligado. Essa segunda modalidade é mais rápida e tem o benefício de não precisar desligar a máquina, mas a visão dos dados é dinâmica. Isso traz imediatas consequencias, pois antes da aquisição chegar ao final, o conteúdo capturado do início da mídia já pode ter sido alterado. Com isso, o hash não será capaz de comprovar integridade com a mídia, por exemplo.
Nesse caso, a captura de uma imagem forense de uma máquina virtual oferece uma terceira opção. Ela funciona como uma semi-live. A idéia é bem simples, no fim das contas. Basta ir no gerenciador da máquina virtual e interromper a execução dela temporariamente. Em geral, o comando que realiza essa tarefa é semelhante a uma pausa. Pode-se interromper e retornar a execução de uma máquina virtual a qualquer momento. Ao interromper, o arquivo de disco virtual pode ser copiado normalmente. Ao fim da cópia, retorna-se a máquina ao estado de execução sem mais demoras. O maior benefício dessa técnica pode ser a possibilidade de ter novamente uma visão estática da mídia, além de permitir retornar a máquina bem mais rápido que no caso de uma aquisição post-mortem.
Falarei em breve de como utilizar arquivos capturados segundo as técnicas acima. Com o aumento no uso de servidores virtuais, essas técnicas serão cada vez mais úteis.
Comentários ?
Até o próximo post !
4 comentários:
Tony nesse caso de uma copia do hd virtual .vmdk, eu dou uma pausa no SO virtualizado em funcionamento, e dou um CTRL+C e CTRL+V no arquivo, é isso.
E nesse caso, para uma análise post-mortem com o TSK, dá pra fazer com o mesmo?? dá pra transformar o mesmo em formato dd, ou não precisa.
Abs e ótimo post !!
Jader,
Com a pausa, o arquivo vai ainda estar preso pelo programa. Vc vai precisar fazer a cópia pelo RoboCopy, mas não deixa de ser uma cópia simples.
Quanto ao TSK, aguarde, isso vem nos próximos capítulos dessa saga ;)
Tony
Tony tenno alguma dúvidas desse post, primeiro, qual os principais beneficios de uma visão estática(postmortem) para a dinâmica(live) se tratando de virtualização, e como fazer o hash do disco da 2º aquisição mencionada no qual se refere que pode dá diferença, e como fazer essa aquisição(live),
Grato
Filho
Postar um comentário